Чтобы гарантировать, что только действительные токены принимаются политиками авторизации вашего логического приложения, выполните следующие действия:
1. Настройте аутентификацию в логических приложениях: используйте параметр аутентификации в приложениях Logic, чтобы указать эмитента и аудитории. Эмитент должен быть установлен на `https: // login.microsoftonline.com // v2.0`, и аудитория должна быть идентификатором вашего приложения из регистрации приложения в Azure Active Directory [1].
2. Включите заголовки авторизации: в представление кода приложения логики добавьте «" OperationOptions ":" IncludeAuthorizationHeaderSinOutputs "` к триггеру. Это гарантирует, что токен JWT включен в выходы триггера [1].
3. Используйте Azure Active Directory (AAD) для проверки токена: зарегистрируйте свою заявку в Azure AD, чтобы получить идентификатор клиента и идентификатор арендатора. Используйте их для создания токена доступа, который может быть подтвержден вашим логическим приложением. Убедитесь, что аудитория токена соответствует одной из разрешенных аудитории для ресурсов управления Azure, если вы используете API управления [9].
4. Реализуйте дополнительные меры безопасности: рассмотрите возможность использования Azure API Management (APIM) для добавления дополнительных уровней безопасности, таких как IP -фильтрация, ограничение скорости и кэширование. APIM также может обрабатывать аутентификацию OAuth 2.0 и Azure Active Directory, обеспечивая более надежные варианты безопасности [2].
5. Проведите претензии токена: убедитесь, что заявки на токен, такие как аудитория и эмитент, правильно подтверждены в соответствии с ожидаемыми значениями вашего логического приложения. Это может быть сделано путем проверки содержимого токена и обеспечения того, чтобы они соответствовали конфигурации вашего приложения [7].
Реализуя эти меры, вы можете эффективно убедиться, что только действительные токены принимаются политикой авторизации вашего логического приложения.
Цитаты:
[1] https://autosysops.com/blog/parse-jwt-tokens-in-azure-logic-apps
[2] https://turbo360.com/blog/logic-app-best-practices-secure-your-azure-logic-apps
[3] https://techcommunity.microsoft.com/blog/integrationsonazureblog/authenticate-standard-logic-apps-using-oauth-2-0-barer-token/3269576
[4] https://shopify.dev/docs/apps/build/authentication-authorization/access-tokens/authorization-code-grant
[5] https://www.youtube.com/watch?v=zvijhve0muu
[6] https://auth0.com/blog/refresh-tokens-what-hey-hey-and-to-use-them//
[7] https://www.linkedin.com/pulse/securing-Request на основе Trigger-ligge-logic-apps-using-azure-senih
[8] https://learn.microsoft.com/en-us/azure/logic-apps/logic-apps-securing-a-logic-app
[9] https://stackoverflow.com/questions/75551840/invalidauthenticationtokeneadience-authentication-for-logic-apps