Metodtips för autentisering

Den enskilt viktigaste delen av ditt program är dess säkerhet. Oavsett hur bra användarupplevelsen kan vara kan det förstöras om ditt program inte är säkert.

Följande är några tips för att skydda ditt Azure Maps-program. När du använder Azure bör du bekanta dig med de säkerhetsverktyg som är tillgängliga för dig. Mer information finns i introduktionen till Azure-säkerhet.

Förstå säkerhetshot

Hackare som får åtkomst till ditt konto kan potentiellt göra obegränsade fakturerbara transaktioner, vilket resulterar i oväntade kostnader och minskad prestanda på grund av QPS-gränser.

När du överväger metodtips för att skydda dina Azure Maps-program måste du förstå de olika tillgängliga autentiseringsalternativen.

Metodtips för autentisering i Azure Maps

När du skapar offentligt riktade klientprogram med Azure Maps måste du se till att dina autentiseringshemligheter inte är offentligt tillgängliga.

Prenumerationsnyckelbaserad autentisering (delad nyckel) kan användas i program på klientsidan eller i webbtjänster, men det är den minst säkra metoden för att skydda ditt program eller din webbtjänst. Orsaken är att nyckeln enkelt hämtas från en HTTP-begäran och ger åtkomst till alla Azure Maps REST API som är tillgängliga i SKU:n (prisnivå). Om du använder prenumerationsnycklar måste du rotera dem regelbundet och komma ihåg att delad nyckel inte tillåter konfigurerbar livslängd, det måste göras manuellt. Du bör också överväga att använda autentisering med delad nyckel med Azure Key Vault, vilket gör att du på ett säkert sätt kan lagra din hemlighet i Azure.

Om du använder Microsoft Entra-autentisering eller SAS-tokenautentisering (Signatur för delad åtkomst) godkänns åtkomst till AZURE Maps REST API:er med rollbaserad åtkomstkontroll (RBAC).. Med RBAC kan du styra vilken åtkomst som ges till de utfärdade token. Du bör överväga hur länge åtkomsten ska beviljas för token. Till skillnad från autentisering med delad nyckel kan dessa tokens livslängd konfigureras.

Dricks

Mer information om hur du konfigurerar tokenlivslängder finns i:

Offentliga klientprogram och konfidentiella klientprogram

Det finns olika säkerhetsproblem mellan offentliga och konfidentiella klientprogram. Mer information om vad som anses vara ett offentligt kontra konfidentiellt klientprogram finns i Offentliga klientprogram och konfidentiella klientprogram i dokumentationen om Microsoft platforma za identitete.

Offentliga klientprogram

För appar som körs på enheter eller stationära datorer eller i en webbläsare bör du överväga att definiera vilka domäner som har åtkomst till ditt Azure Map-konto med resursdelning mellan ursprung (CORS). CORS instruerar klienternas webbläsare om vilka ursprung som "https://microsoft.com" kan begära resurser för Azure Map-kontot.

Kommentar

Om du utvecklar en webbserver eller tjänst behöver ditt Azure Maps-konto inte konfigureras med CORS. Om du har JavaScript-kod i webbprogrammet på klientsidan gäller CORS.

Konfidentiella klientprogram

För appar som körs på servrar (till exempel webbtjänster och tjänst-/daemon-appar) bör du överväga hanterade identiteter om du föredrar att undvika kostnader och komplexiteten med att hantera hemligheter. Hanterade identiteter kan tillhandahålla en identitet som webbtjänsten kan använda när du ansluter till Azure Maps med Hjälp av Microsoft Entra-autentisering. I så fall använder webbtjänsten den identiteten för att hämta nödvändiga Microsoft Entra-token. Du bör använda Azure RBAC för att konfigurera vilken åtkomst webbtjänsten ges med hjälp av de minsta möjliga privilegierade rollerna .

Nästa steg