Рекомендации по работе с проверкой подлинности
Самым важным свойством приложения является его безопасность. Каким бы хорошим ни был пользовательский интерфейс, если ваше приложение не защищено, хакер может его взломать.
Ниже приведены несколько советов по обеспечению безопасности приложения Azure Maps. При использовании Azure следует обязательно ознакомиться с имеющимися инструментами безопасности. Дополнительные сведения приведены в статье Общие сведения о безопасности Azure.
Общие сведения об угрозах безопасности
Хакеры, получающие доступ к вашей учетной записи, могут потенциально совершать неограниченные выставление счетов транзакций, что приводит к непредвиденным затратам и снижению производительности из-за ограничений QPS.
При рассмотрении рекомендаций по защите приложений Azure Карты необходимо понять различные варианты проверки подлинности.
Рекомендации по проверке подлинности в Azure Maps
При создании общедоступных клиентских приложений с помощью Azure Карты необходимо убедиться, что секреты проверки подлинности недоступны в общедоступном режиме.
Проверка подлинности на основе ключей подписки (общий ключ) может использоваться в клиентских приложениях или веб-службах, однако это самый безопасный подход к защите приложения или веб-службы. Причина заключается в том, что ключ легко получен из HTTP-запроса и предоставляет доступ ко всем REST API Azure Карты, доступным в номере SKU (ценовая категория). Если вы используете ключи подписки, обязательно регулярно поворачивайте их и помните, что общий ключ не позволяет настраивать время существования, это нужно делать вручную. Кроме того, следует использовать проверку подлинности с общим ключом в Azure Key Vault, что позволяет безопасно хранить учетные цифровые идентификационные данные в Azure.
При использовании проверки подлинности Microsoft Entra или проверки подлинности маркера URL-адреса (SAS) доступ к API-интерфейсам REST Azure Карты разрешен с помощью управления доступом на основе ролей (RBAC). Управление доступом на основе ролей позволяет управлять доступом к выданным маркерам. Следует рассмотреть, как долго должен предоставляться доступ для маркеров. В отличие от проверки подлинности с общим ключом, время существования этих маркеров можно настроить.
Совет
Дополнительные сведения о настройке времени существования токенов см. в следующем разделе:
Общедоступные и конфиденциальные клиентские приложения
Существуют различные проблемы безопасности между общедоступными и конфиденциальными клиентскими приложениями. Дополнительные сведения о том, что считается общедоступным и конфиденциальным клиентским приложением, см. в документации по платформа удостоверений Майкрософт общедоступному клиенту и конфиденциальным клиентским приложениям.
Общедоступные клиентские приложения
Для приложений, работающих на устройствах или настольных компьютерах или в веб-браузере, следует определить, какие домены имеют доступ к учетной записи Azure Map с помощью общего доступа к ресурсам независимо от источника (CORS). CORS инструктирует браузер клиентов, в котором источники, такие как https://microsoft.com" разрешено запрашивать ресурсы для учетной записи Azure Map.
Примечание.
Если вы разрабатываете веб-сервер или службу, учетную запись Azure Maps не нужно настраивать с помощью CORS. Если в клиентском веб-приложении есть код JavaScript, применяется CORS.
Конфиденциальные клиентские приложения:
Для приложений, работающих на серверах (таких как веб-службы и приложения-службы/управляющие программы), если вы предпочитаете избежать накладных расходов и сложностей управления учетными цифровыми идентификационными данными, рассмотрите возможность управляемых удостоверений. Управляемые удостоверения могут предоставить удостоверение для веб-службы, используемое при подключении к Azure Карты с помощью проверки подлинности Microsoft Entra. В этом случае веб-служба использует это удостоверение для получения необходимых маркеров Microsoft Entra. Чтобы настроить доступ к веб-службе, используйте Azure RBAC, применяя наименьшее количество привилегированных ролей .