Bemeneti korlátozott eszköz védelme a Microsoft Entra ID és az Azure Térképek REST API-k használatával
Ez az útmutató azt ismerteti, hogyan védheti meg azokat a nyilvános alkalmazásokat vagy eszközöket, amelyek nem tudnak biztonságosan titkos kulcsokat tárolni vagy fogadni a böngészőbemenetet. Az ilyen típusú alkalmazások a dolgok internetes hálózata (IoT) kategóriába tartoznak. Ilyenek például az intelligens tévék és az érzékelők adatkibocsátó alkalmazásai.
Az Azure Térképek-fiókhitelesítés részleteinek megtekintése az Azure Portalon:
Jelentkezzen be az Azure Portalra.
Lépjen az Azure Portal menüjére. Válassza az Összes erőforrás lehetőséget, majd válassza ki az Azure Térképek-fiókját.
A bal oldali panel Gépház területén válassza a Hitelesítés lehetőséget.
Az Azure Térképek-fiók létrehozásakor három érték jön létre. Az Azure Térképek kétféle hitelesítést támogatnak:
- Microsoft Entra-hitelesítés: A
Client ID
REST API-kérésekhez használandó fiókot jelöli. AzClient ID
értéket az alkalmazáskonfigurációban kell tárolni, majd le kell kérni, mielőtt az Azure Térképek Microsoft Entra-hitelesítést használó HTTP-kéréseket készítené. - Megosztott kulcs hitelesítése: A
Secondary Key
Primary Key
megosztott kulcsos hitelesítéshez használt előfizetési kulcs. A megosztott kulcsos hitelesítés az Azure Térképek-fiók által létrehozott kulcs átadásán alapul, minden kéréssel együtt az Azure Térképek. Javasoljuk, hogy rendszeresen hozza létre újra a kulcsokat. A regeneráció során az aktuális kapcsolatok fenntartásához két kulcs van megadva. Az egyik kulcs használható, miközben újragenerálja a másikat. A kulcsok újragenerálása után az új kulcsok használatához frissítenie kell minden olyan alkalmazást, amely hozzáfér ehhez a fiókhoz. További információ: Hitelesítés az Azure Térképek
Alkalmazásregisztráció létrehozása a Microsoft Entra-azonosítóban
Megjegyzés:
- Előfeltételek olvasása:Forgatókönyv: Webes API-kat hívó asztali alkalmazás
- Az alábbi forgatókönyv az eszközkód-folyamatot használja, amely nem tartalmaz webböngészőt a jogkivonat beszerzéséhez.
Hozza létre az eszközalapú alkalmazást a Microsoft Entra-azonosítóban a Microsoft Entra-bejelentkezés engedélyezéséhez, amely hozzáférést biztosít az Azure Térképek REST API-khoz.
Az Azure Portalon az Azure-szolgáltatások listájában válassza a Microsoft Entra ID> Alkalmazásregisztrációk> New regisztrációt.
Adjon meg egy nevet, és csak támogatott fióktípusként válassza a szervezeti címtárBan található Fiókok lehetőséget. Az Átirányítási URI-kban adja meg a nyilvános ügyfél/natív (mobil & asztali) elemet, majd adja hozzá
https://login.microsoftonline.com/common/oauth2/nativeclient
az értéket. További információ: Microsoft Entra ID Desktop alkalmazás, amely webes API-kat hív meg: Alkalmazásregisztráció. Ezután regisztrálja az alkalmazást.Lépjen a hitelesítésre, és engedélyezze a Treat alkalmazást nyilvános ügyfélként az eszközkód-hitelesítés engedélyezéséhez a Microsoft Entra-azonosítóval.
Ha delegált API-engedélyeket szeretne hozzárendelni az Azure Térképek, lépjen az alkalmazáshoz. Ezután válassza az API-engedélyeket>: Engedély hozzáadása. A szervezetem által használt API-k alatt keresse meg és válassza ki az Azure Térképek.
Jelölje be az Access Azure Térképek melletti jelölőnégyzetet, majd válassza az Engedélyek hozzáadása lehetőséget.
Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC) konfigurálása felhasználók vagy csoportok számára. További információ: Szerepköralapú hozzáférés biztosítása a felhasználók számára az Azure Térképek.
Adjon hozzá kódot a jogkivonat-folyamat beszerzéséhez az alkalmazásban, a megvalósítás részleteiért lásd: Eszközkódfolyamat. A jogkivonatok beszerzésekor hivatkozzon a korábbi lépésekben kiválasztott hatókörre
user_impersonation
.Tipp.
Hozzáférési jogkivonatok beszerzése a Microsoft Authentication Library (MSAL) használatával. További információ: Webes API-kat hívó asztali alkalmazás: Kódkonfiguráció az Active Directory dokumentációjában.
Írja le a HTTP-kérést a Microsoft Entra ID-ból beszerzett jogkivonattal, és küldjön egy érvényes HTTP-ügyféllel küldött kérelmet.
Mintakérés
Íme egy mintakérési törzs egy egyszerű Geofence feltöltéséhez, amely körgeometriaként jelenik meg egy középpont és egy sugár használatával.
POST /mapData?api-version=2.0&dataFormat=geojson
Host: us.atlas.microsoft.com
x-ms-client-id: 30d7cc….9f55
Authorization: Bearer eyJ0e….HNIVN
A következő mintakérés törzse a GeoJSON-ban található:
{
"type": "FeatureCollection",
"features": [{
"type": "Feature",
"geometry": {
"type": "Point",
"coordinates": [-122.126986, 47.639754]
},
"properties": {
"geometryId": "001",
"radius": 500
}
}]
}
Minta válaszfejléc
Operation-Location: https://us.atlas.microsoft.com/mapData/operations/{udid}?api-version=2.0
Access-Control-Expose-Headers: Operation-Location
Szerepköralapú hozzáférés biztosítása a felhasználók számára az Azure Térképek
Az Azure szerepköralapú hozzáférés-vezérlést (Azure RBAC) úgy adhat meg, ha egy Microsoft Entra-csoportot vagy biztonsági tagot rendel egy vagy több Azure-Térképek szerepkör-definícióhoz.
Az Azure Térképek elérhető Azure-szerepkördefinícióinak megtekintéséhez tekintse meg a beépített Azure-Térképek szerepkördefiníciókat.
Az elérhető Azure Térképek szerepkörök a létrehozott felügyelt identitáshoz vagy szolgáltatásnévhez való hozzárendelésének részletes lépéseit az Azure-szerepkörök hozzárendelése az Azure Portal használatával című témakörben találja.
Az Azure Térképek alkalmazás és a nagy mennyiségű felhasználó erőforrás-hozzáférésének hatékony kezeléséhez tekintse meg a Microsoft Entra-csoportokat.
Fontos
Ahhoz, hogy a felhasználók hitelesíthessenek egy alkalmazást, először létre kell hozniuk a felhasználókat a Microsoft Entra-azonosítóban. További információkért lásd: Felhasználók hozzáadása és törlése a Microsoft Entra ID-vel.
A nagy címtárak felhasználók számára történő hatékony kezeléséről a Microsoft Entra ID című témakörben olvashat.
Figyelmeztetés
Az Azure Térképek beépített szerepkördefiníciók nagyon nagy engedélyezési hozzáférést biztosítanak számos Azure Térképek REST API-hoz. Az API-k minimális hozzáférésének korlátozásához lásd : egyéni szerepkördefiníció létrehozása és a rendszer által hozzárendelt identitás hozzárendelése az egyéni szerepkör-definícióhoz. Ez lehetővé teszi az alkalmazás számára az Azure Térképek eléréséhez szükséges legkisebb jogosultságot.
További lépések
Keresse meg az Azure Térképek-fiókjához tartozó API-használati metrikákat: