Skydda ett webbprogram med användarinloggning

  • Artikel

Följande guide gäller ett program som finns på webbservrar, underhåller flera affärsscenarier och distribuerar till webbservrar. Programmet har krav på att endast tillhandahålla skyddade resurser som skyddas av Microsoft Entra-användare. Målet med scenariot är att göra det möjligt för webbprogrammet att autentisera till Microsoft Entra-ID och anropa Azure Kartor REST-API:er för användarens räkning.

Så här visar du autentiseringsinformation för ditt Azure Kartor-konto i Azure-portalen:

  1. Logga in på Azure-portalen.

  2. Gå till Menyn i Azure-portalen. Välj Alla resurser och välj sedan ditt Azure Kartor-konto.

  3. Under Inställningar i den vänstra rutan väljer du Autentisering.

    Screenshot showing your Azure Maps authentication options in the Azure portal.

Tre värden skapas när Azure Kartor-kontot skapas. De används för att stödja två typer av autentisering i Azure Kartor:

  • Microsoft Entra-autentisering: Client ID Representerar det konto som ska användas för REST API-begäranden. Värdet Client ID ska lagras i programkonfigurationen och sedan ska det hämtas innan Azure Kartor HTTP-begäranden som använder Microsoft Entra-autentisering.
  • Autentisering med delad nyckel: Och Secondary KeyPrimary Key används som prenumerationsnyckel för autentisering med delad nyckel. Autentisering med delad nyckel förlitar sig på att skicka nyckeln som genereras av Azure Kartor-kontot med varje begäran till Azure Kartor. Vi rekommenderar att du regelbundet återskapar dina nycklar. För att underhålla aktuella anslutningar under regenereringen tillhandahålls två nycklar. En nyckel kan användas samtidigt som den andra återskapas. När du återskapar nycklarna måste du uppdatera alla program som använder det här kontot till att använda de nya nycklarna. Mer information finns i Autentisering med Azure Kartor

Skapa en programregistrering i Microsoft Entra-ID

Du måste skapa webbprogrammet i Microsoft Entra-ID för att användarna ska kunna logga in. Det här webbprogrammet delegerar sedan användaråtkomst till Azure Kartor REST-API:er.

  1. I Azure-portalen går du till listan över Azure-tjänster och väljer Microsoft Entra-ID> Appregistreringar> Ny registrering.

    A screenshot showing application registration in Microsoft Entra ID.

  2. Ange ett namn, välj en typ av supportkonto, ange en omdirigerings-URI som representerar url:en som Microsoft Entra-ID utfärdar token till, vilket är url:en där kartkontrollen finns. Mer information finns i Microsoft Entra ID Scenario: Webbapp som loggar in användare. Slutför de angivna stegen från Microsoft Entra-scenariot.

  3. När programregistreringen är klar bekräftar du att programinloggningen fungerar för användarna. När inloggningen fungerar kan programmet beviljas delegerad åtkomst till Azure Kartor REST-API:er.

  4. Om du vill tilldela delegerade API-behörigheter till Azure Kartor går du till programmet och väljer API-behörigheter>Lägg till en behörighet. välj Azure Kartor i listan MED API:er som min organisation använder.

    A screenshot showing add app API permissions.

  5. Markera kryssrutan bredvid Access Azure Kartor och välj sedan Lägg till behörigheter.

    A screenshot showing select app API permissions.

  6. Aktivera webbappen för att anropa Azure Kartor REST-API:er genom att konfigurera appregistreringen med en programhemlighet. Mer information finns i En webbapp som anropar webb-API:er: Appregistrering. En hemlighet krävs för att autentisera till Microsoft Entra å användarens vägnar. Appregistreringscertifikatet eller hemligheten ska lagras i ett säkert arkiv där webbprogrammet kan hämtas för att autentisera till Microsoft Entra-ID.

    • Det här steget kan hoppas över om programmet redan har en Microsoft Entra-appregistrering och en hemlighet konfigurerad.

    Dricks

    Om programmet finns i en Azure-miljö rekommenderar vi att du använder hanterade identiteter för Azure-resurser och en Azure Key Vault-instans för att få åtkomst till hemligheter genom att hämta en åtkomsttoken för åtkomst till Azure Key Vault-hemligheter eller -certifikat. Information om hur du ansluter till Azure Key Vault för att hämta hemligheter finns i självstudien om hur du ansluter via hanterad identitet.

  7. Implementera en slutpunkt för säker token för Azure Kartor Web SDK för åtkomst till en token.

    • En exempeltokenkontrollant finns i Azure Kartor Microsoft Entra ID-exempel.
    • En icke-AspNetCore-implementering eller något annat finns i Hämta token för appen från Microsoft Entra-dokumentationen.
    • Den skyddade tokenslutpunkten ansvarar för att returnera en åtkomsttoken för den autentiserade och auktoriserade användaren att anropa Azure Kartor REST-API:er.

  8. Information om hur du konfigurerar rollbaserad åtkomstkontroll i Azure (Azure RBAC) för användare eller grupper finns i bevilja rollbaserad åtkomst för användare.

  9. Konfigurera webbprogramsidan med Azure Kartor Web SDK för åtkomst till slutpunkten för säker token.

var map = new atlas.Map("map", {
        center: [-122.33, 47.64],
        zoom: 12,
        language: "en-US",
        authOptions: {
            authType: "anonymous",
            clientId: "<insert>",  // azure map account client id
            getToken: function (resolve, reject, map) {
                var xhttp = new XMLHttpRequest();
                xhttp.open("GET", "/api/token", true); // the url path maps to the token endpoint.
                xhttp.onreadystatechange = function () {
                    if (this.readyState === 4 && this.status === 200) {
                        resolve(this.responseText);
                    } else if (this.status !== 200) {
                        reject(this.responseText);
                    }
                };

                xhttp.send();
            }
        }
    });
    map.events.add("tokenacquired", function () {
        console.log("token acquired");
    });
    map.events.add("error", function (err) {
        console.log(JSON.stringify(err.error));
    });

Bevilja rollbaserad åtkomst för användare till Azure Kartor

Du kan bevilja rollbaserad åtkomstkontroll i Azure (Azure RBAC) genom att tilldela en Microsoft Entra-grupp eller säkerhetsobjekt till en eller flera Rolldefinitioner för Azure Kartor.

Information om hur du visar tillgängliga Azure-rolldefinitioner för Azure Kartor finns i Visa inbyggda Rolldefinitioner för Azure Kartor.

Detaljerade anvisningar om hur du tilldelar en tillgänglig Azure Kartor-roll till den skapade hanterade identiteten eller tjänstens huvudnamn finns i Tilldela Azure-roller med hjälp av Azure-portalen

Information om hur du effektivt hanterar Azure Kartor-appen och resursåtkomsten för en stor mängd användare finns i Microsoft Entra-grupper.

Viktigt!

För att användare ska kunna autentisera till ett program måste användarna först skapas i Microsoft Entra-ID. Mer information finns i Lägga till eller ta bort användare med hjälp av Microsoft Entra ID.

Mer information om hur du effektivt hanterar en stor katalog för användare finns i Microsoft Entra-ID.

Varning

Azure Kartor inbyggda rolldefinitioner ger en mycket stor auktoriseringsåtkomst till många Azure Kartor REST-API:er. Information om hur du begränsar API:ernas åtkomst till ett minimum finns i Skapa en anpassad rolldefinition och tilldela den systemtilldelade identiteten till definitionen för anpassad roll. Detta ger den minsta behörighet som krävs för att programmet ska få åtkomst till Azure Kartor.

Nästa steg

Ytterligare förståelse för webbprogramscenario:

Scenario: Webbapp som loggar in användare

Hitta API-användningsstatistiken för ditt Azure Kartor-konto:

Visa användningsstatistik

Utforska exempel som visar hur du integrerar Microsoft Entra-ID med Azure Kartor:

Exempel på Azure Kartor Microsoft Entra-webbappar