Procedure consigliate per l'autenticazione
La singola parte più importante dell'applicazione è la sicurezza. Indipendentemente dalla qualità dell'esperienza utente, se l'applicazione non è sicura, un hacker può rovinarlo.
Di seguito sono riportati alcuni suggerimenti per proteggere l'applicazione Mappe di Azure. Quando si usa Azure, assicurarsi di acquisire familiarità con gli strumenti di sicurezza disponibili. Per altre informazioni, vedere l'introduzione alla sicurezza di Azure.
Informazioni sulle minacce alla sicurezza
Gli hacker che ottengono l'accesso al tuo account potrebbero potenzialmente rendere transazioni fatturabili illimitate, causando costi imprevisti e prestazioni ridotte a causa dei limiti QPS.
Quando si valutano le procedure consigliate per proteggere le applicazioni Mappe di Azure, è necessario comprendere le diverse opzioni di autenticazione disponibili.
Procedure consigliate per l'autenticazione in Mappe di Azure
Quando si creano applicazioni client con connessione pubblica con Mappe di Azure, è necessario assicurarsi che i segreti di autenticazione non siano accessibili pubblicamente.
L'autenticazione basata su chiave di sottoscrizione (chiave condivisa) può essere usata nelle applicazioni lato client o nei servizi Web, ma è l'approccio meno sicuro per proteggere l'applicazione o il servizio Web. Il motivo è che la chiave viene facilmente ottenuta da una richiesta HTTP e concede l'accesso a tutte le API REST Mappe di Azure disponibili nello SKU (piano tariffario). Se si usano le chiavi di sottoscrizione, assicurarsi di ruotarle regolarmente e tenere presente che la chiave condivisa non consente la durata configurabile, deve essere eseguita manualmente. È anche consigliabile usare l'autenticazione con chiave condivisa con Azure Key Vault, che consente di archiviare in modo sicuro il segreto in Azure.
Se si usa l'autenticazione Microsoft Entra o l'autenticazione con token di firma di accesso condiviso (SAS), l'accesso alle API REST Mappe di Azure è autorizzato tramite il controllo degli accessi in base al ruolo. Il controllo degli accessi in base al ruolo consente di controllare l'accesso assegnato ai token emessi. È consigliabile considerare quanto tempo deve essere concesso l'accesso per i token. A differenza dell'autenticazione con chiave condivisa, la durata di questi token è configurabile.
Suggerimento
Per altre informazioni sulla configurazione della durata dei token, vedere:
Client pubblico e applicazioni client riservate
Esistono diversi problemi di sicurezza tra le applicazioni client pubbliche e riservate. Per altre informazioni su ciò che viene considerato un'applicazione client pubblica e riservata, vedere Client pubblico e applicazioni client riservate nella documentazione di Microsoft Identity Platform.
Applicazioni client pubbliche
Per le app eseguite su dispositivi o computer desktop o in un Web browser, è consigliabile definire quali domini hanno accesso all'account di Mappe di Azure usando la condivisione di risorse tra le origini (CORS). CORS indica al browser dei client su quali origini, ad esempio "https://microsoft.com" sono autorizzati a richiedere risorse per l'account Mappe di Azure.
Nota
Se si sviluppa un server Web o un servizio, l'account Mappe di Azure non deve essere configurato con CORS. Se si dispone di codice JavaScript nell'applicazione Web lato client, CORS viene applicato.
Applicazioni client riservate
Per le app eseguite su server (ad esempio servizi Web e app del servizio/daemon), se si preferisce evitare il sovraccarico e la complessità della gestione dei segreti, prendere in considerazione le identità gestite. Le identità gestite possono fornire un'identità per il servizio Web da usare per la connessione a Mappe di Azure tramite l'autenticazione Di Microsoft Entra. In tal caso, il servizio Web usa tale identità per ottenere i token Microsoft Entra necessari. È consigliabile usare il controllo degli accessi in base al ruolo di Azure per configurare l'accesso al servizio Web, usando i ruoli con privilegi minimi possibili.