Verificatie in Azure Maps beheren
Wanneer u een Azure Kaarten-account maakt, worden uw client-id en gedeelde sleutels automatisch gemaakt. Deze waarden zijn vereist voor verificatie bij het gebruik van Microsoft Entra ID of Gedeelde sleutelverificatie.
Vereisten
Meld u aan bij de Azure-portal. Als u geen Azure-abonnement hebt, maakt u een gratis account voordat u begint.
- Een vertrouwdheid met beheerde identiteiten voor Azure-resources. Zorg ervoor dat u de twee typen beheerde identiteiten begrijpt en hoe deze verschillen.
- Een Azure Kaarten-account.
- Een vertrouwdheid met Azure Kaarten-verificatie.
Verificatiedetails weergeven
Belangrijk
U wordt aangeraden de primaire sleutel als abonnementssleutel te gebruiken wanneer u verificatie met gedeelde sleutels gebruikt om Azure Kaarten aan te roepen. U kunt de secundaire sleutel het beste gebruiken in scenario's zoals wijzigingen in rollende sleutels.
Ga als volgende te werk om uw Azure Kaarten-verificatiegegevens weer te geven:
Meld u aan bij de Azure-portal.
Selecteer Alle resources in de sectie Azure-services en selecteer vervolgens uw Azure Kaarten-account.
Selecteer Verificatie in de sectie Instellingen van het linkerdeelvenster.
Een verificatiecategorie kiezen
Afhankelijk van uw toepassingsbehoeften zijn er specifieke trajecten voor toepassingsbeveiliging. Microsoft Entra ID definieert specifieke verificatiecategorieën ter ondersteuning van een breed scala aan verificatiestromen. Als u de beste categorie voor uw toepassing wilt kiezen, raadpleegt u toepassingscategorieën.
Notitie
Als u categorieën en scenario's begrijpt, kunt u uw Azure Kaarten-toepassing beveiligen, ongeacht of u Microsoft Entra ID of verificatie met gedeelde sleutels gebruikt.
Beheerde identiteiten toevoegen en verwijderen
Als u SAS-tokenverificatie (Shared Access Signature) wilt inschakelen met de Azure Kaarten REST API, moet u een door de gebruiker toegewezen beheerde identiteit toevoegen aan uw Azure Kaarten-account.
Een beheerde identiteit maken
U kunt een door de gebruiker toegewezen beheerde identiteit maken voor of na het maken van een kaartaccount. U kunt de beheerde identiteit toevoegen via de portal, Azure-beheer-SDK's of de ARM-sjabloon (Azure Resource Manager). Als u een door de gebruiker toegewezen beheerde identiteit wilt toevoegen via een ARM-sjabloon, geeft u de resource-id op van de door de gebruiker toegewezen beheerde identiteit.
"identity": {
"type": "UserAssigned",
"userAssignedIdentities": {
"/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/example/providers/Microsoft.ManagedIdentity/userAssignedIdentities/exampleidentity": {}
}
}
Een beheerde identiteit verwijderen
U kunt een door het systeem toegewezen identiteit verwijderen door de functie uit te schakelen via de portal of de Azure Resource Manager-sjabloon op dezelfde manier als die is gemaakt. Door de gebruiker toegewezen identiteiten kunnen afzonderlijk worden verwijderd. Als u alle identiteiten wilt verwijderen, stelt u het identiteitstype in op "None".
Als u een door het systeem toegewezen identiteit op deze manier verwijdert, wordt deze ook verwijderd uit de Microsoft Entra-id. Door het systeem toegewezen identiteiten worden ook automatisch verwijderd uit Microsoft Entra-id wanneer het Azure Kaarten-account wordt verwijderd.
Als u alle identiteiten wilt verwijderen met behulp van de Azure Resource Manager-sjabloon, werkt u deze sectie bij:
"identity": {
"type": "None"
}
Een verificatie- en autorisatiescenario kiezen
Deze tabel bevat algemene verificatie- en autorisatiescenario's in Azure Kaarten. In elk scenario wordt een type app beschreven dat kan worden gebruikt voor toegang tot Azure Kaarten REST API. Gebruik de koppelingen voor gedetailleerde configuratie-informatie voor elk scenario.
Belangrijk
Voor productietoepassingen raden we u aan Microsoft Entra ID te implementeren met op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC).
| Scenario | Verificatie | Autorisatie | Ontwikkelingsinspanning | Operationele inspanning |
|---|---|---|---|---|
| Vertrouwde daemon-app of niet-interactieve client-app | Gedeelde sleutel | N.v.t. | Gemiddeld | Hoog |
| Vertrouwde daemon of niet-interactieve client-app | Microsoft Entra ID | Hoog | Laag | Gemiddeld |
| Web-app met één pagina met interactieve eenmalige aanmelding | Microsoft Entra ID | Hoog | Gemiddeld | Gemiddeld |
| Web-app met één pagina met niet-interactieve aanmelding | Microsoft Entra ID | Hoog | Gemiddeld | Gemiddeld |
| Web-app, daemon-app of niet-interactieve aanmeldings-app | SAS-token | Hoog | Gemiddeld | Laag |
| Webtoepassing met interactieve eenmalige aanmelding | Microsoft Entra ID | Hoog | Hoog | Gemiddeld |
| IoT-apparaat of een ingevoerde beperkte toepassing | Microsoft Entra ID | Hoog | Gemiddeld | Gemiddeld |
Ingebouwde Azure Kaarten-roldefinities weergeven
De ingebouwde Azure Kaarten-roldefinitie weergeven:
Selecteer toegangsbeheer (IAM) in het linkerdeelvenster.
Selecteer het tabblad Rollen .
Voer in het zoekvak Azure Kaarten in.
In de resultaten worden de beschikbare ingebouwde roldefinities voor Azure Kaarten weergegeven.
Roltoewijzingen weergeven
Als u gebruikers en apps wilt weergeven die toegang hebben gekregen voor Azure Kaarten, gaat u naar Toegangsbeheer (IAM). Selecteer daar roltoewijzingen en filter vervolgens op Azure Kaarten.
Selecteer toegangsbeheer (IAM) in het linkerdeelvenster.
Selecteer het tabblad Roltoewijzingen.
Voer in het zoekvak Azure Kaarten in.
In de resultaten worden de huidige Azure Kaarten-roltoewijzingen weergegeven.
Tokens aanvragen voor Azure Kaarten
Vraag een token aan bij het Microsoft Entra-tokeneindpunt. Gebruik in uw Microsoft Entra ID-aanvraag de volgende gegevens:
| Azure-omgeving | Microsoft Entra-tokeneindpunt | Azure-resource-id |
|---|---|---|
| Openbare Azure-cloud | https://login.microsoftonline.com |
https://atlas.microsoft.com/ |
| Azure Government-cloud | https://login.microsoftonline.us |
https://atlas.microsoft.com/ |
Zie Verificatiescenario's voor Microsoft Entra ID voor gebruikers en service-principals voor meer informatie over het aanvragen van toegangstokens van Microsoft Entra ID. Zie de tabel met scenario's om specifieke scenario's weer te geven.
Gedeelde sleutels beheren en draaien
Uw Azure Kaarten-abonnementssleutels zijn vergelijkbaar met een hoofdwachtwoord voor uw Azure Kaarten-account. Wees altijd voorzichtig met het beveiligen van uw abonnementssleutels. Gebruik Azure Key Vault om uw sleutels veilig te beheren en te roteren. Vermijd het distribueren van toegangssleutels naar andere gebruikers, het coderen ervan of het opslaan van ze ergens in tekst zonder opmaak die toegankelijk is voor anderen. Als u denkt dat uw sleutels mogelijk zijn aangetast, roteert u deze.
Notitie
Indien mogelijk raden we u aan microsoft Entra-id te gebruiken in plaats van gedeelde sleutel om aanvragen te autoriseren. Microsoft Entra ID heeft betere beveiliging dan gedeelde sleutel en is eenvoudiger te gebruiken.
Abonnementssleutels handmatig draaien
Om uw Azure Kaarten-account veilig te houden, raden we u aan uw abonnementssleutels periodiek te roteren. Gebruik indien mogelijk Azure Key Vault om uw toegangssleutels te beheren. Als u Key Vault niet gebruikt, moet u uw sleutels handmatig draaien.
Er worden twee abonnementssleutels toegewezen, zodat u uw sleutels kunt draaien. Als u twee sleutels hebt, zorgt u ervoor dat uw toepassing gedurende het hele proces toegang behoudt tot Azure Kaarten.
Uw Azure Kaarten-abonnementssleutels draaien in Azure Portal:
- Werk uw toepassingscode bij om te verwijzen naar de secundaire sleutel voor het Azure Kaarten-account en deze te implementeren.
- Navigeer in Azure Portal naar uw Azure Kaarten-account.
- Selecteer Verificatie onder Instellingen.
- Als u de primaire sleutel voor uw Azure Kaarten-account opnieuw wilt genereren, selecteert u de knop Opnieuw genereren naast de primaire sleutel.
- Werk de toepassingscode bij om te verwijzen naar de nieuwe primaire sleutel en deze te implementeren.
- Genereer de secundaire sleutel op dezelfde manier opnieuw.
Waarschuwing
U wordt aangeraden dezelfde sleutel in al uw toepassingen te gebruiken. Als u de primaire sleutel op sommige plaatsen en de secundaire sleutel op andere plaatsen gebruikt, kunt u uw sleutels niet draaien zonder dat sommige toepassingen toegang verliezen.
Volgende stappen
Zoek de metrische gegevens over API-gebruik voor uw Azure Kaarten-account:
Bekijk voorbeelden die laten zien hoe u Microsoft Entra ID integreert met Azure Kaarten: