Gerenciar autenticação no Azure Mapas
Ao criar uma conta do Azure Mapas, a ID do cliente e as chaves compartilhadas são criadas automaticamente. Esses valores são necessários para autenticação ao usar o Microsoft Entra ID ou Autenticação de chave compartilhada.
Pré-requisitos
Entre no portal do Azure. Se você não tiver uma assinatura do Azure, crie uma conta gratuita antes de começar.
- Uma familiarização com as identidades gerenciadas para recursos do Azure. Certifique-se de entender os dois tipos de identidade gerenciados e como eles diferem.
- Uma conta do Azure Mapas.
- Uma familiarização com a autenticação dos Azure Mapas.
Exibir detalhes de autenticação
Importante
Recomendamos que você use a chave primária como a chave de assinatura ao usar a autenticação de chave compartilhada para chamar o Azure Mapas. É melhor usar a chave secundária em cenários como alterações de chave sem interrupção.
Para exibir detalhes de autenticação do Azure Mapas:
Entre no portal do Azure.
Selecione Todos os recursos na seção Serviços do Azure, e em seguida, selecione a conta do Azure Mapas.
Selecione Autenticação na seção de configurações no painel esquerdo.
Escolher uma categoria de autenticação
Dependendo das necessidades do seu aplicativo, há caminhos específicos para protegê-lo. O Microsoft Entra ID define categorias específicas de autenticação para dar suporte a uma ampla gama de fluxos de autenticação. Para escolher a melhor categoria para seu aplicativo, consulte categorias de aplicativo.
Observação
O reconhecimento das categorias e os cenários ajudará você a proteger seu aplicativo Azure Mapas, independentemente de você usar o Microsoft Entra ID ou a autenticação de chave compartilhada.
Como adicionar e remover identidades gerenciadas
Para habilitar a autenticação de token SAS (assinatura de acesso compartilhado) com a API REST do Azure Mapas, adicione uma identidade gerenciada atribuída pelo usuário à sua conta do Azure Mapas.
Criar uma identidade gerenciada
É possível criar uma identidade gerenciada atribuída pelo usuário antes ou depois de criar uma conta de mapa. É possível adicionar a identidade gerenciada por meio do portal, SDKs de gerenciamento do Azure, ou o modelo de ARM (Azure Resource Manager). Para adicionar uma identidade gerenciada atribuída pelo usuário por meio de um modelo do ARM, especifique o identificador de recurso da identidade gerenciada atribuída pelo usuário.
"identity": {
"type": "UserAssigned",
"userAssignedIdentities": {
"/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/example/providers/Microsoft.ManagedIdentity/userAssignedIdentities/exampleidentity": {}
}
}
Remover uma identidade gerenciada
Você pode remover uma identidade atribuída pelo sistema desabilitando o recurso por meio do portal ou do modelo de Azure Resource Manager da mesma forma que ele foi criado. As identidades atribuídas pelo usuário podem ser removidas individualmente. Para remover todas as identidades, defina o tipo de identidade como "None".
A remoção de uma identidade atribuída pelo sistema dessa maneira também a exclui do Microsoft Entra ID. As identidades atribuídas pelo sistema também são automaticamente removidas do Microsoft Entra ID quando a conta do Azure Mapas é excluída.
Para remover todas as identidades usando o modelo Azure Resource Manager, atualize esta seção:
"identity": {
"type": "None"
}
Escolher um cenário de autorização e autenticação
Esta tabela descreve os cenários comuns de autenticação e autorização nos Azure Mapas. Cada cenário descreve um tipo de aplicativo que pode ser usado para acessar a API REST do Azure Mapas. Use os links para obter informações detalhadas de configuração para cada cenário.
Importante
Para aplicativos de produção, é recomendável implementar o Microsoft Entra ID com o Azure RBAC (controle de acesso baseado em função do Azure).
| Cenário | Autenticação | Autorização | Esforço de desenvolvimento | Esforço operacional |
|---|---|---|---|---|
| Aplicativo cliente não interativo ou aplicativo daemon confiável | Chave compartilhada | N/D | Médio | Alto |
| Aplicativo cliente não interativo ou daemon confiável | ID do Microsoft Entra | Alto | Baixo | Médio |
| Aplicativo de página da Web única com logon único interativo | ID do Microsoft Entra | Alto | Médio | Médio |
| Aplicativo de página da Web única com logon único não interativo | ID do Microsoft Entra | Alto | Médio | Médio |
| Aplicativo Web, daemon ou aplicativo de logon não interativo | Token SAS | Alto | Médio | Baixo |
| Aplicativo de página da Web única com logon único | ID do Microsoft Entra | Alto | Alto | Médio |
| Dispositivo IoT ou um aplicativo restrito de entrada | ID do Microsoft Entra | Alto | Médio | Médio |
Exibir definições de função interna do Azure Mapas
Para exibir as definições de função interna do Azure Mapas:
No painel esquerdo, selecione Controle de acesso (IAM) .
Selecione a guia Funções.
Na caixa de pesquisa, insira Azure Mapas.
Os resultados exibem as definições de função interna disponíveis para o Azure Mapas.
Exibir atribuições de função
Para ver os usuários e aplicativos aos quais foi concedido acesso aos Azure Mapas, acesse Controle de Acesso (IAM) . Ali, selecione Atribuições de funçãoe, em seguida, filtre por Azure Mapas.
No painel esquerdo, selecione Controle de acesso (IAM) .
Selecione a guia Atribuições de função.
Na caixa de pesquisa, insira Azure Mapas.
Os resultados exibem as atribuições de função atuais do Azure Mapas.
Solicitar tokens para o Azure Mapas
Solicite um token do ponto de extremidade do Microsoft Entra. Em sua solicitação do Microsoft Entra ID, use os seguintes detalhes:
| Ambiente do Azure | Ponto de extremidade de token do Microsoft Entra | ID do recurso do Azure |
|---|---|---|
| Nuvem pública do Azure | https://login.microsoftonline.com |
https://atlas.microsoft.com/ |
| Nuvem do Azure Governamental | https://login.microsoftonline.us |
https://atlas.microsoft.com/ |
Para obter mais informações sobre como solicitar tokens de acesso do Microsoft Entra ID para usuários e entidades de serviço, consulte Cenários de autenticação para o Microsoft Entra ID. Para exibir cenários específicos, consulte a tabela de cenários.
Gerenciar e girar chaves compartilhadas
Suas chaves de assinatura dos Azure Mapas são semelhantes a uma senha raiz para sua conta dos Azure Mapas. Sempre tenha o cuidado de proteger as suas chaves de assinatura. Utilize o Azure Key Vault para gerenciar e girar suas chaves com segurança. Evite distribuir chaves de acesso para outros usuários, fazer hard-coding com elas ou salvá-las em qualquer lugar em texto sem formatação que seja acessível a outras pessoas. Se você acredita que suas chaves podem ter sido comprometidas, gire-as.
Observação
Se possível, recomendamos usar o Microsoft Entra ID em vez da chave compartilhada para autorizar solicitações. O Microsoft Entra ID tem melhor segurança do que a chave compartilhada e é mais fácil de usar.
Girar manualmente chaves de assinatura
Para ajudar a manter sua conta do Azure Mapas segura, recomendamos girar periodicamente suas chaves de assinatura. Se possível, use o Azure Key Vault para gerenciar as suas chaves de acesso. Se você não estiver usando o Key Vault, será necessário girar suas chaves manualmente.
Duas chaves de assinatura são atribuídas para você poder girar as chaves. Ter duas chaves garante que seu aplicativo mantenha o acesso aos Azure Mapas durante todo o processo.
Para girar suas chaves de assinatura dos Azure Mapas no portal do Azure:
- Atualize o código do aplicativo para fazer referência à chave secundária da conta dos Azure Mapas e implantar.
- No portal do Azure, vá para a conta dos Azure Mapas.
- Em Configurações, selecione Autenticação.
- Para regenerar a chave primária para sua conta dos Azure Mapas, selecione o botão Regenerar ao lado da chave primária.
- Atualize o código do aplicativo para fazer referência à nova chave primária e implantar.
- Regenere a chave de acesso secundária da mesma forma.
Aviso
É recomendável usar a mesma chave em todos os seus aplicativos. Se você usar a chave primária em alguns lugares e a chave secundária em outros, não será possível girar as chaves sem que algum aplicativo perca o acesso.
Próximas etapas
Localize as métricas de uso da API para sua conta do Azure Mapas:
Explore amostras que mostram como integrar o Microsoft Entra ID ao Azure Mapas: