Démonalkalmazás védelme

Ez a cikk azt ismerteti, hogyan üzemeltethet démonalkalmazásokat megbízható és biztonságos környezetben Microsoft Azure Maps.

Az alábbi példák démonalkalmazásokra mutatnak be példákat:

  • Azure-webfeladat
  • Azure-függvényalkalmazás
  • Windows-szolgáltatás
  • Futó és megbízható háttérszolgáltatás

Azure Maps hitelesítési részleteinek megtekintése

A Azure Maps-fiók hitelesítési adatainak megtekintése a Azure Portal:

  1. Jelentkezzen be az Azure Portalra.

  2. Lépjen a Azure Portal menübe. Válassza a Minden erőforrás lehetőséget, majd válassza ki a Azure Maps fiókját.

  3. A bal oldali panel Beállítások területén válassza a Hitelesítés lehetőséget.

    Hitelesítési adatok.

A Azure Maps-fiók létrehozásakor három érték jön létre. Kétféle hitelesítést támogatnak a Azure Maps:

  • Azure Active Directory-hitelesítés: A Client ID a REST API-kérésekhez használni kívánt fiókot jelöli. Az Client ID értéket az alkalmazáskonfigurációban kell tárolni, majd le kell kérni, mielőtt Azure Maps Azure AD hitelesítést használó HTTP-kéréseket végez.
  • Megosztott kulcsos hitelesítés: A Primary Key és Secondary Key az előfizetési kulcsként használatos a megosztott kulcsos hitelesítéshez. A megosztott kulcsos hitelesítés a Azure Maps-fiók által létrehozott kulcs átadásán alapul, és minden kérést Azure Maps. Javasoljuk, hogy rendszeresen hozza létre újra a kulcsokat. Az újragenerálás során az aktuális kapcsolatok fenntartásához két kulcs van megadva. Az egyik kulcs használatban lehet, miközben újragenerálja a másikat. A kulcsok újragenerálásakor frissítenie kell a fiókhoz hozzáférő alkalmazásokat az új kulcsok használatához. További információ: Hitelesítés Azure Maps

Fontos

Éles alkalmazások esetében a Azure AD és az Azure szerepköralapú hozzáférés-vezérlésének (Azure RBAC) implementálását javasoljuk. A Azure AD fogalmak áttekintését lásd: Hitelesítés Azure Maps.

Forgatókönyv: Megosztott kulcsos hitelesítés az Azure Key Vault

A megosztott kulcsos hitelesítést használó alkalmazásoknak biztonságos tárolóban kell tárolniuk a kulcsokat. Ez a forgatókönyv azt ismerteti, hogyan tárolhatja biztonságosan az alkalmazáskulcsot titkos kódként az Azure Key Vault. A megosztott kulcs alkalmazáskonfigurációban való tárolása helyett az alkalmazás lekérheti a megosztott kulcsot Azure Key Vault titkos kódként. A kulcsok újragenerálásának egyszerűsítése érdekében azt javasoljuk, hogy az alkalmazások egyszerre egy kulcsot használjanak. Az alkalmazások ezután újragenerálhatják a nem használt kulcsot, és üzembe helyezhetik az újragenerált kulcsot az Azure Key Vault, miközben továbbra is fenntarthatják az aktuális kapcsolatokat egy kulccsal. Az Azure Key Vault konfigurálásának megismeréséhez tekintse meg az Azure Key Vault fejlesztői útmutatót.

Fontos

Ez a forgatókönyv közvetett módon éri el az Azure Active Directoryt az Azure Key Vault keresztül. Javasoljuk azonban, hogy Azure AD hitelesítést közvetlenül használja. A Azure AD használata közvetlenül elkerüli a megosztott kulcsos hitelesítés és a Key Vault beállításának további összetettségét és működési követelményeit.

A következő lépések ismertetik ezt a folyamatot:

  1. Hozzon létre egy Azure-Key Vault.
  2. Hozzon létre egy Azure AD szolgáltatásnevet egy alkalmazásregisztráció vagy felügyelt identitás létrehozásával. A létrehozott rendszerbiztonsági tag felelős az Azure Key Vault eléréséhez.
  3. Rendelje hozzá a szolgáltatásnév-hozzáférést az Azure Key Titkos kulcsok get engedélyhez. Az engedélyek beállításával kapcsolatos részletekért lásd: Key Vault hozzáférési szabályzat hozzárendelése a Azure Portal használatával.
  4. Ideiglenesen rendelje hozzá a titkos set kódokhoz való hozzáférést a fejlesztőnek.
  5. Állítsa be a megosztott kulcsot a Key Vault titkos kulcsban, és hivatkozzon a titkos azonosítóra a démonalkalmazás konfigurációjaként.
  6. Távolítsa el a titkos kulcsok set engedélyét.
  7. A megosztott kulcs titkos kódjának Az Azure Key Vault-ból való lekéréséhez implementálja az Azure Active Directory-hitelesítést a démonalkalmazásban.
  8. Hozzon létre egy Azure Maps REST API-kérést a megosztott kulccsal. Most a démonalkalmazás lekérheti a megosztott kulcsot a Key Vault.

Tipp

Ha az alkalmazást az Azure-környezetben üzemelteti, javasoljuk, hogy felügyelt identitással csökkentse a titkos kulcsok hitelesítéshez való kezelésének költségeit és összetettségét. A felügyelt identitások beállításáról az Oktatóanyag: Key Vault csatlakoztatása egy Azure-webalkalmazáshoz a .NET-ben című oktatóanyagban olvashat.

Forgatókönyv: szerepköralapú hozzáférés-vezérlés Azure AD

A Azure Maps-fiók létrehozása után a Azure Maps Client ID érték megjelenik a Azure Portal hitelesítés részleteinek lapján. Ez az érték a REST API-kérésekhez használni kívánt fiókot jelöli. Ezt az értéket az alkalmazáskonfigurációban kell tárolni, és le kell kérni a HTTP-kérések végrehajtása előtt. A forgatókönyv célja, hogy lehetővé tegye a démonalkalmazás számára a hitelesítést Azure AD és Azure Maps REST API-k meghívásához.

Tipp

A felügyelt identitás összetevőinek előnyeinek lehetővé tétele érdekében javasoljuk, hogy az Azure Virtual Machines, Virtual Machine Scale Sets vagy App Services szolgáltatást üzemeltetje.

Démont üzemeltet az Azure-erőforrásokon

Az Azure-erőforrásokon való futtatáskor az Azure által felügyelt identitásokat úgy konfigurálhatja, hogy alacsony költségű, minimális hitelesítőadat-kezelési erőfeszítést tegyenek lehetővé.

A felügyelt identitásokhoz való alkalmazáshozzáférés engedélyezéséhez tekintse meg a felügyelt identitások áttekintését ismertető cikket.

A felügyelt identitás néhány előnye a következő:

  • Az Azure rendszer által felügyelt X509-tanúsítvány nyilvános kulcsú titkosítási hitelesítése.
  • Azure AD biztonságot X509-tanúsítványokkal az ügyfél titkos kódjai helyett.
  • Az Azure felügyeli és megújítja a Felügyelt identitás erőforráshoz társított összes tanúsítványt.
  • A hitelesítő adatok működési kezelése egyszerűbb, mivel a felügyelt identitás nem igényel biztonságos titkoskód-tároló szolgáltatást, például az Azure Key Vault.

Démont üzemeltet nem Azure-erőforrásokon

Nem Azure-környezetben való futtatáskor a felügyelt identitások nem érhetők el. Ezért konfigurálnia kell egy szolgáltatásnevet egy Azure AD alkalmazásregisztráción keresztül a démonalkalmazáshoz.

Új alkalmazásregisztráció létrehozása

Ha már létrehozta az alkalmazásregisztrációt, lépjen a Delegált API-engedélyek hozzárendelése területre.

Új alkalmazásregisztráció létrehozása:

  1. Jelentkezzen be az Azure Portalra.

  2. Válassza az Azure Active Directory elemet.

  3. A bal oldali panel Kezelés területén válassza a Alkalmazásregisztrációk lehetőséget.

  4. Válassza az + Új regisztráció lapot.

    Alkalmazásregisztrációk megtekintése.

  5. Adjon meg egy Nevet, majd válasszon egy támogatási fióktípust.

    Alkalmazásregisztráció létrehozása.

  6. Válassza a Regisztráció lehetőséget.

Delegált API-engedélyek hozzárendelése

Delegált API-engedélyek hozzárendelése Azure Maps:

  1. Ha még nem tette meg, jelentkezzen be a Azure Portal.

  2. Válassza az Azure Active Directory elemet.

  3. A bal oldali panel Kezelés területén válassza a Alkalmazásregisztrációk lehetőséget.

  4. Válassza ki az alkalmazást.

    Válassza az alkalmazásregisztrációk lehetőséget.

  5. A bal oldali panel Kezelés területén válassza az API-engedélyek lehetőséget.

  6. Válassza az Engedély hozzáadása lehetőséget.

    Alkalmazásengedély hozzáadása.

  7. Válassza ki a szervezetem által használt API-k lapot.

  8. A keresőmezőbe írja be a Azure Maps.

  9. Válassza a Azure Maps lehetőséget.

    Alkalmazásengedély kérése.

  10. Jelölje be az Access Azure Maps jelölőnégyzetet.

  11. Válassza az Engedélyek hozzáadása lehetőséget.

    Válassza ki az alkalmazás API-engedélyeit.

Titkos ügyfélkód létrehozása vagy tanúsítvány konfigurálása

Ha kiszolgáló- vagy alkalmazásalapú hitelesítést szeretne implementálni az alkalmazásba, két lehetőség közül választhat:

  • Töltsön fel egy nyilvános kulcsú tanúsítványt.
  • Titkos ügyfélkódok létrehozása.
Nyilvános kulcsú tanúsítvány feltöltése

Nyilvános kulcsú tanúsítvány feltöltése:

  1. A bal oldali panel Kezelés területén válassza a Tanúsítványok titkos kódja lehetőséget&.

  2. Válassza a Tanúsítvány feltöltése lehetőséget. Tanúsítvány feltöltése.

  3. A szövegdoboztól jobbra válassza a fájl ikont.

  4. Jelöljön ki egy .crt, .cer vagy .pem fájlt, majd válassza a Hozzáadás lehetőséget.

    Töltse fel a tanúsítványfájlt.

Titkos ügyfélkód létrehozása

Titkos ügyfélkód létrehozása:

  1. A bal oldali panel Kezelés területén válassza a Tanúsítványok titkos kódja lehetőséget&.

  2. Válassza az + Új titkos ügyfélkulcs lehetőséget.

    Új titkos ügyfélkód.

  3. Adja meg az ügyfél titkos kódjának leírását.

  4. Válassza a Hozzáadás lehetőséget.

    Új titkos ügyfélkód hozzáadása.

  5. Másolja ki a titkos kódot, és tárolja biztonságosan egy olyan szolgáltatásban, mint az Azure Key Vault. Emellett a jelen cikk Request token with Managed Identity (Felügyelt identitással rendelkező kérés jogkivonattal) című szakaszában található titkos kulcsot fogjuk használni.

    Titkos ügyfélkód másolása.

    Fontos

    A tanúsítvány vagy titkos kód biztonságos tárolásához tekintse meg az Azure Key Vault fejlesztői útmutatóját. Ezzel a titkos kóddal lekérheti a jogkivonatokat Azure AD.

Szerepköralapú hozzáférés biztosítása a felhasználóknak a Azure Maps

Az Azure szerepköralapú hozzáférés-vezérlését (Azure RBAC) úgy adhatja meg, hogy egy Azure AD csoportot vagy rendszerbiztonsági tagot rendel hozzá egy vagy több Azure Maps szerepkör-definícióhoz.

A Azure Maps elérhető Azure-szerepkördefinícióinak megtekintéséhez lásd: Beépített Azure Maps szerepkör-definíciók megtekintése.

Az elérhető Azure Maps szerepkörök a létrehozott felügyelt identitáshoz vagy szolgáltatásnévhez való hozzárendelésének részletes lépéseiért lásd: Azure-szerepkörök hozzárendelése a Azure Portal

A nagy mennyiségű felhasználó Azure Maps alkalmazás- és erőforrás-hozzáférésének hatékony kezeléséhez lásd: Azure AD Csoportok.

Fontos

Ahhoz, hogy a felhasználók hitelesíthessenek egy alkalmazásban, először létre kell hozni a felhasználókat Azure AD. További információ: Felhasználók hozzáadása vagy törlése Azure AD használatával.

A nagy méretű címtárak felhasználók számára történő hatékony kezeléséről a Azure AD című témakörben olvashat.

Figyelmeztetés

Azure Maps beépített szerepkör-definíciók nagyon nagy engedélyezési hozzáférést biztosítanak számos Azure Maps REST API-hoz. Az API-k hozzáférésének minimálisra korlátozásához lásd : Egyéni szerepkör-definíció létrehozása és a rendszer által hozzárendelt identitás hozzárendelése az egyéni szerepkör-definícióhoz. Ez lehetővé teszi az alkalmazás számára a Azure Maps eléréséhez szükséges legkisebb jogosultságot.

Jogkivonat kérése felügyelt identitással

Miután konfigurálta a felügyelt identitást az üzemeltetési erőforráshoz, az Azure SDK vagy a REST API használatával jogkivonatot szerezhet be Azure Maps. A hozzáférési jogkivonat beszerzéséről a Hozzáférési jogkivonat beszerzése című témakörben olvashat.

Jogkivonat kérése alkalmazásregisztrációval

Miután regisztrálta az alkalmazást, és társította Azure Maps, hozzáférési jogkivonatot kell kérnie.

A hozzáférési jogkivonat beszerzése:

  1. Ha még nem tette meg, jelentkezzen be a Azure Portal.

  2. Válassza az Azure Active Directory elemet.

  3. A bal oldali panel Kezelés területén válassza a Alkalmazásregisztrációk lehetőséget.

  4. Válassza ki az alkalmazást.

  5. Ekkor megjelenik az Áttekintés lap. Másolja ki az alkalmazás (ügyfél) azonosítóját és a címtár (bérlő) azonosítóját.

    Tokenparaméterek másolása.

A Postman-alkalmazással fogjuk létrehozni a jogkivonat-kérést, de használhat egy másik API-fejlesztési környezetet.

  1. A Postman alkalmazásban válassza az Új lehetőséget.

  2. Az Új létrehozása ablakban válassza a HTTP-kérelem lehetőséget.

  3. Adja meg a kérelem nevét , például POST tokenkérelem.

  4. Válassza a POST HTTP metódust.

  5. Adja meg a következő URL-címet a címsorhoz (cserélje le {Tenant-ID} a könyvtár (bérlő) azonosítójára, a az {Client-ID} alkalmazás (ügyfél) azonosítójára és {Client-Secret} az ügyfél titkos kódjára:

    https://login.microsoftonline.com/{Tenant-ID}/oauth2/v2.0/token?response_type=token&grant_type=client_credentials&client_id={Client-ID}&client_secret={Client-Secret}%3D&scope=api%3A%2F%2Fazmaps.fundamentals%2F.default
    
  6. Válassza a Küldés lehetőséget

  7. A következő JSON-választ kell látnia:

{
    "token_type": "Bearer",
    "expires_in": 86399,
    "ext_expires_in": 86399,
    "access_token": "eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsIng1dCI6Im5PbzNaRHJPRFhFSzFq..."
}

A hitelesítési folyamattal kapcsolatos további információkért lásd: OAuth 2.0-ügyfél hitelesítő adatainak folyamata a Microsoft Identitásplatform

Következő lépések

Részletesebb példákért:

Keresse meg a Azure Maps-fiókjához tartozó API-használati metrikákat:

Az Azure AD és a Azure Maps integrálását bemutató minták: