Osvědčené postupy ověřování
Nejdůležitější součástí aplikace je její zabezpečení. Bez ohledu na to, jak dobře může být uživatelské prostředí, pokud vaše aplikace není zabezpečená hackerem, může ji zničit.
Tady je několik tipů, jak zajistit zabezpečení aplikace Azure Mapy. Při používání Azure se nezapomeňte seznámit s dostupnými nástroji zabezpečení. Další informace najdete v úvodu k zabezpečení Azure.
Principy bezpečnostních hrozeb
Hackeři, kteří získají přístup k vašemu účtu, můžou potenciálně vytvářet neomezené fakturovatelné transakce, což vede k neočekávaným nákladům a snížení výkonu kvůli limitům QPS.
Při zvažování osvědčených postupů pro zabezpečení aplikací Azure Mapy je potřeba porozumět různým dostupným možnostem ověřování.
Osvědčené postupy ověřování v Azure Mapy
Při vytváření veřejně přístupných klientských aplikací pomocí Azure Mapy musíte zajistit, aby tajné kódy ověřování nejsou veřejně přístupné.
Ověřování na základě klíče předplatného (sdílený klíč) je možné použít v aplikacích na straně klienta nebo ve webových službách, ale je to nejméně zabezpečený přístup k zabezpečení vaší aplikace nebo webové služby. Důvodem je, že klíč se snadno získá z požadavku HTTP a udělí přístup ke všem rozhraní AZURE Mapy REST API dostupným ve SKU (cenová úroveň). Pokud používáte klíče předplatného, nezapomeňte je pravidelně obměňovat a mějte na paměti, že sdílený klíč neumožňuje konfigurovatelnou životnost, musíte je provést ručně. Měli byste také zvážit použití ověřování pomocí sdíleného klíče ve službě Azure Key Vault, které umožňuje bezpečně ukládat tajný kód do Azure.
Pokud používáte ověřování Microsoft Entra nebo ověřování tokenu sdíleného přístupového podpisu (SAS), přístup k rozhraním REST API služby Azure Mapy je autorizovaný pomocí řízení přístupu na základě role (RBAC). RBAC umožňuje řídit, jaký přístup se uděluje vydaným tokenům. Měli byste zvážit, jak dlouho má být udělen přístup pro tokeny. Na rozdíl od ověřování pomocí sdíleného klíče je životnost těchto tokenů konfigurovatelná.
Tip
Další informace o konfiguraci životnosti tokenů najdete tady:
Veřejný klient a důvěrné klientské aplikace
Mezi veřejnými a důvěrnými klientskými aplikacemi existují různé bezpečnostní obavy. Další informace o tom, co se považuje za veřejnou a důvěrnou klientskou aplikaci, najdete v tématu Veřejné klientské a důvěrné klientské aplikace v dokumentaci k platformě Microsoft Identity Platform.
Veřejné klientské aplikace
U aplikací, které běží na zařízeních nebo stolních počítačích nebo ve webovém prohlížeči, byste měli zvážit definování, které domény mají přístup k vašemu účtu Azure Map pomocí sdílení prostředků mezi zdroji (CORS). CORS dává prohlížeči klientů pokyn, kde jsou původy, například "https://microsoft.com" jsou povoleny žádosti o prostředky pro účet Azure Map.
Poznámka:
Pokud vyvíjíte webový server nebo službu, váš účet Azure Mapy nemusí být nakonfigurovaný s CORS. Pokud máte kód JavaScriptu ve webové aplikaci na straně klienta, použije se CORS.
Důvěrné klientské aplikace
Pokud chcete zabránit režii a složitosti správy tajných kódů, zvažte u aplikací, které běží na serverech (jako jsou webové služby a aplikace pro démony). Spravované identity můžou vaší webové službě poskytnout identitu, která se použije při připojování k Azure Mapy pomocí ověřování Microsoft Entra. Pokud ano, vaše webová služba použije danou identitu k získání požadovaných tokenů Microsoft Entra. Pomocí Azure RBAC byste měli nakonfigurovat, jaký přístup k webové službě je udělen, a to s využitím nejmíň privilegovaných rolí .
Další kroky
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro