Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die Sicherheit Ihrer Anwendung ist von entscheidender Bedeutung. Unabhängig davon, wie hervorragend die Benutzererfahrung ist, kann eine unsichere Anwendung von Hackern kompromittiert werden, wodurch ihre Integrität unterminiert und das Vertrauen der Benutzer verschlechtert wird.
Dieser Artikel enthält Tipps, um die Sicherheit Ihrer Azure Maps-Anwendung sicherzustellen. Bei der Verwendung von Azure ist es wichtig, sich mit den verfügbaren Sicherheitstools vertraut zu machen. Weitere Informationen finden Sie in der Azure-Sicherheitsdokumentation in der Einführung in die Azure-Sicherheit .
Grundlegendes zu Sicherheitsbedrohungen
Wenn Hacker Zugriff auf Ihr Konto erhalten, könnten sie potenziell unbegrenzte rechnungsbare Transaktionen ausführen, was zu unerwarteten Kosten und einer verringerten Leistung aufgrund von QPS-Grenzwerten führt.
Um bewährte Methoden zum Sichern Ihrer Azure Maps-Anwendungen zu implementieren, ist es wichtig, die verschiedenen verfügbaren Authentifizierungsoptionen zu verstehen.
Bewährte Methoden für die Authentifizierung in Azure Maps
Bei der Entwicklung öffentlich zugänglicher Clientanwendungen mit Azure Maps ist es wichtig, sicherzustellen, dass Ihre Authentifizierungsgeheimnisse privat bleiben und nicht öffentlich zugänglich sind.
Die schlüsselbasierte Abonnementauthentifizierung (Shared Key) kann in clientseitigen Anwendungen oder Webdiensten verwendet werden. Dies ist jedoch die am wenigsten sichere Methode zum Schutz Ihrer Anwendung oder Ihres Webdiensts. Dies liegt daran, dass der Schlüssel einfach aus einer HTTP-Anforderung extrahiert werden kann und Zugriff auf alle REST-APIs von Azure Maps gewährt wird, die in der SKU (Preisebene) verfügbar sind. Wenn Sie Abonnementschlüssel verwenden, stellen Sie sicher, dass sie regelmäßig gedreht werden, und denken Sie daran, dass freigegebener Schlüssel keine konfigurierbaren Lebensdauern unterstützt, sodass die Drehung manuell erfolgen muss. Erwägen Sie die Verwendung der gemeinsamen Schlüsselauthentifizierung mit Azure Key Vault , um Ihren geheimen Schlüssel sicher in Azure zu speichern.
Bei Verwendung der Microsoft Entra-Authentifizierung oder der SAS-Tokenauthentifizierung (Shared Access Signature) wird der Zugriff auf Azure Maps-REST-APIs mithilfe der rollenbasierten Zugriffssteuerung (RBAC) autorisiert. Mit RBAC können Sie die Zugriffsebene angeben, die den ausgestellten Token gewährt wurde. Es ist wichtig, die Dauer zu berücksichtigen, für die der Zugriff gewährt werden soll. Im Gegensatz zur Authentifizierung mit gemeinsam genutzten Schlüsseln ist die Lebensdauer dieser Token konfigurierbar.
Tipp
Weitere Informationen zum Konfigurieren der Tokenlebensdauer finden Sie hier:
Öffentliche und vertrauliche Clientanwendungen
Für öffentliche und vertrauliche Clientanwendungen gibt es verschiedene Sicherheitsaspekte. Weitere Informationen dazu, was als öffentliche und was als vertrauliche Clientanwendung gilt, finden Sie unter Öffentliche Client- und vertrauliche Clientanwendungen in der Dokumentation zur Microsoft-Identitätsplattform.
Öffentliche Clientanwendungen
Für Anwendungen, die auf Geräten, Desktopcomputern oder Webbrowsern ausgeführt werden, empfiehlt es sich, zu definieren, welche Domänen mit cross origin resource sharing (CORS) auf Ihr Azure Maps-Konto zugreifen können. CORS informiert den Browser des Clients darüber, welche Ursprünge, z. B. "https://microsoft.com,", Ressourcen für das Azure Maps-Konto anfordern dürfen.
Hinweis
Wenn Sie einen Webserver oder Dienst entwickeln, ist das Konfigurieren Ihres Azure Maps-Kontos mit CORS unnötig. Wenn Ihre clientseitige Webanwendung jedoch JavaScript-Code enthält, gilt CORS.
Vertrauliche Clientanwendungen
Für serverbasierte Anwendungen, z. B. Webdienste und Dienst-/Daemon-Apps, sollten Sie die Verwendung verwalteter Identitäten in Betracht ziehen, um die Komplexität der Verwaltung geheimer Schlüssel zu vermeiden. Verwaltete Identitäten können eine Identität für Ihren Webdienst bereitstellen, um mithilfe der Microsoft Entra-Authentifizierung eine Verbindung mit Azure Maps herzustellen. Ihr Webdienst kann diese Identität dann verwenden, um die erforderlichen Microsoft Entra-Token abzurufen. Es wird empfohlen, Azure RBAC zu verwenden, um den Zugriff zu konfigurieren, der dem Webdienst gewährt wird, und die Rollen mit den geringsten Rechten anzuwenden.