Skydda en indatabegränsad enhet med hjälp av Microsoft Entra-ID och Azure Kartor REST API:er
Den här guiden beskriver hur du skyddar offentliga program eller enheter som inte kan lagra hemligheter på ett säkert sätt eller acceptera webbläsarindata. Dessa typer av program omfattas av IoT-kategorin (Internet of things). Exempel är smarta TV-apparater och sensordata som genererar program.
Så här visar du autentiseringsinformation för ditt Azure Kartor-konto i Azure-portalen:
Logga in på Azure-portalen.
Gå till Menyn i Azure-portalen. Välj Alla resurser och välj sedan ditt Azure Kartor-konto.
Under Inställningar i den vänstra rutan väljer du Autentisering.
Tre värden skapas när Azure Kartor-kontot skapas. De används för att stödja två typer av autentisering i Azure Kartor:
- Microsoft Entra-autentisering:
Client IDRepresenterar det konto som ska användas för REST API-begäranden. VärdetClient IDska lagras i programkonfigurationen och sedan ska det hämtas innan Azure Kartor HTTP-begäranden som använder Microsoft Entra-autentisering. - Autentisering med delad nyckel: Och
Secondary KeyPrimary Keyanvänds som prenumerationsnyckel för autentisering med delad nyckel. Autentisering med delad nyckel förlitar sig på att skicka nyckeln som genereras av Azure Kartor-kontot med varje begäran till Azure Kartor. Vi rekommenderar att du regelbundet återskapar dina nycklar. För att underhålla aktuella anslutningar under regenereringen tillhandahålls två nycklar. En nyckel kan användas samtidigt som den andra återskapas. När du återskapar nycklarna måste du uppdatera alla program som använder det här kontot till att använda de nya nycklarna. Mer information finns i Autentisering med Azure Kartor
Skapa en programregistrering i Microsoft Entra-ID
Kommentar
- Kravläsning:Scenario: Skrivbordsapp som anropar webb-API:er
- I följande scenario används enhetskodflödet, som inte omfattar en webbläsare för att hämta en token.
Skapa det enhetsbaserade programmet i Microsoft Entra-ID för att aktivera Microsoft Entra-inloggning, som beviljas åtkomst till Azure Kartor REST-API:er.
I Azure-portalen går du till listan över Azure-tjänster och väljer Microsoft Entra-ID> Appregistreringar> Ny registrering.
Ange ett Namn, välj Endast Konton i den här organisationskatalogen som kontotyp som stöds. I Omdirigerings-URI:er anger du Offentlig klient/intern (mobil och skrivbord) och lägger sedan till
https://login.microsoftonline.com/common/oauth2/nativeclientvärdet. Mer information finns i Microsoft Entra ID Desktop-appen som anropar webb-API:er: Appregistrering. Registrera sedan programmet.
Navigera till Autentisering och aktivera Behandla program som en offentlig klient för att aktivera enhetskodautentisering med Microsoft Entra-ID.
Om du vill tilldela delegerade API-behörigheter till Azure Kartor går du till programmet. Välj sedan API-behörigheter>Lägg till en behörighet. Under API:er som min organisation använder söker du efter och väljer Azure Kartor.
Markera kryssrutan bredvid Access Azure Kartor och välj sedan Lägg till behörigheter.
Konfigurera rollbaserad åtkomstkontroll i Azure (Azure RBAC) för användare eller grupper. Mer information finns i Bevilja rollbaserad åtkomst för användare till Azure Kartor.
Lägg till kod för att hämta tokenflöde i programmet för implementeringsinformation i Enhetskodflöde. När du hämtar token refererar du till omfånget:
user_impersonationsom valdes i tidigare steg.Dricks
Använd Microsoft Authentication Library (MSAL) för att hämta åtkomsttoken. Mer information finns i Skrivbordsapp som anropar webb-API:er: Kodkonfiguration i Active Directory-dokumentationen.
Skriv HTTP-begäran med den förvärvade token från Microsoft Entra-ID:t och skicka begäran med en giltig HTTP-klient.
Exempelbegäran
Här är ett exempel på begärandetext för att ladda upp en enkel geofence som representeras som en cirkelgeometri med hjälp av en mittpunkt och en radie.
POST /mapData?api-version=2.0&dataFormat=geojson
Host: us.atlas.microsoft.com
x-ms-client-id: 30d7cc….9f55
Authorization: Bearer eyJ0e….HNIVN
Följande exempelförfrågningstext finns i GeoJSON:
{
"type": "FeatureCollection",
"features": [{
"type": "Feature",
"geometry": {
"type": "Point",
"coordinates": [-122.126986, 47.639754]
},
"properties": {
"geometryId": "001",
"radius": 500
}
}]
}
Exempel på svarsrubrik
Operation-Location: https://us.atlas.microsoft.com/mapData/operations/{udid}?api-version=2.0
Access-Control-Expose-Headers: Operation-Location
Bevilja rollbaserad åtkomst för användare till Azure Kartor
Du kan bevilja rollbaserad åtkomstkontroll i Azure (Azure RBAC) genom att tilldela en Microsoft Entra-grupp eller säkerhetsobjekt till en eller flera Rolldefinitioner för Azure Kartor.
Information om hur du visar tillgängliga Azure-rolldefinitioner för Azure Kartor finns i Visa inbyggda Rolldefinitioner för Azure Kartor.
Detaljerade anvisningar om hur du tilldelar en tillgänglig Azure Kartor-roll till den skapade hanterade identiteten eller tjänstens huvudnamn finns i Tilldela Azure-roller med hjälp av Azure-portalen
Information om hur du effektivt hanterar Azure Kartor-appen och resursåtkomsten för en stor mängd användare finns i Microsoft Entra-grupper.
Viktigt!
För att användare ska kunna autentisera till ett program måste användarna först skapas i Microsoft Entra-ID. Mer information finns i Lägga till eller ta bort användare med hjälp av Microsoft Entra ID.
Mer information om hur du effektivt hanterar en stor katalog för användare finns i Microsoft Entra-ID.
Varning
Azure Kartor inbyggda rolldefinitioner ger en mycket stor auktoriseringsåtkomst till många Azure Kartor REST-API:er. Information om hur du begränsar API:ernas åtkomst till ett minimum finns i Skapa en anpassad rolldefinition och tilldela den systemtilldelade identiteten till definitionen för anpassad roll. Detta ger den minsta behörighet som krävs för att programmet ska få åtkomst till Azure Kartor.
Nästa steg
Hitta API-användningsstatistiken för ditt Azure Kartor-konto: