Bemeneti korlátozott eszköz védelme a Microsoft Entra ID és az Azure Térképek REST API-k használatával

  • Cikk

Ez az útmutató azt ismerteti, hogyan védheti meg azokat a nyilvános alkalmazásokat vagy eszközöket, amelyek nem tudnak biztonságosan titkos kulcsokat tárolni vagy fogadni a böngészőbemenetet. Az ilyen típusú alkalmazások a dolgok internetes hálózata (IoT) kategóriába tartoznak. Ilyenek például az intelligens tévék és az érzékelők adatkibocsátó alkalmazásai.

Az Azure Térképek-fiókhitelesítés részleteinek megtekintése az Azure Portalon:

  1. Jelentkezzen be az Azure Portalra.

  2. Lépjen az Azure Portal menüjére. Válassza az Összes erőforrás lehetőséget, majd válassza ki az Azure Térképek-fiókját.

  3. A bal oldali panel Gépház területén válassza a Hitelesítés lehetőséget.

    Screenshot showing your Azure Maps authentication options in the Azure portal.

Az Azure Térképek-fiók létrehozásakor három érték jön létre. Az Azure Térképek kétféle hitelesítést támogatnak:

  • Microsoft Entra-hitelesítés: A Client ID REST API-kérésekhez használandó fiókot jelöli. Az Client ID értéket az alkalmazáskonfigurációban kell tárolni, majd le kell kérni, mielőtt az Azure Térképek Microsoft Entra-hitelesítést használó HTTP-kéréseket készítené.
  • Megosztott kulcs hitelesítése: A Secondary KeyPrimary Key megosztott kulcsos hitelesítéshez használt előfizetési kulcs. A megosztott kulcsos hitelesítés az Azure Térképek-fiók által létrehozott kulcs átadásán alapul, minden kéréssel együtt az Azure Térképek. Javasoljuk, hogy rendszeresen hozza létre újra a kulcsokat. A regeneráció során az aktuális kapcsolatok fenntartásához két kulcs van megadva. Az egyik kulcs használható, miközben újragenerálja a másikat. A kulcsok újragenerálása után az új kulcsok használatához frissítenie kell minden olyan alkalmazást, amely hozzáfér ehhez a fiókhoz. További információ: Hitelesítés az Azure Térképek

Alkalmazásregisztráció létrehozása a Microsoft Entra-azonosítóban

Megjegyzés:

Hozza létre az eszközalapú alkalmazást a Microsoft Entra-azonosítóban a Microsoft Entra-bejelentkezés engedélyezéséhez, amely hozzáférést biztosít az Azure Térképek REST API-khoz.

  1. Az Azure Portalon az Azure-szolgáltatások listájában válassza a Microsoft Entra ID> Alkalmazásregisztrációk> New regisztrációt.

    A screenshot showing application registration in Microsoft Entra ID.

  2. Adjon meg egy nevet, és csak támogatott fióktípusként válassza a szervezeti címtárBan található Fiókok lehetőséget. Az Átirányítási URI-kban adja meg a nyilvános ügyfél/natív (mobil & asztali) elemet, majd adja hozzá https://login.microsoftonline.com/common/oauth2/nativeclient az értéket. További információ: Microsoft Entra ID Desktop alkalmazás, amely webes API-kat hív meg: Alkalmazásregisztráció. Ezután regisztrálja az alkalmazást.

    A screenshot showing the settings used to register an application.

  3. Lépjen a hitelesítésre, és engedélyezze a Treat alkalmazást nyilvános ügyfélként az eszközkód-hitelesítés engedélyezéséhez a Microsoft Entra-azonosítóval.

    A screenshot showing the advanced settings used to specify treating the application as a public client.

  4. Ha delegált API-engedélyeket szeretne hozzárendelni az Azure Térképek, lépjen az alkalmazáshoz. Ezután válassza az API-engedélyeket>: Engedély hozzáadása. A szervezetem által használt API-k alatt keresse meg és válassza ki az Azure Térképek.

    A screenshot showing where you request API permissions.

  5. Jelölje be az Access Azure Térképek melletti jelölőnégyzetet, majd válassza az Engedélyek hozzáadása lehetőséget.

    A screenshot showing where you specify the app permissions you require.

  6. Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC) konfigurálása felhasználók vagy csoportok számára. További információ: Szerepköralapú hozzáférés biztosítása a felhasználók számára az Azure Térképek.

  7. Adjon hozzá kódot a jogkivonat-folyamat beszerzéséhez az alkalmazásban, a megvalósítás részleteiért lásd: Eszközkódfolyamat. A jogkivonatok beszerzésekor hivatkozzon a korábbi lépésekben kiválasztott hatókörre user_impersonation .

    Tipp.

    Hozzáférési jogkivonatok beszerzése a Microsoft Authentication Library (MSAL) használatával. További információ: Webes API-kat hívó asztali alkalmazás: Kódkonfiguráció az Active Directory dokumentációjában.

  8. Írja le a HTTP-kérést a Microsoft Entra ID-ból beszerzett jogkivonattal, és küldjön egy érvényes HTTP-ügyféllel küldött kérelmet.

Mintakérés

Íme egy mintakérési törzs egy egyszerű Geofence feltöltéséhez, amely körgeometriaként jelenik meg egy középpont és egy sugár használatával.

POST /mapData?api-version=2.0&dataFormat=geojson
Host: us.atlas.microsoft.com
x-ms-client-id: 30d7cc….9f55
Authorization: Bearer eyJ0e….HNIVN

A következő mintakérés törzse a GeoJSON-ban található:

{
    "type": "FeatureCollection",
    "features": [{
        "type": "Feature",
        "geometry": {
            "type": "Point",
            "coordinates": [-122.126986, 47.639754]
        },
        "properties": {
            "geometryId": "001",
            "radius": 500
        }
    }]
}

Minta válaszfejléc

Operation-Location: https://us.atlas.microsoft.com/mapData/operations/{udid}?api-version=2.0
Access-Control-Expose-Headers: Operation-Location

Szerepköralapú hozzáférés biztosítása a felhasználók számára az Azure Térképek

Az Azure szerepköralapú hozzáférés-vezérlést (Azure RBAC) úgy adhat meg, ha egy Microsoft Entra-csoportot vagy biztonsági tagot rendel egy vagy több Azure-Térképek szerepkör-definícióhoz.

Az Azure Térképek elérhető Azure-szerepkördefinícióinak megtekintéséhez tekintse meg a beépített Azure-Térképek szerepkördefiníciókat.

Az elérhető Azure Térképek szerepkörök a létrehozott felügyelt identitáshoz vagy szolgáltatásnévhez való hozzárendelésének részletes lépéseit az Azure-szerepkörök hozzárendelése az Azure Portal használatával című témakörben találja.

Az Azure Térképek alkalmazás és a nagy mennyiségű felhasználó erőforrás-hozzáférésének hatékony kezeléséhez tekintse meg a Microsoft Entra-csoportokat.

Fontos

Ahhoz, hogy a felhasználók hitelesíthessenek egy alkalmazást, először létre kell hozniuk a felhasználókat a Microsoft Entra-azonosítóban. További információkért lásd: Felhasználók hozzáadása és törlése a Microsoft Entra ID-vel.

A nagy címtárak felhasználók számára történő hatékony kezeléséről a Microsoft Entra ID című témakörben olvashat.

Figyelmeztetés

Az Azure Térképek beépített szerepkördefiníciók nagyon nagy engedélyezési hozzáférést biztosítanak számos Azure Térképek REST API-hoz. Az API-k minimális hozzáférésének korlátozásához lásd : egyéni szerepkördefiníció létrehozása és a rendszer által hozzárendelt identitás hozzárendelése az egyéni szerepkör-definícióhoz. Ez lehetővé teszi az alkalmazás számára az Azure Térképek eléréséhez szükséges legkisebb jogosultságot.

További lépések

Keresse meg az Azure Térképek-fiókjához tartozó API-használati metrikákat:

Használati metrikák megtekintése