Bonnes pratiques pour l'authentification
La partie la plus importante de votre application est sa sécurité. Quelle que soit la qualité de l’expérience utilisateur, si votre application n’est pas sécurisée, un pirate peut l’entacher.
Voici quelques conseils pour assurer la sécurité de votre application Azure Maps. Quand vous utilisez Azure, veillez à vous familiariser avec les outils de sécurité mis à votre disposition. Pour plus d’informations, consultez Présentation de la sécurité Azure.
Présentation des menaces de sécurité
Les pirates informatiques qui accèdent à votre compte peuvent potentiellement effectuer des transactions facturables illimitées, entraînant des coûts inattendus et une baisse des performances en raison des limites de QPS.
Quand vous envisagez de mettre en œuvre les bonnes pratiques pour sécuriser vos applications Azure Maps, vous devez comprendre les différentes options d’authentification disponibles.
Bonnes pratiques pour l’authentification dans Azure Maps
Lors de la création d’applications clientes accessibles publiquement avec Azure Maps, vous devez vérifier que vos secrets d’authentification ne sont pas accessibles publiquement.
L’authentification par clé d’abonnement (clé partagée) peut être utilisée dans les services web ou les applications côté client, mais il s’agit de l’approche la moins sécurisée pour sécuriser votre application ou service web. Cela vient du fait que la clé peut être facilement obtenue à partir d’une requête HTTP et qu’elle donne accès à toutes les API REST Azure Maps disponibles dans la référence SKU (niveau tarifaire). Si vous utilisez des clés d’abonnement, veillez à les permuter régulièrement et gardez à l’esprit que la fonctionnalité de clé partagée ne prend pas en charge la configuration de la durée de vie, qui doit être effectuée manuellement. Vous devez également envisager d’utiliser l’authentification par clé partagée avec Azure Key Vault, ce qui vous permet de stocker votre secret dans Azure de manière sécurisée.
Si vous utilisez l’authentification Microsoft Entra ou l’authentification d’un jeton de signature d’accès partagé (SAP), l’accès aux API REST Azure Maps est autorisé à l’aide du contrôle d’accès en fonction du rôle (RBAC). RBAC vous permet de contrôler l’accès aux jetons émis. Vous devez prendre en compte la durée d’octroi de l’accès pour les jetons. Contrairement à l’authentification par clé partagée, la durée de vie de ces jetons est configurable.
Conseil
Pour plus d’informations sur la configuration des durées de vie des jetons, consultez :
Applications clientes publiques et confidentielles
Il existe différents éléments à prendre en compte en matière de sécurité entre les applications clientes publiques et confidentielles. Pour plus d’informations sur ce qui est considéré comme une application cliente publique ou confidentielle, consultez Applications clientes publiques et confidentielles dans la documentation de la plateforme d’identité Microsoft.
Applications clientes publiques
Pour les applications qui s’exécutent sur des appareils ou des ordinateurs de bureau ou dans un navigateur web, vous devez envisager de définir quels domaines ont accès à votre compte Azure Map à l’aide du partage des ressources cross origin (CORS). CORS fournit des indications au navigateur des clients quant aux origines telles que "https://microsoft.com" qui sont autorisées à demander des ressources pour le compte Azure Map.
Notes
Si vous développez un serveur web ou un service, votre compte Azure Maps n’a pas besoin d’être configuré avec CORS. Si vous avez du code JavaScript dans l’application web côté client, CORS s’applique.
Applications clientes confidentielles
Pour les applications qui s’exécutent sur des serveurs (telles que des services web et des applications de service/démon), si vous préférez éviter la surcharge et la complexité liées à la gestion des secrets, envisagez les identités managées. Les identités managées peuvent fournir une identité que votre service web utilise lors de la connexion à Azure Maps à l’aide de l’authentification Microsoft Entra. Dans ce cas, votre service web utilise cette identité pour obtenir les jetons Microsoft Entra nécessaires. Vous devez utiliser Azure RBAC pour configurer l’accès octroyé au service web, en utilisant les rôles avec privilèges minimum possibles.