Sdílet prostřednictvím


Osvědčené postupy ověřování

Nejdůležitější součástí aplikace je její zabezpečení. Bez ohledu na to, jak dobře může být uživatelské prostředí, pokud vaše aplikace není zabezpečená hackerem, může ji zničit.

Tady je několik tipů, jak zajistit zabezpečení aplikace Azure Maps. Při používání Azure se nezapomeňte seznámit s dostupnými nástroji zabezpečení. Další informace najdete v úvodu k zabezpečení Azure.

Principy bezpečnostních hrozeb

Hackeři, kteří získají přístup k vašemu účtu, můžou potenciálně vytvářet neomezené fakturovatelné transakce, což vede k neočekávaným nákladům a snížení výkonu kvůli limitům QPS.

Při zvažování osvědčených postupů pro zabezpečení aplikací Azure Maps je potřeba porozumět různým dostupným možnostem ověřování.

Osvědčené postupy ověřování ve službě Azure Maps

Při vytváření veřejně přístupných klientských aplikací pomocí Azure Maps musíte zajistit, aby vaše tajné kódy ověřování nejsou veřejně přístupné.

Ověřování na základě klíče předplatného (sdílený klíč) je možné použít v aplikacích na straně klienta nebo ve webových službách, ale je to nejméně zabezpečený přístup k zabezpečení vaší aplikace nebo webové služby. Důvodem je, že klíč se snadno získá z požadavku HTTP a udělí přístup ke všem rozhraní REST API služby Azure Maps dostupným ve skladové posílce (cenová úroveň). Pokud používáte klíče předplatného, nezapomeňte je pravidelně obměňovat a mějte na paměti, že sdílený klíč neumožňuje konfigurovatelnou životnost, musíte je provést ručně. Měli byste také zvážit použití ověřování pomocí sdíleného klíče ve službě Azure Key Vault, které umožňuje bezpečně ukládat tajný kód do Azure.

Pokud používáte ověřování Microsoft Entra nebo ověřování tokenu sdíleného přístupového podpisu (SAS), je přístup k rozhraním REST API služby Azure Maps autorizovaný pomocí řízení přístupu na základě role (RBAC). RBAC umožňuje řídit, jaký přístup se uděluje vydaným tokenům. Měli byste zvážit, jak dlouho má být udělen přístup pro tokeny. Na rozdíl od ověřování pomocí sdíleného klíče je životnost těchto tokenů konfigurovatelná.

Veřejný klient a důvěrné klientské aplikace

Mezi veřejnými a důvěrnými klientskými aplikacemi existují různé bezpečnostní obavy. Další informace o tom, co se považuje za veřejnou a důvěrnou klientskou aplikaci, najdete v tématu Veřejné klientské a důvěrné klientské aplikace v dokumentaci k platformě Microsoft Identity Platform.

Veřejné klientské aplikace

U aplikací, které běží na zařízeních nebo stolních počítačích nebo ve webovém prohlížeči, byste měli zvážit definování, které domény mají přístup k vašemu účtu Azure Map pomocí sdílení prostředků mezi zdroji (CORS). CORS dává prohlížeči klientů pokyn, kde jsou původy, například "https://microsoft.com" jsou povoleny žádosti o prostředky pro účet Azure Map.

Poznámka:

Pokud vyvíjíte webový server nebo službu, váš účet Azure Maps nemusí být nakonfigurovaný s CORS. Pokud máte kód JavaScriptu ve webové aplikaci na straně klienta, použije se CORS.

Důvěrné klientské aplikace

Pokud chcete zabránit režii a složitosti správy tajných kódů, zvažte u aplikací, které běží na serverech (jako jsou webové služby a aplikace pro démony). Spravované identity můžou vaší webové službě poskytnout identitu, která se použije při připojování k Azure Maps pomocí ověřování Microsoft Entra. Pokud ano, vaše webová služba použije danou identitu k získání požadovaných tokenů Microsoft Entra. Pomocí Azure RBAC byste měli nakonfigurovat, jaký přístup k webové službě je udělen, a to s využitím nejmíň privilegovaných rolí .

Další kroky