Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
La seguridad de la aplicación es fundamental. Independientemente de lo excelente que sea la experiencia del usuario, los hackers pueden poner en peligro una aplicación no segura, lo que degrada su integridad y deteriora la confianza del usuario.
Este artículo contiene sugerencias para garantizar la seguridad de la aplicación de Azure Maps. Al usar Azure, es importante familiarizarse con las herramientas de seguridad disponibles. Para más información, consulte Introducción a la seguridad de Azure en la documentación de seguridad de Azure.
Descripción de las amenazas de seguridad
Si los hackers obtienen acceso a su cuenta, podrían ejecutar transacciones facturables ilimitadas, lo que conduce a costos inesperados y a un rendimiento reducido debido a los límites de QPS.
Para implementar procedimientos recomendados para proteger las aplicaciones de Azure Maps, es esencial comprender las distintas opciones de autenticación disponibles.
Procedimientos recomendados de autenticación en Azure Maps
Al desarrollar aplicaciones cliente orientadas públicamente con Azure Maps, es fundamental asegurarse de que los secretos de autenticación permanecen privados y no son accesibles públicamente.
La autenticación basada en claves de suscripción (clave compartida) se puede usar en aplicaciones o servicios web del lado cliente, pero es el método menos seguro para proteger la aplicación o el servicio web. Esto se debe a que la clave se puede extraer fácilmente de una solicitud HTTP, concediéndole acceso a todas las API REST de Azure Maps disponibles en la SKU (plan de tarifa). Si usa claves de suscripción, asegúrese de rotarlas periódicamente y recuerde que la clave compartida no admite duraciones configurables, por lo que la rotación debe realizarse manualmente. Considere la posibilidad de usar la autenticación de clave compartida con Azure Key Vault para almacenar de forma segura el secreto en Azure.
Al usar la autenticación de Microsoft Entra o la autenticación de token de firma de acceso compartido (SAS), el acceso a las API REST de Azure Maps se autoriza mediante el control de acceso basado en rol (RBAC). RBAC permite especificar el nivel de acceso concedido a los tokens emitidos. Es importante tener en cuenta la duración durante la cual se debe conceder acceso. A diferencia de la autenticación de clave compartida, la duración de estos tokens es configurable.
Sugerencia
Para obtener más información sobre cómo configurar la duración de los tokens, consulte:
Aplicación cliente públicas y confidenciales
Hay diferentes problemas de seguridad entre las aplicaciones cliente públicas y confidenciales. Para obtener más información sobre lo que se considera una aplicación cliente pública frente a una confidencial, consulte Cliente público y aplicaciones cliente confidenciales en la documentación de la Plataforma de identidad de Microsoft.
Aplicaciones cliente públicas
En el caso de las aplicaciones que se ejecutan en dispositivos, equipos de escritorio o exploradores web, es aconsejable definir qué dominios pueden acceder a la cuenta de Azure Maps mediante el uso compartido de recursos entre orígenes (CORS). CORS informa al explorador del cliente qué orígenes, como "https://microsoft.com", pueden solicitar recursos para la cuenta de Azure Maps.
Nota:
Si va a desarrollar un servidor web o un servicio, no es necesario configurar la cuenta de Azure Maps con CORS. Sin embargo, si la aplicación web del lado cliente incluye código JavaScript, SE aplica CORS.
Aplicaciones cliente confidenciales
En el caso de las aplicaciones basadas en servidor, como servicios web y aplicaciones de servicio o demonio, considere la posibilidad de usar identidades administradas para evitar la complejidad de administrar secretos. Las identidades administradas pueden proporcionar una identidad para que el servicio web se conecte a Azure Maps mediante la autenticación de Microsoft Entra. Después, el servicio web puede usar esta identidad para obtener los tokens de Microsoft Entra necesarios. Se recomienda usar RBAC de Azure para configurar el acceso concedido al servicio web, aplicando los roles con privilegios mínimos posibles.