Hitelesítés az Azure Maps használatával
Az Azure Térképek három módszert támogat a kérések hitelesítésére: a közös kulcsú hitelesítést, a Microsoft Entra ID-hitelesítést és a közös hozzáférésű jogosultságkód (SAS) jogkivonat-hitelesítést. Ez a cikk az Azure Térképek-szolgáltatások megvalósítását segítő hitelesítési módszereket ismerteti. A cikk egyéb fiókvezérlőket is ismertet, például az Azure Policy és a több forrásból származó erőforrás-megosztás (CORS) helyi hitelesítésének letiltását.
Megjegyzés:
Az Azure Térképek való biztonságos kommunikáció javítása érdekében mostantól támogatjuk a Transport Layer Security (TLS) 1.2-es verziót, és a TLS 1.0 és 1.1 támogatásának kivonásával. Ha jelenleg TLS 1.x-et használ, értékelje ki a TLS 1.2 felkészültségét, és dolgozzon ki egy migrálási tervet a TLS 1.0-s probléma megoldásában leírt teszteléssel.
Megosztott kulcs hitelesítése
A kulcsok Azure Portalon való megtekintéséről további információt a hitelesítési adatok megtekintése című témakörben talál.
Az elsődleges és másodlagos kulcsok az Azure Térképek-fiók létrehozása után jönnek létre. Javasoljuk, hogy az elsődleges kulcsot használja előfizetési kulcsként, amikor megosztott kulcsú hitelesítéssel hívja meg az Azure Térképek. A megosztott kulcsos hitelesítés átadja az Azure Térképek-fiók által létrehozott kulcsot egy Azure Térképek szolgáltatásnak. Az Azure Térképek-szolgáltatásokra irányuló minden kéréshez adja hozzá az előfizetési kulcsot paraméterként az URL-címhez. A másodlagos kulcs olyan helyzetekben használható, mint a gördülőkulcs-módosítások.
Példa az előfizetési kulcs paraméterként való használatára az URL-címben:
https://atlas.microsoft.com/mapData/upload?api-version=1.0&dataFormat=zip&subscription-key={Your-Azure-Maps-Subscription-key}
Fontos
Az elsődleges és másodlagos kulcsokat bizalmas adatokként kell kezelni. A megosztott kulcs az összes Azure-Térképek REST API hitelesítésére szolgál. A megosztott kulcsot használó felhasználóknak el kell absztrakciót alkalmazniuk az API-kulcsról, akár környezeti változókon keresztül, akár biztonságos titkos tárterületen keresztül, ahol központilag felügyelhetők.
Microsoft Entra-hitelesítés
Az Azure-előfizetéseket egy Microsoft Entra-bérlő biztosítja a részletes hozzáférés-vezérlés engedélyezéséhez. Az Azure Térképek a Microsoft Entra ID használatával biztosít hitelesítést az Azure Térképek-szolgáltatásokhoz. A Microsoft Entra ID identitásalapú hitelesítést biztosít a Microsoft Entra-bérlőben regisztrált felhasználók és alkalmazások számára.
Az Azure Térképek elfogadja az Azure Térképek-fiókot tartalmazó Azure-előfizetéshez társított Microsoft Entra-bérlők OAuth 2.0 hozzáférési jogkivonatait. Az Azure Térképek a következő jogkivonatokat is elfogadja:
- Microsoft Entra-felhasználók
- Felhasználók által delegált engedélyeket használó partneralkalmazások
- Azure-erőforrások felügyelt identitásai
Az Azure Térképek minden Azure-Térképek-fiókhoz létrehoz egy egyedi azonosítót (ügyfélazonosítót). A Microsoft Entra ID-tól jogkivonatokat kérhet, ha ezt az ügyfél-azonosítót más paraméterekkel kombinálja.
A Microsoft Entra-azonosító konfigurálásáról és a jogkivonatok Azure-Térképek való lekéréséről további információt az Azure Térképek hitelesítésének kezelése című témakörben talál.
A Microsoft Entra-azonosítóval való hitelesítéssel kapcsolatos általános információkért lásd : Hitelesítés és engedélyezés.
Felügyelt identitások azure-erőforrásokhoz és Azure-Térképek
Az Azure-erőforrások felügyelt identitásai egy automatikusan felügyelt alkalmazásalapú biztonsági tagot biztosítanak az Azure-szolgáltatások számára, amely a Microsoft Entra-azonosítóval hitelesíthető. Az Azure szerepköralapú hozzáférés-vezérlésével (Azure RBAC) a felügyelt identitásbiztonsági tag jogosult az Azure Térképek-szolgáltatások elérésére. Néhány példa a felügyelt identitásokra: Azure-alkalmazás Service, Azure Functions és Azure Virtual Machines. A felügyelt identitások listájáért tekintse meg azOkat az Azure-szolgáltatásokat, amelyek felügyelt identitásokat használhatnak más szolgáltatások eléréséhez. A felügyelt identitásokról további információt az Azure Térképek hitelesítésének kezelése című témakörben talál.
Alkalmazás Microsoft Entra-hitelesítésének konfigurálása
Az alkalmazások a Microsoft Entra-bérlővel hitelesíthetők a Microsoft Entra ID által biztosított egy vagy több támogatott forgatókönyv használatával. Minden Microsoft Entra-alkalmazásforgatókönyv különböző követelményeket képvisel az üzleti igények alapján. Egyes alkalmazások felhasználói bejelentkezési élményt igényelhetnek, más alkalmazások pedig alkalmazásbejelentkozási felületet igényelhetnek. További információkért lásd: Hitelesítési folyamatok és alkalmazáshasználati forgatókönyvek.
Miután az alkalmazás megkapta a hozzáférési jogkivonatot, az SDK és/vagy az alkalmazás a többi REST API HTTP-fejléc mellett a következő HTTP-fejléckészlettel küld egy HTTPS-kérést:
| Fejléc neve | Érték |
|---|---|
| x-ms-client-id | 30d7cc... 9f55 |
| Engedélyezés | Tulajdonos eyJ0e... HNIVN |
Megjegyzés:
x-ms-client-idAz Azure Térképek fiókalapú GUID, amely az Azure Térképek hitelesítési oldalán jelenik meg.
Íme egy példa egy Azure Térképek útvonalkérésre, amely egy Microsoft Entra ID OAuth Bearer-jogkivonatot használ:
GET /route/directions/json?api-version=1.0&query=52.50931,13.42936:52.50274,13.43872
Host: atlas.microsoft.com
x-ms-client-id: 30d7cc….9f55
Authorization: Bearer eyJ0e…HNIVN
Az ügyfél-azonosító megtekintéséről további információt a hitelesítési adatok megtekintése című témakörben talál.
Tipp.
Az ügyfélazonosító programozott lekérése
A PowerShell használatakor az ügyfélazonosító az UniqueId objektum tulajdonságaként IMapsAccount lesz tárolva. Ezt a tulajdonságot például a következővel Get-AzMapsAccountkérdezheti le:
$maps = Get-AzMapsAccount -Name {Azure-Maps_Account-Name} -ResourceGroupName {Resource-Group-Name} -SubscriptionId {SubscriptionId}
$ClientId = $maps.UniqueId
Az Azure CLI használatakor használja a az maps account show parancsot a --query paraméterrel, például:
$ClientId = az maps account show --name {Azure-Maps_Account-Name} --resource-group {Resource-Group-Name} --subscription {SubscriptionId} --query properties.uniqueId
Engedélyezés szerepköralapú hozzáférés-vezérléssel
Előfeltételek
Ha még nem ismeri az Azure RBAC-t, az Azure szerepköralapú hozzáférés-vezérlésének (Azure RBAC) áttekintése biztosítja, hogy az egyszerű típusok engedélykészletet, más néven szerepkördefiníciót kapjanak. A szerepkördefiníciók a REST API-műveletekhez biztosítanak engedélyeket. Az Azure Térképek támogatja az Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC) összes fő típusához való hozzáférést, beleértve az egyes Microsoft Entra-felhasználókat, csoportokat, alkalmazásokat, Azure-erőforrásokat és Felügyelt Azure-identitásokat. Egy vagy több Azure Térképek-fiókhoz való hozzáférés hatókörként ismert. A rendszer szerepkör-hozzárendelést hoz létre egy egyszerű, szerepkördefiníció és hatókör alkalmazásakor.
Áttekintés
A következő szakaszok az Azure Térképek Azure RBAC-vel való integrációjának alapelveit és összetevőit ismertetik. Az Azure Térképek-fiók beállításának részeként egy Microsoft Entra-címtár van társítva az Azure-előfizetéshez, amelyet az Azure Térképek-fiók található.
Az Azure RBAC konfigurálásakor válasszon ki egy biztonsági tagot, és alkalmazza azt egy szerepkör-hozzárendelésre. Ha tudni szeretné, hogyan adhat hozzá szerepkör-hozzárendeléseket az Azure Portalon, olvassa el az Azure-szerepkörök hozzárendelése az Azure Portal használatával című témakört.
Szerepkördefiníció kiválasztása
Az alkalmazásforgatókönyvek támogatásához az alábbi szerepkördefiníció-típusok léteznek.
| Azure-szerepkördefiníció | Leírás |
|---|---|
| Azure Térképek Keresési és renderelési adatolvasó | Csak az Azure Térképek REST API-k kereséséhez és rendereléséhez biztosít hozzáférést az alapszintű webböngészőhasználati esetekhez való hozzáférés korlátozásához. |
| Azure Térképek Adatolvasó | Hozzáférést biztosít a nem módosítható Azure Térképek REST API-khoz. |
| Azure Térképek-adatszolgáltató | Hozzáférést biztosít a mutable Azure Térképek REST API-khoz. A műveletek által definiált módosíthatóság: írás és törlés. |
| Azure Térképek adatolvasási és kötegelt szerepkör | Ezzel a szerepkörsel olvasási és kötegelési műveleteket rendelhet hozzá az Azure Térképek. |
| Egyéni szerepkördefiníció | Hozzon létre egy létrehozott szerepkört az Azure Térképek REST API-k rugalmas korlátozott hozzáférésének engedélyezéséhez. |
Egyes Azure Térképek-szolgáltatások emelt szintű jogosultságokat igényelhetnek írási vagy törlési műveletek végrehajtásához az Azure Térképek REST API-kban. Az írási vagy törlési műveleteket biztosító szolgáltatásokhoz azure Térképek adatszolgáltatói szerepkör szükséges. Az alábbi táblázat azt ismerteti, hogy az Azure Térképek Adatszolgáltató milyen szolgáltatásokat használ írási vagy törlési műveletek használatakor. Ha csak olvasási műveletekre van szükség, az Azure Térképek Adatolvasó szerepkör az Azure Térképek adatszolgáltatói szerepkör helyett használható.
| Azure Térképek szolgáltatás | Azure Térképek szerepkördefiníció |
|---|---|
| Adatok | Azure Térképek-adatszolgáltató |
| Alkotó | Azure Térképek-adatszolgáltató |
| Spatial | Azure Térképek-adatszolgáltató |
| Batch-keresés és útvonal | Azure Térképek-adatszolgáltató |
Az Azure RBAC-beállítások megtekintésével kapcsolatos információkért tekintse meg az Azure RBAC azure-Térképek való konfigurálását ismertető témakört.
Egyéni szerepkör-definíciók
Az alkalmazásbiztonság egyik aspektusa a minimális jogosultság elve, az a gyakorlat, amely korlátozza a hozzáférési jogosultságokat az aktuális feladathoz szükséges jogosultságokra. A hozzáférési jogosultságok korlátozásához egyéni szerepkör-definíciókat kell létrehozni, amelyek támogatják a hozzáférés-vezérléshez további részletességet igénylő használati eseteket. Egyéni szerepkördefiníció létrehozásához válassza ki a definícióhoz hozzáadni vagy kizárni kívánt adatműveleteket.
Az egyéni szerepkördefiníció ezután bármely biztonsági tag szerepkör-hozzárendelésében használható. Az Egyéni Azure-szerepkör-definíciókkal kapcsolatos további információkért tekintse meg az Azure-ra vonatkozó egyéni szerepköröket.
Íme néhány példaforgatókönyv, ahol az egyéni szerepkörök javíthatják az alkalmazások biztonságát.
| Eset | Egyéni szerepkör-adatművelet(ek) |
|---|---|
| Nyilvános vagy interaktív bejelentkezési weblap alaptérkép-csempékkel és más REST API-k nélkül. | Microsoft.Maps/accounts/services/render/read |
| Olyan alkalmazás, amely csak fordított geokódolást igényel, más REST API-kat nem. | Microsoft.Maps/accounts/services/search/read |
| Egy biztonsági tag szerepköre, amely az Azure Térképek Creator-alapú térképadatok és az alaptérkép-csempe REST API-k olvasását kéri. | Microsoft.Maps/accounts/services/data/read, Microsoft.Maps/accounts/services/render/read |
| Egy biztonsági tag szerepköre, amelyhez a létrehozóalapú térképadatok olvasása, írása és törlése szükséges. Olyan térképadat-szerkesztői szerepkörként definiálva, amely nem teszi lehetővé a hozzáférést más REST API-hoz, például az alaptérkép-csempékhez. | Microsoft.Maps/accounts/services/data/read, , Microsoft.Maps/accounts/services/data/writeMicrosoft.Maps/accounts/services/data/delete |
A hatókör bemutatása
Szerepkör-hozzárendelés létrehozásakor az Azure-erőforráshierarchiában van definiálva. A hierarchia felső része egy felügyeleti csoport, a legalacsonyabb pedig egy Azure-erőforrás, például egy Azure-Térképek-fiók. Ha szerepkör-hozzárendelést rendel egy erőforráscsoporthoz, több Azure-Térképek-fiókhoz vagy erőforráshoz is hozzáférhet.
Tipp.
A Microsoft általános javaslata, hogy rendeljen hozzáférést az Azure Térképek-fiók hatóköréhez, mivel megakadályozza az ugyanazon Azure-előfizetésben meglévő más Azure-Térképek-fiókokhoz való nem szándékos hozzáférést.
Helyi hitelesítés letiltása
Az Azure Térképek-fiókok támogatják a standard Azure-tulajdonságot a Felügyeleti API-ban a meghíváshoz Microsoft.Maps/accountsdisableLocalAuth. Amikor trueaz Azure Térképek adatsík REST API-jának összes hitelesítése le van tiltva, kivéve a Microsoft Entra-hitelesítést. Ez az Azure Policy használatával van konfigurálva a megosztott kulcsok és SAS-jogkivonatok terjesztésének és felügyeletének szabályozására. További információ: Mi az az Azure Policy?
A helyi hitelesítés letiltása nem lép érvénybe azonnal. Hagyjon néhány percet, amíg a szolgáltatás letiltja a jövőbeli hitelesítési kéréseket. A helyi hitelesítés újbóli engedélyezéséhez állítsa be a tulajdonságot néhány perc múlva a helyi hitelesítés folytatására false .
{
// omitted other properties for brevity.
"properties": {
"disableLocalAuth": true
}
}
Közös hozzáférésű jogosultságkód jogkivonatának hitelesítése
A közös hozzáférésű jogosultságkódok (SAS-) jogkivonatok JSON webes jogkivonat (JWT) formátumban létrehozott hitelesítési jogkivonatok, és kriptográfiai aláírással vannak aláírva, hogy igazolják egy alkalmazás hitelesítését az Azure Térképek REST API-ba. Sas-jogkivonat, amely egy felhasználó által hozzárendelt felügyelt identitás Azure-Térképek-fiókkal való integrálásával jön létre az Azure-előfizetésben. A felhasználó által hozzárendelt felügyelt identitás a beépített vagy egyéni szerepkördefiníciók használatával kap engedélyt az Azure Térképek-fiókhoz az Azure RBAC-ben.
Az SAS-jogkivonat funkcionális fő eltérései a Microsoft Entra hozzáférési jogkivonataitól:
- Egy jogkivonat élettartama egy nap (24 óra) maximális lejáratáig.
- Az Azure hely- és földrajzi hozzáférés-vezérlése jogkivonatonként.
- Jogkivonatonkénti sebességkorlátok másodpercenként körülbelül 1–500 kéréshez.
- A jogkivonat titkos kulcsai az Azure Térképek fiókerőforrás elsődleges és másodlagos kulcsai.
- Az engedélyezéshez a Szolgáltatásnév objektumot egy felhasználó által hozzárendelt felügyelt identitás adja meg.
Az SAS-jogkivonatok nem módosíthatók. Ez azt jelenti, hogy a jogkivonat létrehozása után az SAS-jogkivonat a lejáratig érvényes, és az engedélyezett régiók, a díjkorlátok és a felhasználó által hozzárendelt felügyelt identitás konfigurációja nem módosítható. További információ az SAS-jogkivonatok visszavonásának hozzáférés-vezérléséről és a hozzáférés-vezérlés módosításáról.
Az SAS-jogkivonatok sebességkorlátainak ismertetése
Az SAS-jogkivonat maximális sebességkorlátja szabályozhatja az Azure-Térképek-erőforrások számlázását
A jogkivonat maximális díjkorlátjának megadásakor amaxRatePerSecond rendszer nem számlázja ki a többletdíjakat a fióknak, így a jogkivonat használatakor a fiók számlázható tranzakcióinak felső korlátját állíthatja be. Az alkalmazás azonban az összes tranzakcióra vonatkozó ügyfélhiba-válaszokat 429 (TooManyRequests) kapja, miután elérte a korlátot. Az alkalmazás feladata az SAS-jogkivonatok újrapróbálkozásának és terjesztésének kezelése. Nincs korlátozva, hogy hány SAS-jogkivonat hozható létre egy fiókhoz. Meglévő jogkivonat korlátjának növelése vagy csökkentése; létre kell hozni egy új SAS-jogkivonatot. A régi SAS-jogkivonat a lejáratáig érvényes.
Becsült példa:
| Hozzávetőleges maximális sebesség másodpercenként | Tényleges sebesség másodpercenként | A tartós ráta időtartama másodpercben | Számlázható tranzakciók teljes száma |
|---|---|---|---|
| 10 | 20 | 600 | 6000 |
A tényleges sebességkorlátok attól függően változnak, hogy az Azure Térképek képes-e a konzisztenciát egy adott időtartamon belül kikényszeríteni. Ez azonban lehetővé teszi a számlázási költségek megelőző ellenőrzését.
A sebességkorlátok az Azure-beli helyeken vannak kikényszerítve, nem globálisan vagy földrajzilag
Egy 10-es sas-jogkivonat maxRatePerSecond például a hely átviteli sebességének East US korlátozására használható. Ha ugyanazt a jogkivonatot használja West US 2, a rendszer létrehoz egy új számlálót, amely a helyétől függetlenül 10-re korlátozza az átviteli sebességet az East US adott helyen. A költségek szabályozása és a kiszámíthatóság javítása érdekében a következőket javasoljuk:
- SAS-jogkivonatok létrehozása a kijelölt engedélyezett Azure-helyekkel a célzott földrajzi helyhez. Folytassa az olvasást az SAS-jogkivonatok létrehozásának megértéséhez.
- Földrajzi adatsíkú REST API-végpontok
https://us.atlas.microsoft.comvagyhttps://eu.atlas.microsoft.com.
Vegye figyelembe azt az alkalmazástopológiát, ahol a végpont https://us.atlas.microsoft.com az Azure Térképek-szolgáltatások által üzemeltetett egyesült államokbeli helyekre irányítja a végpontot, például East US: , West Central USvagy West US 2. Ugyanez az elképzelés vonatkozik más földrajzi végpontokra is, például https://eu.atlas.microsoft.com a között West Europe és North Europea között. A váratlan engedélyezési elutasítások elkerülése érdekében használjon SAS-jogkivonatot, amely ugyanazokat az Azure-helyeket használja, amelyeket az alkalmazás használ. A végpont helye az Azure Térképek Management REST API használatával van definiálva.
Az alapértelmezett sebességkorlátok elsőbbséget élveznek az SAS-jogkivonatok sebességkorlátjaival szemben
Az Azure Térképek díjkorlátjai szerint az egyes szolgáltatásajánlatok különböző díjkorlátokkal rendelkeznek, amelyeket a fiók összesítéseként kell kikényszeríteni.
Vegyük figyelembe a Search szolgáltatás – Nem kötegelt visszafejtés esetét, amelynek korlátja másodpercenként 250 lekérdezés (QPS) az alábbi táblákhoz. Minden tábla a példahasználatból származó becsült összes sikeres tranzakciót jelöli.
Az első táblázatban egy jogkivonat látható, amely másodpercenként legfeljebb 500 kéréssel rendelkezik, és az alkalmazás tényleges kihasználtsága másodpercenként 500 kérés 60 másodpercen át. Search szolgáltatás – A nem kötegalapú fordított árfolyamkorlát 250, ami a 60 másodperc alatt küldött 30 000 kérést jelenti; ezek közül 15 000 számlázható tranzakció. A fennmaradó kérések állapotkódot 429 (TooManyRequests)eredményeznek.
| Név | Hozzávetőleges maximális sebesség másodpercenként | Tényleges sebesség másodpercenként | A tartós ráta időtartama másodpercben | A sikeres tranzakciók hozzávetőleges száma |
|---|---|---|---|---|
| jogkivonat | 500 | 500 | 60 | ~15 000 |
Ha például két SAS-jogkivonat jön létre, és ugyanazt a helyet használja, mint egy Azure-Térképek-fiók, minden jogkivonat megosztja az alapértelmezett 250 QPS-sebességkorlátot. Ha az egyes jogkivonatokat ugyanabban az átviteli sebességű jogkivonatban használják, az 1. és a 2. jogkivonat sikeresen 7500 sikeres tranzakciót adna.
| Név | Hozzávetőleges maximális sebesség másodpercenként | Tényleges sebesség másodpercenként | A tartós ráta időtartama másodpercben | A sikeres tranzakciók hozzávetőleges száma |
|---|---|---|---|---|
| token 1 | 250 | 250 | 60 | ~7500 |
| token 2 | 250 | 250 | 60 | ~7500 |
AZ SAS-jogkivonat hozzáférés-vezérlésének ismertetése
Az SAS-jogkivonatok RBAC használatával szabályozzák a REST API-hoz való hozzáférést. SAS-jogkivonat létrehozásakor a térképfiók előfeltételként felügyelt identitásához egy Azure RBAC-szerepkör lesz hozzárendelve, amely hozzáférést biztosít adott REST API-műveletekhez. Lásd: Szerepkördefiníció kiválasztása annak meghatározásához, hogy az alkalmazás mely API-kat engedélyezi.
Ha ideiglenes hozzáférést szeretne hozzárendelni, és el szeretné távolítani a hozzáférést az SAS-jogkivonat lejárata előtt, vonja vissza a jogkivonatot. A hozzáférés visszavonásának további okai lehetnek, ha a jogkivonatot véletlenül szerepkör-hozzárendeléssel Azure Maps Data Contributor terjesztik, és az SAS-jogkivonattal rendelkező bárki képes lehet adatokat olvasni és írni az Azure Térképek REST API-kba, amelyek bizalmas adatokat vagy váratlan pénzügyi költségeket okozhatnak a használatból.
az SAS-jogkivonat(ok) hozzáférésének visszavonására két lehetőség van:
- Hozza létre újra a térképfiók SAS-jogkivonata vagy másodlagoskulcsa által használt kulcsot.
- Távolítsa el a felügyelt identitás szerepkör-hozzárendelését a társított térképfiókon.
Figyelmeztetés
Ha töröl egy SAS-jogkivonat által használt felügyelt identitást, vagy visszavonja a felügyelt identitás hozzáférés-vezérlését, az alkalmazás SAS-jogkivonatot és felügyelt identitást használó példányai szándékosan vissza fognak térni 401 Unauthorized vagy 403 Forbidden az Azure-ból Térképek REST API-kból, amelyek alkalmazáskimaradást okoznak.
A megszakítás elkerülése érdekében:
- Adjon hozzá egy második felügyelt identitást a leképezési fiókhoz, és adja meg az új felügyelt identitásnak a megfelelő szerepkör-hozzárendelést.
- Hozzon létre egy SAS-jogkivonatot az előzőnél eltérő felügyelt identitással
secondaryKey, éssigningKeyossza el az új SAS-jogkivonatot az alkalmazással. - Hozza létre újra az elsődleges kulcsot, távolítsa el a felügyelt identitást a fiókból, és távolítsa el a felügyelt identitás szerepkör-hozzárendelését.
SAS-jogkivonatok létrehozása
SAS-jogkivonatok létrehozásához szerepkör-hozzáféréssel kell rendelkeznie Contributor az Azure-előfizetésben lévő Azure-Térképek-fiókok és a felhasználó által hozzárendelt identitások kezeléséhez.
Fontos
Az Azure-ban global létrehozott meglévő Azure Térképek-fiókok nem támogatják a felügyelt identitásokat.
Először létre kell hoznia egy felhasználó által hozzárendelt felügyelt identitást az Azure Térképek-fiókkal azonos helyen.
Tipp.
Ugyanazt a helyet kell használnia a felügyelt identitáshoz és az Azure Térképek-fiókhoz is.
A felügyelt identitás létrehozása után létrehozhatja vagy frissítheti az Azure Térképek-fiókot, és csatolhatja azt. További információ: Azure Térképek-fiók kezelése.
Miután a fiók sikeresen létrejött vagy frissítve van a felügyelt identitással; szerepköralapú hozzáférés-vezérlés hozzárendelése a felügyelt identitáshoz egy Azure-Térképek adatszerepkörhöz a fiók hatókörében. Ez lehetővé teszi, hogy a felügyelt identitás hozzáférést kapjon az Azure Térképek REST API-hoz a térképfiókhoz.
Ezután hozzon létre egy SAS-jogkivonatot az Azure Management SDK eszközkészlet, a Fiókkezelési API SAS-műveletének listázása vagy az Azure Portal megosztott hozzáférésű jogosultságkód lapjának használatával.
SAS-jogkivonat paraméterei:
| Paraméter neve | Példaérték | Leírás |
|---|---|---|
| aláírókulcs | primaryKey |
Kötelező megadni az aláírókulcs primaryKeysztring-enumerálási értékét, secondaryKey vagy a felügyelt identitást az SAS aláírásának létrehozásához. |
| principalId | <GUID> |
Kötelező, a principalId a térképfiókhoz csatolt, felhasználó által hozzárendelt felügyelt identitás objektum-(egyszerű) azonosítója. |
| régió | [ "eastus", "westus2", "westcentralus" ] |
Nem kötelező, az alapértelmezett érték a következő null. A régiók szabályozzák, hogy az SAS-jogkivonat mely régiók használhatók az Azure Térképek REST adatsík API-ban. A régiók kihagyása paraméter lehetővé teszi az SAS-jogkivonat korlátozás nélküli használatát. Ha az Azure Térképek adatsík földrajzi végpontjával együtt használják, és us.atlas.microsoft.comeu.atlas.microsoft.com lehetővé teszi az alkalmazás számára a használat szabályozását a megadott földrajzi helyen. Ez lehetővé teszi a használat megelőzését más földrajzi helyeken. |
| maxRatePerSecond | 500 | Kötelező, a megadott hozzávetőleges maximális kérelem másodpercenként, amelyet az SAS-jogkivonat ad meg. A korlát elérése után a http-állapotkóddal 429 (TooManyRequests)korlátozva lesz a nagyobb átviteli sebesség. |
| start | 2021-05-24T10:42:03.1567373Z |
Kötelező, egy UTC-dátum, amely megadja a jogkivonat aktívvá válásának dátumát és időpontját. |
| expiry | 2021-05-24T11:42:03.1567373Z |
Kötelező, egy UTC-dátum, amely megadja a jogkivonat lejáratának dátumát és időpontját. A kezdés és a lejárat közötti időtartam nem lehet hosszabb 24 óránál. |
Alkalmazás konfigurálása SAS-jogkivonattal
Miután az alkalmazás megkapta az SAS-jogkivonatot, az Azure Térképek SDK és/vagy alkalmazások a többi REST API HTTP-fejléc mellett a következő HTTP-fejléccel küldenek HTTPS-kérést:
| Fejléc neve | Érték |
|---|---|
| Engedélyezés | jwt-sas eyJ0e....HNIVN |
Megjegyzés:
jwt-sas AZ SAS-jogkivonattal jelölendő hitelesítési séma. Ne adjon meg x-ms-client-id más engedélyezési fejléceket vagy subscription-key lekérdezési sztringparamétert.
Forrásközi erőforrásmegosztás (CORS)
A CORS egy HTTP-protokoll, amely lehetővé teszi, hogy az egyik tartományban futó webalkalmazás hozzáférjen egy másik tartomány erőforrásaihoz. A webböngészők olyan, azonos eredetű szabályzatként ismert biztonsági korlátozást implementálnak, amely megakadályozza, hogy egy weblap más tartományban hívja meg az API-kat; A CORS biztonságos módot biztosít arra, hogy az egyik tartomány (a forrástartomány) meghívhassa az API-kat egy másik tartományban. Az Azure Térképek fiókerőforrás használatával konfigurálhatja, hogy mely források férhetnek hozzá az Azure Térképek REST API-hoz az alkalmazásokból.
Fontos
A CORS nem engedélyezési mechanizmus. Ha a CORS engedélyezve van, a REST API-val egy térképfiókra irányuló kéréshez érvényes térképfiók-hitelesítési sémára is szükség van, például megosztott kulcsra, Microsoft Entra-azonosítóra vagy SAS-jogkivonatra.
A CORS minden térképfiók tarifacsomagja, adatsík-végpontja és helye esetében támogatott.
Előfeltételek
Annak érdekében, hogy megakadályozza a rosszindulatú kódfuttatást az ügyfélen, a modern böngészők letiltják a webalkalmazások kéréseit egy külön tartományban futó erőforrásokra.
- Ha nem ismeri a CORS-t, tekintse meg a forrásközi erőforrás-megosztást (CORS), amely lehetővé teszi, hogy a
Access-Control-Allow-Originfejléc meghatározza, hogy mely források hívhatják meg egy Azure-Térképek-fiók végpontjait. A CORS-protokoll nem az Azure Térképek jellemző.
CORS-kérések
A forrástartományból érkező CORS-kérések két különálló kérelemből állhatnak:
Egy előzetes kérés, amely lekérdezi a szolgáltatás által előírt CORS-korlátozásokat. Az elővizsgálati kérésre csak akkor van szükség, ha a kérés a GET, a HEAD, a POST vagy a kérésfejlécet tartalmazó
Authorizationkérések standard metódusa.A kívánt erőforrásra vonatkozó tényleges kérés.
Előzetes kérés
Az elővizsgálati kérés nem csak biztonsági intézkedésként történik, hogy a kiszolgáló megértse a tényleges kérelemben küldött metódust és fejléceket, valamint hogy a kiszolgáló tudja és megbízik a kérés forrásában, hanem lekérdezi a térképfiókhoz létrehozott CORS-korlátozásokat is. A webböngésző (vagy más felhasználói ügynök) egy OPTIONS kérést küld, amely tartalmazza a kérés fejléceit, a metódust és a forrástartományt. A térképfiók-szolgáltatás megpróbálja lekérni a CORS-szabályokat, ha a fiókhitelesítés a CORS elővizsgálati protokollon keresztül lehetséges.
Ha a hitelesítés nem lehetséges, a térképek szolgáltatás egy előre konfigurált CORS-szabálykészletet értékel ki, amely meghatározza, hogy mely forrástartományok, kérelemmetódusok és kérésfejlécek adhatók meg a térképszolgáltatással szembeni tényleges kérelemben. Alapértelmezés szerint a térképfiók úgy van konfigurálva, hogy minden forrás lehetővé tegye a webböngészőkbe való zökkenőmentes integrációt.
A szolgáltatás a szükséges hozzáférés-vezérlési fejlécekkel válaszol az elővizsgálati kérésre, ha az alábbi feltételek teljesülnek:
- A BEÁLLÍTÁSOK kérelem tartalmazza a szükséges CORS-fejléceket (az Origin és a Access-Control-Request-Method fejléceket)
- A hitelesítés sikeres volt, és a CORS-szabály engedélyezve van az elővizsgálati kérésnek megfelelő fiókhoz.
- A hitelesítés kihagyva a szükséges
Authorizationkérelemfejlécek miatt, amelyek nem adhatók meg az elővizsgálati kérelemben.
Ha az előzetes kérés sikeres, a szolgáltatás állapotkóddal 200 (OK)válaszol, és tartalmazza a szükséges hozzáférés-vezérlési fejléceket a válaszban.
A szolgáltatás elutasítja az elővizsgálati kéréseket, ha a következő feltételek teljesülnek:
- Ha a BEÁLLÍTÁSOK kérés nem tartalmazza a szükséges CORS-fejléceket (az Origin és az Access-Control-Request-Method fejléceket), a szolgáltatás állapotkóddal
400 (Bad request)válaszol. - Ha a hitelesítés sikeres volt az elővizsgálati kérelemben, és egyetlen CORS-szabály sem felel meg az elővizsgálati kérésnek, a szolgáltatás állapotkóddal
403 (Forbidden)válaszol. Ez akkor fordulhat elő, ha a CORS-szabály úgy van konfigurálva, hogy olyan forrást fogadjon el, amely nem felel meg az aktuális böngésző ügyfél-forráskérés fejlécének.
Megjegyzés:
Az előzetes kérések kiértékelése a szolgáltatáson, és nem a kért erőforráson történik. A fióktulajdonosnak engedélyeznie kell a CORS-t a megfelelő fióktulajdonságok beállításával ahhoz, hogy a kérés sikeres legyen.
Tényleges kérés
Az előzetes kérés elfogadása és a válasz visszaadása után a böngésző elküldi a tényleges kérést a térképszolgáltatásnak. A böngésző azonnal megtagadja a tényleges kérést, ha az előzetes kérést elutasítják.
A tényleges kérést a térképszolgáltatás normál kérésként kezeli. A fejléc jelenléte Origin azt jelzi, hogy a kérés CORS-kérés, és a szolgáltatás ezután érvényesíti a CORS-szabályokat. Ha talál egyezést, a rendszer hozzáadja az Access-Control fejléceket a válaszhoz, és visszaküldi az ügyfélnek. Ha nem található egyezés, a válasz 403 (Forbidden) egy CORS-forráshibát jelez.
CORS-szabályzat engedélyezése
A térképfiók létrehozásakor vagy frissítésekor a tulajdonságok határozzák meg a konfigurálni kívánt forrásokat. CORS-szabályt állíthat be az Azure Térképek-fióktulajdonságokra az Azure Térképek Management SDK, az Azure Térképek Management REST API és a portál használatával. Miután beállította a cors-szabályt a szolgáltatáshoz, a rendszer kiértékeli a szolgáltatáshoz egy másik tartományból érkező, megfelelően hitelesített kérést, amely megállapítja, hogy az engedélyezett-e a megadott szabálynak megfelelően. Például:
{
"location": "eastus",
"sku": {
"name": "G2"
},
"kind": "Gen2",
"properties": {
"cors": {
"corsRules": [
{
"allowedOrigins": [
"https://www.azure.com",
"https://www.microsoft.com"
]
}
]
}
}
}
Csak egy CORS-szabály adható meg az engedélyezett forráslistával. Minden forrás lehetővé teszi, hogy a HTTP-kérést az Azure Térképek REST API-ra lehessen küldeni a megadott forrás webböngészőjében.
CORS-szabályzat eltávolítása
Eltávolíthatja a CORS-t:
- Manuálisan az Azure Portalon
- Programozott használat:
Tipp.
Ha az Azure Térképek felügyeleti REST API-t használja, használja PUT vagy PATCH üres listával corsRule a kérelem törzsében.
{
"location": "eastus",
"sku": {
"name": "G2"
},
"kind": "Gen2",
"properties": {
"cors": {
"corsRules": []
}
}
}
}
A számlázási tranzakciók ismertetése
Az Azure Térképek nem számolja a következő számlázási tranzakciókat:
- 5xx HTTP-állapotkódok
- 401 (jogosulatlan)
- 403 (Tiltott)
- 408 (időtúllépés)
- 429 (TooManyRequests)
- CORS előzetes kérések
A számlázási tranzakciókról és az Azure Térképek egyéb díjszabási információiról az Azure Térképek díjszabásában talál további információt.
További lépések
A biztonsági ajánlott eljárásokkal kapcsolatos további információkért lásd:
Az alkalmazások Microsoft Entra-azonosítóval és Azure-Térképek való hitelesítésével kapcsolatos további információkért lásd:
Az Azure Térképek Control és a Microsoft Entra ID hitelesítésével kapcsolatos további információkért lásd: