Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Mit dem Daten-API-Generator können Sie Ihre Daten schnell über REST- und GraphQL-Endpunkte verfügbar machen, sodass moderne Anwendungen einfacher erstellt werden können. Da diese Endpunkte Zugriff auf vertrauliche Daten bieten können, ist es wichtig, robuste Sicherheitsmaßnahmen zu implementieren, um Ihre Lösung vor unbefugtem Zugriff und Bedrohungen zu schützen.
Dieser Artikel enthält Anleitungen zum optimalen Sichern Ihrer Daten-API-Generator-Lösung.
Authentifizierung
- Verwenden Sie starke Authentifizierungsanbieter: Konfigurieren Sie den Daten-API-Generator immer, um einen sicheren Authentifizierungsanbieter wie Microsoft Entra ID oder App Services-Authentifizierung zu verwenden. Diese Konfiguration stellt sicher, dass nur autorisierte Benutzer auf Ihre APIs zugreifen können. Weitere Informationen finden Sie unter Authentifizierungskonfiguration.
- Vermeiden Sie das Hardcoding von Secrets: Speichern Sie niemals Authentifizierungsgeheimnisse oder Anmeldeinformationen direkt in Ihren Konfigurationsdateien oder Ihrem Quellcode. Verwenden Sie sichere Methoden wie Umgebungsvariablen oder Azure Key Vault. Weitere Informationen finden Sie unter Azure-Authentifizierung.
Autorisierung
Implementieren Sie die rollenbasierte Zugriffssteuerung (RBAC): Beschränken Sie den Zugriff auf Entitäten und Aktionen basierend auf Benutzerrollen, indem Sie Rollen und Berechtigungen in Ihrer Konfiguration definieren. Dies beschränkt die Gefährdung vertraulicher Daten und Vorgänge. Weitere Informationen finden Sie unter Rollen.
Standardmäßig verweigern: Standardmäßig sind Entitäten ohne Berechtigungen konfiguriert, sodass niemand darauf zugreifen kann. Definieren Sie explizit Berechtigungen für jede Rolle, um sicherzustellen, dass nur beabsichtigte Benutzer Zugriff haben. Weitere Informationen finden Sie unter Autorisierung.
Verwenden Sie den X-MS-API-ROLE-Header für benutzerdefinierte Rollen: Clients müssen den
X-MS-API-ROLEHeader angeben, um auf Ressourcen mit benutzerdefinierten Rollen zuzugreifen, um sicherzustellen, dass Anforderungen im richtigen Sicherheitskontext ausgewertet werden. Weitere Informationen finden Sie im benutzerdefinierten Rollenheader.
Transportsicherheit
Erzwingen der Transportschichtsicherheit für alle Verbindungen: Stellen Sie sicher, dass alle zwischen Clients und dem Daten-API-Generator ausgetauschten Daten mithilfe der Transportschichtsicherheit verschlüsselt werden. Transport Layer Security (TLS) schützt Daten während der Übertragung vor Abfangen und Manipulationen. Weitere Informationen finden Sie unter TLS-Erzwingung.
Deaktivieren Sie ältere TLS-Versionen: Konfigurieren Sie Ihren Server so, dass veraltete TLS-Versionen (z. B. TLS 1.0 und 1.1) deaktiviert werden, und verlassen Sie sich auf die standardmäßige TLS-Konfiguration des Betriebssystems, um die neuesten sicheren Protokolle zu unterstützen. Weitere Informationen finden Sie unter Deaktivieren von älteren TLS-Versionen.
Konfigurationssicherheit
Einschränken des anonymen Zugriffs: Lassen Sie bei Bedarf nur anonymen Zugriff auf Entitäten zu. Andernfalls muss für alle Endpunkte eine Authentifizierung erforderlich sein, um das Risiko einer nicht autorisierten Datenexposition zu verringern. Weitere Informationen finden Sie unter anonymer Systemrolle.
Beschränken Sie Berechtigungen auf das erforderliche Minimum: Gewähren Sie Benutzern und Rollen nur die Berechtigungen, die sie zum Ausführen ihrer Aufgaben benötigen. Vermeiden Sie die Verwendung von Wildcardberechtigungen, es sei denn, dies ist erforderlich. Weitere Informationen finden Sie unter "Berechtigungen".
Überwachung und Updates
Überwachen und Überwachen des Zugriffs: Erkennen Sie verdächtige Aktivitäten oder nicht autorisierte Zugriffsversuche, indem Sie regelmäßig Protokolle überprüfen und den Zugriff auf Ihre Daten-API-Generator-Endpunkte überwachen. Weitere Informationen finden Sie unter Überwachen mithilfe von Anwendungserkenntnissen.
Halten Sie Abhängigkeiten auf dem neuesten Stand: Stellen Sie sicher, dass Sie über die neuesten Sicherheitspatches und Verbesserungen verfügen, indem Sie den Daten-API-Generator, seine Abhängigkeiten und Ihre zugrunde liegende Plattform regelmäßig aktualisieren. Weitere Informationen finden Sie unter DAB-Versionen.
Verwandte Themen
- Azure-Authentifizierung
- Lokale Authentifizierung
- Autorisierung und Rollen
- Bewährte Methoden für Sicherheit