تأمين تطبيق ويب باستخدام تسجيل دخول المستخدم
يتعلق الدليل التالي بتطبيق تتم استضافته على خوادم الويب ويحافظ على سيناريوهات أعمال متعددة وينشر على خوادم الويب. يتطلب التطبيق توفير موارد محمية مؤمنة فقط لمستخدمي Azure AD. الهدف من السيناريو هو تمكين تطبيق الويب من المصادقة على Azure AD واستدعاء واجهات برمجة تطبيقات REST نيابة خرائط Azure المستخدم.
لعرض تفاصيل مصادقة حساب خرائط Azure في مدخل Azure:
تسجيل الدخول إلى مدخل Microsoft Azure.
انتقل إلى قائمة مدخل Azure. حدد كافة الموارد، ثم حدد حساب خرائط Azure الخاص بك.
ضمن الإعدادات في الجزء الأيمن، حدد المصادقة.
يتم إنشاء ثلاث قيم عند إنشاء حساب خرائط Azure. يتم استخدامها لدعم نوعين من المصادقة في خرائط Azure:
- مصادقة Azure Active Directory:
Client IDيمثل الحساب الذي سيتم استخدامه لطلبات واجهة برمجة تطبيقات REST.Client IDيجب تخزين القيمة في تكوين التطبيق، ثم يجب استردادها قبل إجراء خرائط Azure طلبات HTTP التي تستخدم مصادقة Azure AD. - مصادقة المفتاح المشترك: يتم
Primary Keyاستخدام مفتاحSecondary Keyالاشتراك لمصادقة المفتاح المشترك. تعتمد مصادقة المفتاح المشترك على تمرير المفتاح الذي تم إنشاؤه بواسطة حساب خرائط Azure مع كل طلب خرائط Azure. نوصي بإعادة إنشاء مفاتيحك بانتظام. للحفاظ على الاتصالات الحالية أثناء التجديد ، يتم توفير مفتاحين. يمكن أن يكون أحد المفاتيح قيد الاستخدام ، بينما يقوم بتجديد الآخر. عند إعادة إنشاء مفاتيحك، يجب تحديث أي تطبيقات تصل إلى هذا الحساب لاستخدام المفاتيح الجديدة. لمزيد من المعلومات، راجع المصادقة باستخدام خرائط Azure
إنشاء تسجيل تطبيق في Azure AD
يجب إنشاء تطبيق الويب في Azure AD للمستخدمين لتسجيل الدخول. سيقوم تطبيق الويب هذا بعد ذلك بتفويض وصول المستخدم إلى واجهات برمجة تطبيقات REST خرائط Azure.
في مدخل Azure، في قائمة خدمات Azure، حدد Azure ActiveDirectoryAppregistrationsتسجيل>>جديد.
أدخل اسما، واختر نوع حساب الدعم، وقم بتوفير عنوان URI لإعادة التوجيه والذي سيمثل عنوان URL الذي سيصدر Azure AD الرمز المميز وهو عنوان URL حيث يتم استضافة عنصر تحكم الخريطة. لمزيد من التفاصيل، يرجى الاطلاع على Azure AD Scenario: تطبيق ويب الذي يسجل دخول المستخدمين. أكمل الخطوات المتوفرة من سيناريو Azure AD.
بمجرد اكتمال تسجيل التطبيق، تأكد من أن تسجيل الدخول إلى التطبيق يعمل للمستخدمين. بمجرد عمل تسجيل الدخول ، يمكن منح التطبيق حق الوصول المفوض إلى واجهات برمجة تطبيقات REST خرائط Azure.
لتعيين أذونات واجهة برمجة التطبيقات المفوضة خرائط Azure، انتقل إلى التطبيق. ثم حدد أذونات واجهة برمجة التطبيقاتإضافة>إذن. ضمن واجهات برمجة التطبيقات التي تستخدمها مؤسستي، ابحث عن خرائط Azure وحدده.
حدد خانة الاختيار الموجودة بجوار Access خرائط Azure، ثم حدد إضافة أذونات.
تمكين تطبيق الويب من استدعاء واجهات برمجة تطبيقات REST خرائط Azure عن طريق تكوين تسجيل التطبيق باستخدام سر تطبيق، للحصول على خطوات مفصلة، راجع تطبيق ويب يستدعي واجهات برمجة تطبيقات الويب: تسجيل التطبيق. يلزم وجود سر للمصادقة على Azure AD نيابة عن المستخدم. يجب تخزين شهادة تسجيل التطبيق أو السر في متجر آمن لتطبيق الويب لاسترداده للمصادقة على Azure AD.
- إذا كان التطبيق قد قام بالفعل بتكوين تسجيل تطبيق Azure AD وسرا ، فقد يتم تخطي هذه الخطوة.
تلميح
إذا تمت استضافة التطبيق في بيئة Azure، فإننا نوصي باستخدام الهويات المدارة لموارد Azure ومثيل Azure Key Vault للوصول إلى الأسرار عن طريق الحصول على رمز وصول مميز للوصول إلى أسرار أو شهادات Azure Key Vault. للاتصال ب Azure Key Vault لاسترداد الأسرار، راجع البرنامج التعليمي للاتصال من خلال الهوية المدارة.
قم بتنفيذ نقطة نهاية رمز مميز آمنة ل خرائط Azure Web SDK للوصول إلى رمز مميز.
- للحصول على عينة من وحدة تحكم الرمز المميز، راجع خرائط Azure Azure AD Samples.
- للحصول على تطبيق غير AspNetCore أو غير ذلك، راجع الحصول على رمز مميز للتطبيق من وثائق Azure AD.
- تكون نقطة نهاية الرمز المميز الآمنة مسؤولة عن إرجاع رمز وصول مميز للمستخدم المصادق عليه والمصرح له للاتصال خرائط Azure واجهات برمجة تطبيقات REST.
تكوين عنصر تحكم الوصول المستند إلى دور Azure (Azure RBAC) للمستخدمين أو المجموعات. راجع منح حق الوصول المستند إلى الدور للمستخدمين.
قم بتكوين صفحة تطبيق الويب باستخدام خرائط Azure Web SDK للوصول إلى نقطة نهاية الرمز المميز الآمنة.
var map = new atlas.Map("map", {
center: [-122.33, 47.64],
zoom: 12,
language: "en-US",
authOptions: {
authType: "anonymous",
clientId: "<insert>", // azure map account client id
getToken: function (resolve, reject, map) {
var xhttp = new XMLHttpRequest();
xhttp.open("GET", "/api/token", true); // the url path maps to the token endpoint.
xhttp.onreadystatechange = function () {
if (this.readyState === 4 && this.status === 200) {
resolve(this.responseText);
} else if (this.status !== 200) {
reject(this.responseText);
}
};
xhttp.send();
}
}
});
map.events.add("tokenacquired", function () {
console.log("token acquired");
});
map.events.add("error", function (err) {
console.log(JSON.stringify(err.error));
});
منح حق الوصول المستند إلى الدور للمستخدمين خرائط Azure
يمكنك منح عنصر تحكم الوصول المستند إلى دور Azure (Azure RBAC) عن طريق تعيين مجموعة Azure AD أو مدير أمان إلى تعريف دور واحد أو أكثر خرائط Azure.
لعرض تعريفات دور Azure المتوفرة خرائط Azure، راجع عرض تعريفات دور خرائط Azure المضمنة.
للحصول على خطوات مفصلة حول كيفية تعيين دور خرائط Azure متوفر للهوية المدارة التي تم إنشاؤها أو أصل الخدمة، راجع تعيين أدوار Azure باستخدام مدخل Azure
لإدارة الوصول خرائط Azure إلى التطبيقات والموارد لعدد كبير من المستخدمين بكفاءة، راجع مجموعات Azure AD.
هام
للسماح للمستخدمين بالمصادقة على أحد التطبيقات، يجب أولا إنشاء المستخدمين في Azure AD. لمزيد من المعلومات، راجع إضافة مستخدمين أو حذفهم باستخدام Azure AD.
للتعرف على كيفية إدارة دليل كبير للمستخدمين بشكل فعال، راجع Azure AD.
تحذير
توفر تعريفات الأدوار المضمنة خرائط Azure وصولا كبيرا جدا إلى التفويض للعديد من واجهات برمجة تطبيقات REST خرائط Azure. لتقييد الوصول إلى واجهات برمجة التطبيقات إلى الحد الأدنى، راجع إنشاء تعريف دور مخصص وتعيين الهوية المعينة من قبل النظام إلى تعريف الدور المخصص . يتيح ذلك أقل امتياز ضروري للتطبيق للوصول إلى خرائط Azure.
الخطوات التالية
مزيد من الفهم لسيناريو تطبيق الويب:
ابحث عن مقاييس استخدام واجهة برمجة التطبيقات لحسابك خرائط Azure:
استكشف العينات التي توضح كيفية دمج Azure AD مع خرائط Azure: