Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Zabezpečení aplikace je zásadní. Bez ohledu na to, jak vynikající je uživatelský zážitek, může být nezabezpečená aplikace ohrožena hackery, narušovat její integritu a oslabovat důvěru uživatelů.
Tento článek obsahuje tipy k zajištění zabezpečení aplikace Azure Maps. Při používání Azure je důležité se seznámit s dostupnými nástroji zabezpečení. Další informace najdete v tématu Úvod k zabezpečení Azure v dokumentaci k zabezpečení Azure.
Porozumění bezpečnostním hrozbám
Pokud hackeři získají přístup k vašemu účtu, můžou potenciálně spouštět neomezené fakturovatelné transakce, což vede k neočekávaným nákladům a snížení výkonu kvůli limitům QPS.
K implementaci osvědčených postupů pro zabezpečení aplikací Azure Maps je nezbytné porozumět různým dostupným možnostem ověřování.
Osvědčené postupy ověřování ve službě Azure Maps
Při vývoji veřejně přístupných klientských aplikací pomocí Azure Maps je důležité zajistit, aby vaše tajné kódy ověřování zůstaly soukromé a nejsou veřejně přístupné.
Ověřování založené na klíči předplatného (sdílený klíč) se dá použít v aplikacích nebo webových službách na straně klienta, ale je to nejméně bezpečná metoda pro ochranu vaší aplikace nebo webové služby. Je to proto, že klíč může být snadno extrahován z požadavku HTTP, čímž umožní přístup ke všem REST API rozhraním Azure Maps dostupným v dané skupině cen. Pokud používáte klíče předplatného, nezapomeňte je pravidelně otáčet a nezapomeňte, že sdílený klíč nepodporuje konfigurovatelné životnosti, takže rotace musí být provedena ručně. Zvažte použití ověřování pomocí sdíleného klíče se službou Azure Key Vault k bezpečnému uložení tajného kódu v Azure.
Při použití ověřování Microsoft Entra nebo ověřování tokenu sdíleného přístupového podpisu (SAS) je přístup k rozhraním REST API služby Azure Maps autorizovaný pomocí řízení přístupu na základě role (RBAC). RBAC umožňuje určit úroveň přístupu udělenou vydaným tokenům. Je důležité vzít v úvahu dobu trvání, po kterou má být udělen přístup. Na rozdíl od ověřování pomocí sdíleného klíče je životnost těchto tokenů konfigurovatelná.
Návod
Další informace o konfiguraci životnosti tokenů najdete tady:
Veřejný klient a důvěrné klientské aplikace
Mezi veřejnými a důvěrnými klientskými aplikacemi existují různé bezpečnostní obavy. Další informace o tom, co se považuje za veřejnou a důvěrnou klientskou aplikaci, najdete v tématu Veřejné klientské a důvěrné klientské aplikace v dokumentaci k platformě Microsoft Identity Platform.
Veřejné klientské aplikace
U aplikací spuštěných na zařízeních, stolních počítačích nebo webových prohlížečích doporučujeme definovat, které domény mají přístup k vašemu účtu Azure Maps pomocí sdílení prostředků mezi zdroji (CORS). CORS informuje prohlížeč klienta, které zdroje, jako například "https://microsoft.com," mají povoleno žádat o prostředky pro účet Azure Maps.
Poznámka:
Pokud vyvíjíte webový server nebo službu, konfigurace účtu Azure Maps pomocí CORS není nutná. Pokud ale webová aplikace na straně klienta obsahuje javascriptový kód, použije se CORS.
Důvěrné klientské aplikace
U serverových aplikací, jako jsou webové služby a služební/démonské aplikace, zvažte použití Managed Identities, abyste se vyhnuli složitosti správy tajných kódů. Spravované identity můžou vaší webové službě poskytnout identitu pro připojení k Azure Maps pomocí ověřování Microsoft Entra. Vaše webová služba pak může tuto identitu použít k získání potřebných tokenů Microsoft Entra. Ke konfiguraci přístupu uděleného webové službě se doporučuje použít Azure RBAC a použít nejnižší možné privilegované role .