Ověřování s využitím Azure Maps
Azure Maps podporuje dva způsoby ověření požadavků: ověřování prostřednictvím sdíleného klíče a ověřování Azure Active Directory (Azure AD) . tento článek vysvětluje obě metody ověřování, které vám pomůžou s implementací služby Azure Maps services.
Poznámka
abychom vylepšili zabezpečenou komunikaci s Azure Maps, teď podporujeme protokol tls (Transport Layer Security) 1,2 a vychystáme podporu tls 1,0 a 1,1. Pokud aktuálně používáte TLS 1. x, vyhodnoťte připravenost TLS 1,2 a vytvořte plán migrace s testováním popsaným v tématu řešení potížís protokolem TLS 1,0.
Ověřování sdíleného klíče
primární a sekundární klíče jsou generovány po vytvoření účtu Azure Maps. při volání Azure Maps s ověřováním pomocí sdíleného klíče doporučujeme použít primární klíč jako klíč předplatného. ověřování pomocí sdíleného klíče předává klíč generovaný Azure Maps účtem ke službě Azure Maps. pro každý požadavek na Azure Maps služby přidejte klíč předplatného jako parametr do adresy URL. Sekundární klíč lze použít ve scénářích, jako jsou například klíčové změny.
Příklad použití klíče předplatného jako parametru v adrese URL:
https://atlas.microsoft.com/mapData/upload?api-version=1.0&dataFormat=zip&subscription-key={Azure-Maps-Primary-Subscription-key}
Informace o zobrazení klíčů v Azure Portal najdete v tématu Správa ověřování.
Poznámka
Primární a sekundární klíč by měly být považovány za citlivá data. sdílený klíč se používá k ověření všech Azure Maps rozhraní REST api. Uživatelé, kteří používají sdílený klíč, by měli klíč rozhraní API opustit, a to buď pomocí proměnných prostředí, nebo zabezpečeného tajného úložiště, kde se dají spravovat centrálně.
Ověřování Azure AD
U předplatných Azure se poskytuje tenant Azure AD, který umožňuje jemně odstupňované řízení přístupu. Azure Maps nabízí ověřování pro služby Azure Maps pomocí Azure AD. Azure AD poskytuje ověřování na základě identity pro uživatele a aplikace zaregistrované v tenantovi Azure AD.
Azure Maps přijímá přístupové tokeny OAuth 2,0 pro klienty azure AD přidružené k předplatnému azure, které obsahuje účet Azure Maps. Azure Maps také akceptuje tokeny pro:
- Uživatelé Azure AD
- Partnerské aplikace, které používají oprávnění delegované uživateli
- Spravované identity pro prostředky Azure
Azure Maps pro každý účet Azure Maps vygeneruje jedinečný identifikátor (ID klienta) . Tokeny ze služby Azure AD můžete vyžádat při kombinaci tohoto ID klienta s dalšími parametry.
další informace o tom, jak nakonfigurovat Azure AD a žádat o tokeny pro Azure Maps, najdete v tématu správa ověřování v Azure Maps.
Obecné informace o ověřování ve službě Azure AD najdete v tématu co je ověřování?.
Spravované identity pro prostředky a Azure Maps Azure
Spravované identity pro prostředky Azure poskytují služby Azure pomocí automaticky spravovaného objektu zabezpečení založeného na aplikaci, který se může ověřit ve službě Azure AD. díky řízení přístupu na základě role v azure (azure RBAC) může být objekt zabezpečení spravované identity autorizovaný pro přístup k Azure Maps službám. Mezi příklady spravovaných identit patří: Azure App Service, Azure Functions a Azure Virtual Machines. Seznam spravovaných identit najdete v tématu spravované identity pro prostředky Azure.
Konfigurace ověřování Azure AD pro aplikace
Aplikace se budou ověřovat pomocí tenanta Azure AD s použitím jednoho nebo více podporovaných scénářů poskytovaných službou Azure AD. Každý scénář aplikace Azure AD představuje různé požadavky založené na obchodních potřebách. Některé aplikace můžou vyžadovat přihlašování uživatelů a jiné aplikace můžou vyžadovat přihlášení k aplikacím. Další informace najdete v tématu toky ověřování a scénáře aplikací.
Poté, co aplikace získá přístupový token, sada SDK nebo aplikace pošle požadavek HTTPS s následující sadou požadovaných hlaviček HTTP kromě dalších REST API hlaviček protokolu HTTP:
| Název záhlaví | Hodnota |
|---|---|
| x-MS-Client-ID | 30d7cc....9f55 |
| Autorizace | Nosič eyJ0e... HNIVN |
Poznámka
x-ms-client-idje identifikátor GUID založený na účtu Azure Maps, který se zobrazí na stránce ověřování Azure Maps.
tady je příklad žádosti o Azure Maps trase, která používá token nosiče Azure AD OAuth:
GET /route/directions/json?api-version=1.0&query=52.50931,13.42936:52.50274,13.43872
Host: atlas.microsoft.com
x-ms-client-id: 30d7cc….9f55
Authorization: Bearer eyJ0e….HNIVN
Informace o zobrazení ID klienta najdete v tématu zobrazení podrobností o ověřování.
Ověřování pomocí řízení přístupu na základě role
Azure Maps podporuje přístup ke všem objektům zabezpečení pro řízení přístupu na základě role azure (azure RBAC) , včetně: jednotlivých uživatelů Azure AD, skupin, aplikací, prostředků azure a spravovaných identit azure. Hlavním typům je udělena sada oprávnění, která se označuje také jako definice role. Definice role poskytuje oprávnění REST API akcí. použití přístupu na jeden nebo více účtů Azure Maps se označuje jako obor. Při použití objektu zabezpečení, definice role a oboru se vytvoří přiřazení role.
v dalších částech najdete koncepty a součásti Azure Maps integrace se službou Azure RBAC. v rámci procesu nastavení účtu Azure Maps je adresář služby azure AD přidružený k předplatnému azure, které se nachází v Azure Mapsm účtu.
Při konfiguraci služby Azure RBAC zvolíte objekt zabezpečení a použijete ho pro přiřazení role. Další informace o přidání přiřazení rolí na Azure Portal najdete v tématu přiřazení rolí Azure.
Výběr definice role
Následující typy definic rolí existují k podpoře scénářů aplikací.
| Definice role Azure | Popis |
|---|---|
| čtečka dat Azure Maps | poskytuje přístup k neměnným Azure Maps rozhraní REST api. |
| přispěvatel dat Azure Maps | poskytuje přístup k proměnlivým rozhraním REST api Azure Maps. Proměnlivost je definována akcemi: Write a DELETE. |
| Definice vlastní role | vytvořte vytvořenou roli pro povolení flexibilního omezeného přístupu k Azure Maps rozhraní REST api. |
některé Azure Maps služby mohou vyžadovat zvýšená oprávnění k provádění akcí zápisu nebo odstranění v Azure Maps rozhraní REST api. služba Azure Maps role přispěvatel dat je vyžadována pro služby, které poskytují akce zápisu nebo odstranění. následující tabulka popisuje, jaké služby Azure Maps přispěvatel dat použít při použití akcí zápisu nebo odstranění. pokud jsou vyžadovány pouze akce čtení, je možné použít roli Azure Maps data Reader místo role přispěvatele dat Azure Maps.
| služba Azure Maps | definice Role Azure Maps |
|---|---|
| Data | přispěvatel dat Azure Maps |
| tvůrce | přispěvatel dat Azure Maps |
| Prostorové | přispěvatel dat Azure Maps |
Informace o zobrazení nastavení služby Azure RBAC najdete v tématu Konfigurace služby Azure RBAC pro Azure Maps.
Definice vlastních rolí
Jedním z aspektů zabezpečení aplikace je princip nejnižších oprávnění, postupy omezení přístupových práv pouze na ty, které jsou potřeba k tomu, aby se úlohy daly dělat na ruce. K tomu je potřeba vytvořit vlastní definice rolí, které podporují případy použití, které vyžadují další členitost řízení přístupu. Pokud chcete vytvořit definici vlastní role, vyberte konkrétní datové akce, které chcete zahrnout nebo vyloučit pro definici.
Vlastní definice role se pak dá použít v přiřazení role pro libovolný objekt zabezpečení. Další informace o definicích vlastních rolí Azure najdete v tématu vlastní role Azure.
Tady je několik ukázkových scénářů, ve kterých můžou vlastní role zlepšit zabezpečení aplikací.
| Scenario | Akce s daty vlastní role |
|---|---|
| Veřejná nebo interaktivní přihlašovací webová stránka s dlaždicemi základní mapy a bez dalších rozhraní REST API. | Microsoft.Maps/accounts/services/render/read |
| Aplikace, která vyžaduje pouze reverzní geografické kódování a žádná další rozhraní REST API. | Microsoft.Maps/accounts/services/search/read |
| role pro objekt zabezpečení, který požaduje čtení dat map na základě autora Azure Maps a základní mapy rozhraní REST api. | Microsoft.Maps/accounts/services/data/read, Microsoft.Maps/accounts/services/render/read |
| Role pro objekt zabezpečení, který vyžaduje čtení, zápis a odstraňování dat map založených na tvůrci. To může být definováno jako role editoru mapování dat, ale neumožňuje přístup k dalším rozhraním REST API, jako jsou základní mapové dlaždice. | Microsoft.Maps/accounts/services/data/read, Microsoft.Maps/accounts/services/data/write, Microsoft.Maps/accounts/services/data/delete |
Porozumění oboru
Při vytváření přiřazení role se definuje v hierarchii prostředků Azure. V horní části hierarchie je skupina pro správu a nejnižší je prostředek Azure, například účet azure Mapy správu. Přiřazení role ke skupině prostředků může umožnovat přístup k více účtům Mapy nebo prostředkům Azure ve skupině.
Tip
Obecným doporučením Microsoftu je přiřadit přístup k oboru účtu Azure Mapy, protože brání nezamýšlenému přístupu k jiným účtům Azure Mapy existujícím ve stejném předplatném Azure.
Další kroky
Další informace o Azure RBAC najdete v tématu
Další informace o ověřování aplikace pomocí Azure AD a Azure Mapy najdete v tématu
Další informace o ověřování služby Azure Mapy Ovládací prvek Mapa službou Azure AD najdete v tématu