Bewährte Methoden für die Authentifizierung
Der wichtigste Teil Ihrer Anwendung ist deren Sicherheit. Wenn Ihre Anwendung nicht sicher ist, können Hacker selbst die beste Benutzererfahrung ruinieren.
Im Folgenden sind einige Tipps aufgeführt, die Ihnen dabei helfen, die Sicherheit Ihrer Azure Maps-Anwendung zu gewährleisten. Wenn Sie Azure verwenden, denken Sie daran, sich mit den Sicherheitstools vertraut zu machen, die Ihnen zur Verfügung stehen. Weitere Informationen finden Sie in der Einführung in Azure-Sicherheit.
Grundlegendes zu Sicherheitsbedrohungen
Hacker, die Zugriff auf Ihr Konto erhalten, können potenziell unbegrenzte abrechenbare Transaktionen durchführen, was zu unerwarteten Kosten und einer Leistungseinbuße aufgrund von QPS-Grenzwerten führt.
Wenn Sie bewährte Methoden zum Schutz Ihrer Azure Maps-Anwendungen verwenden möchten, müssen Sie mit den unterschiedlichen verfügbaren Authentifizierungsoptionen vertraut sein.
Bewährte Methoden für die Authentifizierung in Azure Maps
Wenn Sie mit Azure Maps öffentlich zugängliche Clientanwendungen erstellen, müssen Sie sicherstellen, dass Ihre Authentifizierungsgeheimnisse nicht öffentlich zugänglich sind.
Auf Abonnementschlüsseln basierende Authentifizierung (Shared Key, gemeinsam verwendeter Schlüssel) kann in clientseitigen Anwendungen oder Webdiensten verwendet werden, bietet aber den geringsten Schutz für Ihre Anwendung oder Ihren Webdienst. Der Grund dafür ist, dass der Schlüssel einfach aus einer HTTP-Anforderung abgerufen werden kann und Zugriff auf alle Azure Maps-REST-APIs gewährt, die in der SKU (Tarif) verfügbar sind. Falls Sie Abonnementschlüssel verwenden, müssen diese regelmäßig rotiert werden. Beachten Sie, dass für gemeinsam genutzte Schlüssel keine Lebensdauer konfiguriert werden kann. Dieser Schritt muss also manuell ausgeführt werden. Ziehen Sie ggf. auch die Verwendung der Authentifizierung mit gemeinsam genutzten Schlüsseln mit Azure Key Vault in Betracht, um Ihr Geheimnis sicher in Azure zu speichern.
Wenn Sie die Microsoft Entra-Authentifizierung oder die SAS-Tokenauthentifizierung (Shared Access Signature) verwenden, wird der Zugriff auf REST-APIs von Azure Maps mithilfe der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC) autorisiert. Mit der rollenbasierten Zugriffssteuerung können Sie den Zugriff steuern, der den ausgestellten Token gewährt wird. Überlegen Sie sich, wie lange der Zugriff für die Token gewährt werden soll. Im Gegensatz zur Authentifizierung mit gemeinsam genutzten Schlüsseln ist die Lebensdauer dieser Token konfigurierbar.
Tipp
Weitere Informationen zum Konfigurieren der Tokenlebensdauer finden Sie hier:
Öffentliche und vertrauliche Clientanwendungen
Für öffentliche und vertrauliche Clientanwendungen gibt es verschiedene Sicherheitsaspekte. Weitere Informationen dazu, was als öffentliche und was als vertrauliche Clientanwendung gilt, finden Sie unter Öffentliche Client- und vertrauliche Clientanwendungen in der Dokumentation zur Microsoft-Identitätsplattform.
Öffentliche Clientanwendungen
Bei Apps, die auf Geräten oder Desktopcomputern oder in einem Webbrowser ausgeführt werden, empfiehlt es sich gegebenenfalls, mithilfe von Cross-Origin Resource Sharing (CORS) die Domänen zu definieren, die Zugriff auf Ihr Azure Maps-Konto haben. CORS teilt dem Browser des Clients mit, von welchen Ursprüngen (beispielsweise https://microsoft.com") Ressourcen für das Azure Maps-Konto angefordert werden dürfen.
Hinweis
Wenn Sie einen Webserver oder -dienst entwickeln, muss Ihr Azure Maps-Konto nicht mit CORS konfiguriert werden. Wenn die clientseitige Webanwendung JavaScript-Code enthält, gilt CORS.
Vertrauliche Clientanwendungen
Bei Apps, die auf Servern ausgeführt werden (etwa Webdienste und Dienst-/Daemon-Apps), empfiehlt sich ggf. die Verwendung von verwalteten Identitäten, um den Zusatzaufwand und die Komplexität im Zusammenhang mit der Verwaltung von Geheimnissen zu vermeiden. Verwaltete Identitäten können eine Identität für Ihren Webdienst bereitstellen, die beim Herstellen einer Verbindung mit Azure Maps unter Verwendung der Microsoft Entra-Authentifizierung genutzt werden kann. In diesem Fall verwendet Ihr Webdienst diese Identität, um die erforderlichen Microsoft Entra-Token abzurufen. Sie sollten den Zugriff auf den Webdienst mithilfe von Azure RBAC konfigurieren und dabei die Rollen mit den geringstmöglichen Berechtigungen verwenden.