Správa ověřování v Azure Mapy

  • Článek

Když vytvoříte účet Azure Mapy, automaticky se vytvoří ID klienta a sdílené klíče. Tyto hodnoty jsou vyžadovány pro ověřování při použití Microsoft Entra ID nebo sdíleného klíče ověřování.

Požadavky

Přihlaste se k portálu Azure. Pokud ještě nemáte předplatné Azure, vytvořte si napřed bezplatný účet.

Zobrazení podrobností o ověřování

Důležité

Pokud k volání Azure Mapy použijete ověřování pomocí sdíleného klíče, doporučujeme jako klíč předplatného použít primární klíč. Nejlepší je použít sekundární klíč ve scénářích, jako jsou změny klouzavého klíče.

Zobrazení podrobností o ověřování azure Mapy:

  1. Přihlaste se k portálu Azure.

  2. V části Služby Azure vyberte Všechny prostředky a pak vyberte svůj účet Azure Mapy.

    Select Azure Maps account.

  3. V části Nastavení v levém podokně vyberte Ověřování .

    Screenshot showing your Azure Maps subscription key in the Azure portal.

Volba kategorie ověřování

V závislosti na potřebách vaší aplikace existují konkrétní způsoby zabezpečení aplikací. Id Microsoft Entra definuje konkrétní kategorie ověřování, které podporují širokou škálu ověřovacích toků. Pokud chcete zvolit nejlepší kategorii pro vaši aplikaci, podívejte se na kategorie aplikací.

Poznámka:

Pochopení kategorií a scénářů vám pomůže zabezpečit aplikaci Azure Mapy bez ohledu na to, jestli používáte ID Microsoft Entra nebo ověřování pomocí sdíleného klíče.

Přidání a odebrání spravovaných identit

Pokud chcete povolit ověřování tokenu sdíleného přístupového podpisu (SAS) pomocí rozhraní Azure Mapy REST API, musíte do svého účtu Azure Mapy přidat spravovanou identitu přiřazenou uživatelem.

Vytvoření spravované identity

Spravovanou identitu přiřazenou uživatelem můžete vytvořit před vytvořením účtu mapy nebo po jeho vytvoření. Spravovanou identitu můžete přidat prostřednictvím portálu, sad SDK pro správu Azure nebo šablony Azure Resource Manageru (ARM). Pokud chcete přidat spravovanou identitu přiřazenou uživatelem prostřednictvím šablony ARM, zadejte identifikátor prostředku spravované identity přiřazené uživatelem.

"identity": {
    "type": "UserAssigned",
    "userAssignedIdentities": {
        "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/example/providers/Microsoft.ManagedIdentity/userAssignedIdentities/exampleidentity": {}
    }
}

Odebrání spravované identity

Identitu přiřazenou systémem můžete odebrat zakázáním funkce prostřednictvím portálu nebo šablony Azure Resource Manageru stejným způsobem, jakým byla vytvořena. Identity přiřazené uživatelem je možné odebrat jednotlivě. Pokud chcete odebrat všechny identity, nastavte typ identity na "None"hodnotu .

Odebrání identity přiřazené systémem tímto způsobem odstraní také z ID Microsoft Entra. Identity přiřazené systémem se také automaticky odeberou z ID Microsoft Entra při odstranění účtu Azure Mapy.

Pokud chcete odebrat všechny identity pomocí šablony Azure Resource Manageru, aktualizujte tuto část:

"identity": {
    "type": "None"
}

Volba scénáře ověřování a autorizace

Tato tabulka popisuje běžné scénáře ověřování a autorizace v Azure Mapy. Každý scénář popisuje typ aplikace, která se dá použít pro přístup k rozhraní Azure Mapy REST API. Pomocí odkazů se dozvíte podrobné informace o konfiguraci jednotlivých scénářů.

Důležité

Pro produkční aplikace doporučujeme implementovat ID Microsoft Entra s řízením přístupu na základě role v Azure (Azure RBAC).

Scénář Authentication Autorizace Úsilí o vývoj Provozní úsilí
Důvěryhodná aplikace démona nebo neinteraktivní klientská aplikace Sdílený klíč střední Nejvyšší
Důvěryhodná aplikace démona nebo neinteraktivní klientská aplikace Microsoft Entra ID Nejvyšší Nejnižší střední
Webová jednostránka aplikace s interaktivním jednotným přihlašováním Microsoft Entra ID Nejvyšší střední střední
Webová jednostránka aplikace s neinteraktivním přihlašováním Microsoft Entra ID Nejvyšší střední střední
Webová aplikace, aplikace démona nebo neinteraktivní přihlášení SAS Token Nejvyšší střední Nejnižší
Webová aplikace s interaktivním jednotným přihlašováním Microsoft Entra ID Nejvyšší Nejvyšší střední
Zařízení IoT nebo vstupní omezená aplikace Microsoft Entra ID Nejvyšší střední střední

Zobrazení předdefinovaných definic rolí azure Mapy

Zobrazení předdefinované definice role azure Mapy:

  1. V levém podokně vyberte Řízení přístupu (IAM).

  2. Vyberte kartu Role.

  3. Do vyhledávacího pole zadejte Azure Mapy.

Výsledky zobrazují dostupné předdefinované definice rolí pro Azure Mapy.

View built-in Azure Maps role definitions.

Zobrazit přiřazení role

Pokud chcete zobrazit uživatele a aplikace, kterým byl udělen přístup pro Azure Mapy, přejděte na Řízení přístupu (IAM). Tam vyberte Přiřazení rolí a pak vyfiltrujte podle Azure Mapy.

  1. V levém podokně vyberte Řízení přístupu (IAM).

  2. Vyberte kartu Přiřazení rolí.

  3. Do vyhledávacího pole zadejte Azure Mapy.

Výsledky zobrazují aktuální přiřazení rolí azure Mapy.

View built-in View users and apps that have been granted access.

Vyžádání tokenů pro Azure Mapy

Požádejte o token z koncového bodu tokenu Microsoft Entra. V žádosti o ID Microsoft Entra použijte následující podrobnosti:

Prostředí Azure Koncový bod tokenu Microsoft Entra ID prostředku Azure
Veřejný cloud Azure https://login.microsoftonline.com https://atlas.microsoft.com/
Cloud Azure Government https://login.microsoftonline.us https://atlas.microsoft.com/

Další informace o vyžádání přístupových tokenů z ID Microsoft Entra pro uživatele a instanční objekty naleznete v tématu Scénáře ověřování pro Microsoft Entra ID. Pokud chcete zobrazit konkrétní scénáře, podívejte se na tabulku scénářů.

Správa a obměna sdílených klíčů

Klíče předplatného Azure Mapy se podobají kořenovému heslu pro váš účet Azure Mapy. Vždy buďte opatrní při ochraně klíčů předplatného. Pomocí služby Azure Key Vault můžete klíče bezpečně spravovat a otáčet. Vyhněte se distribuci přístupových klíčů ostatním uživatelům, jejich pevnému kódování nebo jejich uložení kdekoli ve formátu prostého textu, který je přístupný ostatním uživatelům. Pokud se domníváte, že vaše klíče mohly být ohroženy, otočte je.

Poznámka:

Pokud je to možné, doporučujeme místo sdíleného klíče k autorizaci žádostí použít ID Microsoft Entra. Microsoft Entra ID má lepší zabezpečení než sdílený klíč a je snazší ho používat.

Ruční obměna klíčů předplatného

Pokud chcete zajistit zabezpečení účtu Azure Mapy, doporučujeme pravidelně obměnět klíče předplatného. Pokud je to možné, ke správě přístupových klíčů použijte Azure Key Vault. Pokud nepoužíváte Key Vault, musíte klíče ručně otočit.

Přiřadí se dva klíče předplatného, abyste mohli klíče otočit. Když máte dva klíče, zajistíte, aby vaše aplikace během celého procesu udržovala přístup k Azure Mapy.

Obměna klíčů předplatného Azure Mapy na webu Azure Portal:

  1. Aktualizujte kód aplikace tak, aby odkazovat na sekundární klíč pro účet Azure Mapy a nasadil ho.
  2. Na webu Azure Portal přejděte ke svému účtu Azure Mapy.
  3. V části Nastavení vyberte Ověřování.
  4. Pokud chcete znovu vygenerovat primární klíč pro váš účet Azure Mapy, vyberte tlačítko Znovu vygenerovat vedle primárního klíče.
  5. Aktualizujte kód aplikace tak, aby odkazovat na nový primární klíč a nasadil ho.
  6. Znovu vygenerujte sekundární klíč stejným způsobem.

Upozorňující

Doporučujeme použít stejný klíč ve všech vašich aplikacích. Pokud primární klíč používáte na některých místech a sekundární klíč v jiných, nebudete moct klíče otáčet, aniž by některé aplikace ztratily přístup.

Další kroky

Vyhledejte metriky využití rozhraní API pro váš účet Azure Mapy:

Zobrazení metrik využití

Prozkoumejte ukázky, které ukazují, jak integrovat ID Microsoft Entra s Azure Mapy:

Ukázky ověřování Microsoft Entra