Melhores práticas da autenticação

A parte mais importante do seu aplicativo é a segurança. Independentemente da boa experiência do usuário, se ele não for seguro, um hacker poderá arruinar qualquer aplicativo.

Veja a seguir algumas dicas para manter o aplicativo Azure Mapas seguro. Ao usar o Azure, familiarize-se com as ferramentas de segurança disponíveis. Consulte mais informações em Introdução à segurança do Azure.

Noções básicas sobre ameaças de segurança

Hackers que obtêm acesso à sua conta podem potencialmente realizar transações faturáveis ilimitadas, resultando em custos inesperados e desempenho reduzido devido aos limites de QPS.

Ao considerar as melhores práticas para proteger seus aplicativos do Azure Mapas, você precisará conhecer as diferentes opções de autenticação disponíveis.

Práticas recomendadas de autenticação no Azure Mapas

Ao criar aplicativos cliente voltados para o público com o Azure Mapas, você deverá garantir que os segredos de autenticação não sejam publicamente acessíveis.

A autenticação baseada em chave de assinatura (Chave Compartilhada) pode ser usada em aplicativos do lado do cliente ou em serviços Web. No entanto, é a abordagem menos segura para proteger seu aplicativo ou serviço Web. O motivo é que a chave é facilmente obtido de uma solicitação HTTP e concede acesso a todas as API REST do Azure Mapas disponíveis no SKU (Tipo de Preço). Se você usar as chaves de assinatura, lembre-se de girá-las regularmente e lembre-se que a Chave Compartilhada não permite tempo de vida configurável, devendo ser feito manualmente. Você também deve considerar o uso da Autenticação de Chave Compartilhada com o Azure Key Vault, o que permite armazenar seu segredo com segurança no Azure.

Se estiver usando a autenticação do Microsoft Entra ou a autenticação por token de Assinatura de Acesso Compartilhado (SAS), o acesso às APIs REST do Azure Mapas será autorizado usando o Controle de acesso baseado em Função (RBAC). O RBAC permite que você controle qual acesso é atribuído aos tokens emitidos. Você deve considerar por quanto tempo o acesso deve ser concedido para os tokens. Ao contrário da autenticação de Chave Compartilhada, o tempo de vida desses tokens é configurável.

Dica

Para obter mais informações sobre como configurar o tempo de vida do token, veja:

Aplicativos cliente públicos e confidenciais

Há diferentes preocupações de segurança entre aplicativos cliente públicos e confidenciais. Para obter mais informações sobre o que é considerado um aplicativo cliente público e confidencial, veja Aplicativos cliente públicos e confidenciais na documentação da plataforma de identidade da Microsoft.

Aplicativos cliente públicos

Para aplicativos executados em dispositivos ou computadores desktop ou em um navegador da Web, você deve considerar definir quais domínios têm acesso à sua conta do Azure Mapas usando CORS (compartilhamento de recursos entre origens). O CORS instrui o navegador dos clientes sobre quais origens, como "https://microsoft.com" têm permissão para solicitar recursos para a conta do Azure Mapas.

Observação

Se você estiver desenvolvendo um servidor Web ou serviço, a conta do Azure Mapas não precisará ser configurada com CORS. Se você tiver o código JavaScript no aplicativo Web do lado do cliente, o CORS será aplicado.

Aplicativos cliente confidenciais

Para aplicativos executados em servidores (como serviços Web e aplicativos de serviço/daemon), se você preferir evitar a sobrecarga e a complexidade do gerenciamento de segredos, considere as Identidades gerenciadas. As identidades gerenciadas podem fornecer uma identidade para o seu serviço web usar quando se conectar ao Azure Mapas usando a autenticação do Microsoft Entra. Nesse caso, seu serviço Web usará essa identidade para obter os tokens necessários do Microsoft Entra. Você deve usar o RBAC do Azure para configurar qual acesso o serviço Web é concedido, usando as Funções com menos privilégios.

Próximas etapas