Procedure consigliate per l'autenticazione
La parte più importante dell’applicazione è la sicurezza. Per quanto buona possa essere l'esperienza dell'utente, se l'applicazione non è sicura un hacker può rovinarla.
Di seguito sono riportati alcuni suggerimenti per proteggere l'applicazione Mappe di Azure. Quando si usa Azure, assicurarsi di acquisire familiarità con gli strumenti di sicurezza disponibili. Per altre informazioni, vedere l’introduzione alla sicurezza di Azure.
Informazioni sulle minacce alla sicurezza
Gli hacker che ottengono l'accesso all’account potrebbero potenzialmente effettuare transazioni fatturabili illimitate, causando costi imprevisti e riduzione delle prestazioni a causa dei limiti QPS.
Quando si valutano le procedure consigliate per proteggere le applicazioni di Mappe di Azure, è necessario comprendere le diverse opzioni di autenticazione disponibili.
Procedure consigliate per l'autenticazione in Mappe di Azure
Quando si creano applicazioni client rivolte pubblicamente con Mappe di Azure, è necessario assicurarsi che i segreti di autenticazione non siano accessibili pubblicamente.
L'autenticazione basata sulla chiave di sottoscrizione (chiave condivisa) può essere usata sia nelle applicazioni lato client che nei servizi Web, ma è l'approccio meno sicuro per proteggere l'applicazione o il servizio Web. Il motivo è che la chiave viene facilmente ottenuta da una richiesta HTTP e concede l'accesso a tutte le API REST di Mappe di Azure disponibili nello SKU (piano tariffario). Se si usano le chiavi di sottoscrizione, assicurarsi di ruotarle regolarmente e tenere presente che la chiave condivisa non consente la durata configurabile, deve essere eseguita manualmente. È anche consigliabile usare l’autenticazione con chiave condivisa con Azure Key Vault che consente di archiviare in modo sicuro il segreto in Azure.
Se si usa l’autenticazione di Microsoft Entra o l’autenticazione con token di firma di accesso condiviso (SAS), l'accesso alle API REST di Mappe di Azure viene autorizzato usando il controllo degli accessi in base al ruolo (RBAC). Il controllo degli accessi in base al ruolo consente di controllare l'accesso assegnato ai token emessi. È consigliabile considerare quanto tempo deve essere concesso l'accesso per i token. A differenza dell'autenticazione con chiave condivisa, la durata di questi token è configurabile.
Suggerimento
Per altre informazioni sulla configurazione della durata dei token, vedere:
Applicazioni client pubbliche e riservate
Esistono diversi problemi di sicurezza tra le applicazioni client pubbliche e riservate. Per altre informazioni su ciò che viene considerato un pubblico rispetto all'applicazione client riservata, vedere il client pubblico e le applicazioni client riservate nella documentazione di Microsoft Identity Platform.
Applicazioni client pubbliche
Per le app eseguite su dispositivi o computer desktop o in un Web browser, è consigliabile definire quali domini hanno accesso all'account di Mappe di Azure usando Condivisione di risorse tra origini (CORS). CORS indica al browser dei client su quali origini, ad esempio "https://microsoft.com" sono autorizzati a richiedere risorse per l'account Mappe di Azure.
Nota
Se si sviluppa un server Web o un servizio, non è necessario configurare l'account Mappe di Azure con CORS. Se si dispone di un codice JavaScript nell'applicazione Web lato client, viene applicato CORS.
Applicazioni client riservate
Per le app eseguite su server, ad esempio servizi Web e app del servizio/daemon, se si preferisce evitare il sovraccarico e la complessità della gestione dei segreti, prendere in considerazione le Identità gestite. Le identità gestite possono fornire un'identità per il servizio Web da usare per la connessione a Mappe di Azure usando l’autenticazione di Microsoft Entra. In tal caso, il servizio Web usa tale identità per ottenere i token Microsoft Entra necessari. È consigliabile usare il controllo degli accessi in base al ruolo di Azure per configurare l'accesso al servizio Web, usando i Ruoli con privilegi minimi possibili.