تأمين جهاز مقيد الإدخال باستخدام واجهات برمجة تطبيقات Azure AD و خرائط Azure REST

  • مقالة
  • قراءة خلال 3 دقائق

يناقش هذا الدليل كيفية تأمين التطبيقات العامة أو الأجهزة التي لا يمكنها تخزين الأسرار بشكل آمن أو قبول إدخال المستعرض. تندرج هذه الأنواع من التطبيقات تحت فئة إنترنت الأشياء أو إنترنت الأشياء. قد تتضمن بعض الأمثلة على هذه التطبيقات: أجهزة التلفزيون الذكية أو تطبيقات انبعاث بيانات المستشعر.

لعرض تفاصيل مصادقة حساب خرائط Azure في مدخل Azure:

  1. تسجيل الدخول إلى ⁧⁩مدخل Azure⁧⁩.

  2. انتقل إلى قائمة مدخل Azure. حدد كافة الموارد، ثم حدد حساب خرائط Azure الخاص بك.

  3. ضمن الإعدادات في الجزء الأيمن، حدد المصادقة.

    Authentication details.

يتم إنشاء ثلاث قيم عند إنشاء حساب خرائط Azure. يتم استخدامها لدعم نوعين من المصادقة في خرائط Azure:

  • مصادقة Azure Active Directory: Client ID يمثل الحساب الذي سيتم استخدامه لطلبات واجهة برمجة تطبيقات REST. Client ID يجب تخزين القيمة في تكوين التطبيق، ثم يجب استردادها قبل إجراء خرائط Azure طلبات HTTP التي تستخدم مصادقة Azure AD.
  • مصادقة المفتاح المشترك: يتم Primary Key استخدام مفتاح Secondary Key الاشتراك لمصادقة المفتاح المشترك. تعتمد مصادقة المفتاح المشترك على تمرير المفتاح الذي تم إنشاؤه بواسطة حساب خرائط Azure مع كل طلب خرائط Azure. نوصي بإعادة إنشاء مفاتيحك بانتظام. للحفاظ على الاتصالات الحالية أثناء التجديد ، يتم توفير مفتاحين. يمكن أن يكون أحد المفاتيح قيد الاستخدام ، بينما يقوم بتجديد الآخر. عند إعادة إنشاء مفاتيحك، يجب تحديث أي تطبيقات تصل إلى هذا الحساب لاستخدام المفاتيح الجديدة. لمزيد من المعلومات، راجع المصادقة باستخدام خرائط Azure

إنشاء تسجيل تطبيق في Azure AD

ملاحظة

قم بإنشاء التطبيق المستند إلى الجهاز في Azure AD لتمكين تسجيل الدخول إلى Azure AD. سيتم منح هذا التطبيق حق الوصول إلى واجهات برمجة تطبيقات REST خرائط Azure.

  1. في مدخل Azure، في قائمة خدمات Azure، حدد Azure ActiveDirectoryAppregistrationsتسجيل>>جديد.

    App registration

  2. أدخل اسما، واختر الحسابات في هذا الدليل التنظيمي فقطكنوع الحساب المدعوم. في عناوين URI لإعادة التوجيه، حدد العميل العام/الأصلي (سطح مكتب الجوال & ) ثم أضف https://login.microsoftonline.com/common/oauth2/nativeclient إلى القيمة. لمزيد من التفاصيل، يرجى الاطلاع على تطبيق Azure AD Desktop الذي يستدعي واجهات برمجة تطبيقات الويب: تسجيل التطبيق. ثم قم بتسجيل الطلب.

    Add app registration details for name and redirect uri

  3. انتقل إلى المصادقةوقم بتمكين تطبيق Treat كعميل عام. سيؤدي ذلك إلى تمكين مصادقة رمز الجهاز باستخدام Azure AD.

    Enable app registration as public client

  4. لتعيين أذونات واجهة برمجة التطبيقات المفوضة خرائط Azure، انتقل إلى التطبيق. ثم حدد أذونات واجهة برمجة التطبيقاتإضافة>إذن. ضمن واجهات برمجة التطبيقات التي تستخدمها مؤسستي، ابحث عن خرائط Azure وحدده.

    Add app API permissions

  5. حدد خانة الاختيار الموجودة بجوار Access خرائط Azure، ثم حدد إضافة أذونات.

    Select app API permissions

  6. تكوين عنصر تحكم الوصول المستند إلى دور Azure (Azure RBAC) للمستخدمين أو المجموعات. راجع منح حق الوصول المستند إلى الدور للمستخدمين خرائط Azure.

  7. أضف تعليمات برمجية للحصول على تدفق الرمز المميز في التطبيق، للحصول على تفاصيل التنفيذ، راجع تدفق رمز الجهاز. عند الحصول على الرموز المميزة ، قم بالرجوع إلى النطاق: user_impersonation الذي تم تحديده في الخطوات السابقة.

    تلميح

    استخدم مكتبة مصادقة Microsoft (MSAL) للحصول على رموز الوصول. الاطلاع على التوصيات على تطبيق سطح المكتب الذي يستدعي واجهات برمجة تطبيقات الويب: تكوين التعليمات البرمجية

  8. قم بإنشاء طلب HTTP باستخدام الرمز المميز الذي تم الحصول عليه من Azure AD، وأرسل الطلب باستخدام عميل HTTP صالح.

طلب عينة

فيما يلي نموذج لطلب تحميل سياج جغرافي بسيط يتم تمثيله كهندسة دائرة باستخدام نقطة مركز ونصف قطر.

POST /mapData?api-version=2.0&dataFormat=geojson
Host: us.atlas.microsoft.com
x-ms-client-id: 30d7cc….9f55
Authorization: Bearer eyJ0e….HNIVN

نص طلب العينة أدناه في GeoJSON:

{
    "type": "FeatureCollection",
    "features": [{
        "type": "Feature",
        "geometry": {
            "type": "Point",
            "coordinates": [-122.126986, 47.639754]
        },
        "properties": {
            "geometryId": "001",
            "radius": 500
        }
    }]
}

نموذج رأس الاستجابة

Operation-Location: https://us.atlas.microsoft.com/mapData/operations/{udid}?api-version=2.0
Access-Control-Expose-Headers: Operation-Location

منح حق الوصول المستند إلى الدور للمستخدمين خرائط Azure

يمكنك منح عنصر تحكم الوصول المستند إلى دور Azure (Azure RBAC) عن طريق تعيين مجموعة Azure AD أو مدير أمان إلى تعريف دور واحد أو أكثر خرائط Azure.

لعرض تعريفات دور Azure المتوفرة خرائط Azure، راجع عرض تعريفات دور خرائط Azure المضمنة.

للحصول على خطوات مفصلة حول كيفية تعيين دور خرائط Azure متوفر للهوية المدارة التي تم إنشاؤها أو أصل الخدمة، راجع تعيين أدوار Azure باستخدام مدخل Azure

لإدارة الوصول خرائط Azure إلى التطبيقات والموارد لعدد كبير من المستخدمين بكفاءة، راجع مجموعات Azure AD.

هام

للسماح للمستخدمين بالمصادقة على أحد التطبيقات، يجب أولا إنشاء المستخدمين في Azure AD. لمزيد من المعلومات، راجع إضافة مستخدمين أو حذفهم باستخدام Azure AD.

للتعرف على كيفية إدارة دليل كبير للمستخدمين بشكل فعال، راجع Azure AD.

تحذير

توفر تعريفات الأدوار المضمنة خرائط Azure وصولا كبيرا جدا إلى التفويض للعديد من واجهات برمجة تطبيقات REST خرائط Azure. لتقييد الوصول إلى واجهات برمجة التطبيقات إلى الحد الأدنى، راجع إنشاء تعريف دور مخصص وتعيين الهوية المعينة من قبل النظام إلى تعريف الدور المخصص . يتيح ذلك أقل امتياز ضروري للتطبيق للوصول إلى خرائط Azure.

الخطوات التالية

ابحث عن مقاييس استخدام واجهة برمجة التطبيقات لحسابك خرائط Azure:

عرض مقاييس الاستخدام