Procedimientos recomendados de autenticación
La parte más importante de la aplicación es su seguridad. Por muy buena que sea la experiencia del usuario, si su aplicación no es segura un hacker puede arruinarla.
A continuación se muestran algunas sugerencias para proteger la aplicación Azure Maps. Al usar Azure, asegúrese de familiarizarse con las herramientas de seguridad disponibles. Para más información, consulte la introducción a la seguridad de Azure.
Descripción de las amenazas de seguridad
Los hackers que obtienen acceso a su cuenta podrían hacer transacciones facturables ilimitadas, lo que da lugar a costos inesperados y a una disminución del rendimiento debido a los límites de QPS.
Al considerar los procedimientos recomendados para proteger sus aplicaciones de Azure Maps, debe comprender las diferentes opciones de autenticación disponibles.
Procedimientos recomendados de autenticación en Azure Maps
Al crear aplicaciones cliente dirigidas al público con Azure Maps, debe asegurarse de que sus secretos de autenticación no sean accesibles para el público.
La autenticación basada en la clave de suscripción (clave compartida) se puede usar tanto en las aplicaciones del lado del cliente como en los servicios web, sin embargo es el enfoque menos seguro para proteger la aplicación o el servicio web. La razón es que la clave se obtiene fácilmente a partir de una solicitud HTTP y concede acceso a todas las API de REST de Azure Maps disponibles en el SKU (plan de tarifa). Si usa claves de suscripción, asegúrese de rotarlas regularmente y tenga en cuenta que la Clave Compartida no permite una duración configurable, sino que debe hacerse manualmente. También debería considerar el uso de la autenticación de la clave compartida con Azure Key Vault, que le permite almacenar de forma segura su secreto en Azure.
Si usa autenticación de Microsoft Entra o autenticación de tokens de firma de acceso compartido (SAS), se autoriza el acceso a las API REST de Azure Maps mediante control de acceso basado en rol (RBAC). El RBAC le permite controlar qué acceso se da a los tokens emitidos. Debe tener en cuenta cuánto tiempo se debe conceder acceso a los tokens. A diferencia de la autenticación de clave compartida, la duración de estos tokens es configurable.
Sugerencia
Para obtener más información sobre cómo configurar la duración de los tokens, consulte:
Aplicación cliente públicas y confidenciales
Hay diferentes problemas de seguridad entre las aplicaciones cliente públicas y confidenciales. Para obtener más información sobre lo que se considera una aplicación cliente pública frente a una confidencial, consulte Cliente público y aplicaciones cliente confidenciales en la documentación de la Plataforma de identidad de Microsoft.
Aplicaciones cliente públicas
En el caso de las aplicaciones que se ejecutan en dispositivos o equipos de escritorio o en un explorador web, debe considerar la posibilidad de definir qué dominios tienen acceso a su cuenta de Azure Map mediante el uso compartido de recursos entre orígenes (CORS). CORS indica al explorador de los clientes en qué orígenes como "https://microsoft.com" se permite solicitar recursos para la cuenta de Azure Map.
Nota:
Si desarrolla un servidor o servicio web, no es necesario que la cuenta de Azure Maps esté configurada con CORS. Si tiene código JavaScript en la aplicación web del lado del cliente, CORS sí se aplica.
Aplicaciones cliente confidenciales
Para las aplicaciones que se ejecutan en los servidores (como los servicios web y las aplicaciones de servicio/demonio), si prefiere evitar la sobrecarga y dificultad de administrar secretos, considere las identidades administradas. Las identidades administradas pueden proporcionar una identidad para que el servicio web se use al conectarse a Azure Maps mediante la autenticación de Microsoft Entra. Si es así, el servicio web usa esa identidad para obtener los tokens de Microsoft Entra necesarios. Debe usar RBAC de Azure para configurar qué acceso se da al servicio web, mediante los roles con privilegios mínimos posibles.