Verwalten der Authentifizierung in Azure Maps

Wenn Sie ein Azure Maps-Konto erstellen, wird Ihre Client-ID automatisch zusammen mit primären und sekundären Schlüsseln generiert, die für die Authentifizierung bei Verwendung von Azure Active Directory (Azure AD) oder der Authentifizierung mit gemeinsam verwendeten Schlüsseln erforderlich sind.

Voraussetzungen

Melden Sie sich beim Azure-Portal an. Wenn Sie kein Azure-Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.

Anzeigen von Authentifizierungsdetails

Wichtig

Es wird empfohlen, den Primärschlüssel als Abonnementschlüssel zu verwenden, wenn Sie Azure Maps mithilfe der Authentifizierung mit gemeinsam verwendetem Schlüssel aufrufen. Der Sekundärschlüssel kann in Szenarien wie Änderungen beim Schlüsselrollover verwendet werden.

So zeigen Sie Ihre Azure Maps-Authentifizierungsdetails an:

  1. Melden Sie sich beim Azure-Portal an.

  2. Wählen Sie Alle Ressourcen im Abschnitt Azure-Dienste und dann Ihr Azure Maps-Konto aus.

    Select Azure Maps account.

  3. Wählen Sie Authentifizierung im linken Fensterbereich im Einstellungenabschnitt aus.

    Authentication details.

Auswählen einer Authentifizierungskategorie

Abhängig von den Anwendungsanforderungen gibt es bestimmte Möglichkeiten der Anwendungssicherheit. Azure AD definiert Authentifizierungskategorien zur Unterstützung einer breiten Palette von Authentifizierungsflows. Informationen zum Auswählen der besten Kategorie für Ihre Anwendung finden Sie unter Anwendungskategorien.

Hinweis

Kenntnisse über Kategorien und Szenarien helfen Ihnen, Ihre Azure Maps-Anwendung zu schützen, unabhängig davon, ob Sie Azure Active Directory oder Authentifizierung mit gemeinsam verwendeten Schlüsseln verwenden.

Hinzufügen und Entfernen verwalteter Identitäten

Zum Aktivieren der SAS-Tokenauthentifizierung (Shared Access Signature) mit der Azure Maps-REST-API müssen Sie Ihrem Azure Maps-Konto eine vom Benutzer zugewiesene verwaltete Identität hinzufügen.

Erstellen einer verwalteten Identität

Sie können eine vom Benutzer zugewiesene verwaltete Identität erstellen, bevor oder nachdem Sie ein Zuordnungskonto erstellt haben. Sie können die verwaltete Identität über das Portal, Azure-Verwaltungs-SDKs oder die ARM-Vorlage (Azure Resource Manager) hinzufügen. Um eine vom Benutzer zugewiesene verwaltete Identität über eine ARM-Vorlage hinzuzufügen, geben Sie den Ressourcenbezeichner der vom Benutzer zugewiesenen verwalteten Identität an. Siehe das unten stehende Beispiel:

"identity": {
    "type": "UserAssigned",
    "userAssignedIdentities": {
        "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/example/providers/Microsoft.ManagedIdentity/userAssignedIdentities/exampleidentity": {}
    }
}

Entfernen einer verwalteten Identität

Sie können eine systemseitig zugewiesene Identität entfernen, indem Sie das Feature über das Portal oder die Azure Resource Manager-Vorlage genau so deaktivieren, wie es aktiviert wurde. Benutzerseitig zugewiesene Identitäten können einzeln entfernt werden. Legen Sie den Identitätstyp auf "None" fest, um alle Identitäten zu entfernen.

Bei dieser Methode zum Entfernen einer systemseitig zugewiesenen Identität wird diese auch aus Azure AD gelöscht. Systemseitig zugewiesene Identitäten werden automatisch aus Azure AD entfernt, wenn das Azure Maps-Konto gelöscht wird.

Aktualisieren Sie den folgenden Abschnitt, um alle Identitäten mithilfe der Azure Resource Manager-Vorlage zu entfernen:

"identity": {
    "type": "None"
}

Auswählen eines Authentifizierungs- und Autorisierungsszenarios

In der folgenden Tabelle werden gängige Authentifizierungs- und Autorisierungsszenarien in Azure Maps skizziert. Jedes Szenario beschreibt eine Art von App, die für den Zugriff auf die Azure Maps-REST-API verwendet werden kann. Verwenden Sie die Links, um ausführliche Konfigurationsinformationen zu jedem Szenario zu erhalten.

Wichtig

Für Produktionsanwendungen sollte Azure AD mit der rollenbasierten Zugriffssteuerung (Role-Based Access Control, Azure RBAC) implementiert werden.

Szenario Authentifizierung Authorization Entwicklungsaufwand Betriebsaufwand
Schützen einer Daemon-Anwendung Gemeinsam verwendeter Schlüssel Medium High
Schützen einer Daemon-Anwendung Azure AD High Niedrig Medium
Schützen einer Single-Page-Webanwendung mit Benutzeranmeldung Azure AD High Medium Medium
Schützen einer Einzelseiten-Webanwendung mit nicht interaktiver Anmeldung Azure AD High Medium Medium
Schützen einer Anwendung mit SAS-Token SAS-Token High Medium Niedrig
Webanwendung mit interaktiver einmaliger Anmeldung Azure AD High High Medium
Sichern eines eingabebeschränkten Geräts mit Azure AD und Azure Maps-REST-APIs Azure AD High Medium Medium

Anzeigen der integrierten Azure Maps-Rollendefinitionen

So zeigen Sie die integrierte Azure Maps-Rollendefinition an:

  1. Wählen Sie im linken Bereich Zugriffssteuerung (IAM) aus.

  2. Wählen Sie die Registerkarte Rollen aus.

  3. Geben Sie im Suchfeld Azure Maps ein.

In den Ergebnissen werden die verfügbaren integrierten Rollendefinitionen für Azure Maps angezeigt.

View built-in Azure Maps role definitions.

Anzeigen von Rollenzuweisungen

Um Benutzer und Apps anzuzeigen, denen Zugriff für Azure Maps gewährt wurde, navigieren Sie zu Zugriffssteuerung (IAM) . Wählen Sie dort die Option Rollenzuweisungen aus, und filtern Sie dann nach Azure Maps.

  1. Wählen Sie im linken Bereich Zugriffssteuerung (IAM) aus.

  2. Klicken Sie auf die Registerkarte Rollenzuweisungen.

  3. Geben Sie im Suchfeld Azure Maps ein.

In den Ergebnissen werden die aktuellen Azure Maps-Rollenzuweisungen angezeigt.

View built-in View users and apps that have been granted access.

Anfordern von Token für Azure Maps

Anfordern eines Tokens vom Azure AD-Tokenendpunkt. Verwenden Sie in Ihrer Azure AD-Anforderung die folgenden Details:

Azure-Umgebung Azure AD-Tokenendpunkt Azure-Ressourcen-ID
Öffentliche Azure-Cloud https://login.microsoftonline.com https://atlas.microsoft.com/
Azure Government-Cloud https://login.microsoftonline.us https://atlas.microsoft.com/

Weitere Informationen zum Anfordern von Zugriffstoken aus Azure AD für Benutzer und Dienstprinzipale finden Sie unter Was ist Authentifizierung?. Spezifische Szenarien finden Sie in der Tabelle der Szenarien.

Verwalten und Rotieren von gemeinsam verwendeten Schlüsseln

Ihre Azure Maps-Abonnementschlüssel ähneln einem Stammkennwort für Ihr Azure Maps-Konto. Achten Sie darauf, die Abonnementschlüssel immer gut zu schützen. Verwenden Sie Azure Key Vault zum sicheren Verwalten und Rotieren Ihrer Schlüssel. Geben Sie Zugriffsschlüssel nicht an andere Benutzer weiter, vermeiden Sie das Hartcodieren, und speichern Sie die Schlüssel nicht als Klartext, auf den andere Benutzer Zugriff haben. Wenn Sie der Meinung sind, dass Ihre Schlüssel möglicherweise kompromittiert wurden, rotieren Sie sie.

Hinweis

Wenn möglich, sollten Sie Azure AD anstelle des gemeinsam genutzten Schlüssels verwenden, um Anforderungen zu autorisieren. Azure AD bietet eine bessere Sicherheit als ein gemeinsam verwendeter Schlüssel und ist einfacher zu verwenden.

Manuelles Rotieren von Abonnementschlüsseln

Um die Sicherheit Ihres Azure Maps-Kontos zu gewährleisten, sollten Sie Ihre Abonnementschlüssel regelmäßig rotieren. Verwenden Sie nach Möglichkeit Azure Key Vault zum Verwalten Ihrer Zugriffsschlüssel. Wenn Sie Key Vault nicht verwenden, müssen Sie die Schlüssel manuell rotieren.

Es werden zwei Abonnementschlüssel zugewiesen, sodass Sie Ihre Schlüssel rotieren können. Durch das Vorhandensein von zwei Schlüsseln ist sichergestellt, dass der Zugriff Ihrer Anwendung auf Azure Maps während des Prozesses erhalten bleibt.

So rotieren Sie Ihre Azure Maps-Abonnementschlüssel im Azure-Portal

  1. Aktualisieren Sie Ihren Anwendungscode so, dass er auf den sekundären Schlüssel für das Azure Maps-Konto verweist, und stellen Sie ihn bereit.
  2. Navigieren Sie im Azure-Portal zu Ihrem Azure Maps-Konto.
  3. Wählen Sie unter Einstellungen die Option Authentifizierung aus.
  4. Klicken Sie auf die Schaltfläche Neu generieren neben dem primären Schlüssel, um den primären Schlüssel für Ihr Azure Maps-Konto neu zu generieren.
  5. Aktualisieren Sie Ihren Anwendungscode so, dass auf den neuen Primärschlüssel verwiesen wird, und stellen Sie ihn bereit.
  6. Generieren Sie den sekundären Zugriffsschlüssel auf die gleiche Weise neu.

Warnung

Sie sollten in allen Ihren Anwendungen nicht mehrere Schlüssel gleichzeitig verwenden. Wenn Sie „Key 1“ an einigen Stellen und „Key 2“ an anderen verwenden, können Sie die Verwendung der Schlüssel nicht wechseln, ohne dass einige Anwendungen den Zugriff verlieren.

Nächste Schritte

Suchen der API-Nutzungsmetriken für Ihr Azure Maps-Konto:

Beispiele für die Integration von Azure AD in Azure Maps: