Práticas recomendadas de autenticação

A parte mais importante do seu aplicativo é sua segurança. Não importa quão boa seja a experiência do usuário, se seu aplicativo não for seguro, um hacker pode arruiná-lo.

A seguir estão algumas dicas para manter seu aplicativo do Azure Maps seguro. Ao usar o Azure, certifique-se de se familiarizar com as ferramentas de segurança disponíveis para você. Para obter mais informações, consulte a introdução à segurança do Azure.

Compreender as ameaças à segurança

Os hackers que obtêm acesso à sua conta podem potencialmente fazer transações faturáveis ilimitadas, resultando em custos inesperados e diminuição do desempenho devido aos limites de QPS.

Ao considerar as práticas recomendadas para proteger seus aplicativos do Azure Maps, você precisa entender as diferentes opções de autenticação disponíveis.

Práticas recomendadas de autenticação no Azure Maps

Ao criar aplicativos cliente voltados para o público com o Azure Maps, você deve garantir que seus segredos de autenticação não estejam acessíveis publicamente.

A autenticação baseada em chave de assinatura (Chave Compartilhada) pode ser usada em aplicativos do lado do cliente ou serviços Web, no entanto, é a abordagem menos segura para proteger seu aplicativo ou serviço Web. O motivo é que a chave é facilmente obtida a partir de uma solicitação HTTP e concede acesso a toda a API REST do Azure Maps disponível no SKU (Nível de Preço). Se você usa chaves de assinatura, certifique-se de girá-las regularmente e lembre-se de que a Chave Compartilhada não permite o tempo de vida configurável, isso deve ser feito manualmente. Você também deve considerar o uso da autenticação de Chave Compartilhada com o Cofre de Chaves do Azure, que permite armazenar seu segredo com segurança no Azure.

Se estiver usando a autenticação do Microsoft Entra ou a autenticação de Token de Assinatura de Acesso Compartilhado (SAS), o acesso às APIs REST do Azure Maps será autorizado usando o RBAC (controle de acesso baseado em função). O RBAC permite controlar o acesso dado aos tokens emitidos. Você deve considerar por quanto tempo o acesso deve ser concedido para os tokens. Ao contrário da autenticação de chave compartilhada, o tempo de vida desses tokens é configurável.

Gorjeta

Para obter mais informações sobre como configurar tempos de vida de token, consulte:

Aplicações de clientes públicos e confidenciais

Existem diferentes preocupações de segurança entre aplicações cliente públicas e confidenciais. Para obter mais informações sobre o que é considerado um aplicativo cliente público versus confidencial , consulte Cliente público e aplicativos cliente confidenciais na documentação da plataforma de identidade da Microsoft.

Aplicações cliente públicas

Para aplicativos executados em dispositivos ou computadores desktop ou em um navegador da Web, você deve considerar definir quais domínios têm acesso à sua conta do Mapa do Azure usando o compartilhamento de recursos entre origens (CORS). O CORS instrui o navegador do cliente sobre quais origens como "https://microsoft.com" têm permissão para solicitar recursos para a conta do Mapa do Azure.

Nota

Se você estiver desenvolvendo um servidor ou serviço Web, sua conta do Azure Maps não precisará ser configurada com CORS. Se você tiver código JavaScript no aplicativo Web do lado do cliente, o CORS se aplica.

Aplicações de cliente confidenciais

Para aplicativos executados em servidores (como serviços Web e aplicativos de serviço/daemon), se preferir evitar a sobrecarga e a complexidade do gerenciamento de segredos, considere Identidades Gerenciadas. As identidades gerenciadas podem fornecer uma identidade para seu serviço Web usar ao se conectar ao Azure Maps usando a autenticação do Microsoft Entra. Em caso afirmativo, seu serviço Web usa essa identidade para obter os tokens necessários do Microsoft Entra. Você deve usar o RBAC do Azure para configurar o acesso que o serviço Web recebe, usando as funções menos privilegiadas possíveis.

Próximos passos