Metodtips för autentisering
Den enskilt viktigaste delen av ditt program är dess säkerhet. Oavsett hur bra användarupplevelsen kan vara kan det förstöras om ditt program inte är säkert.
Följande är några tips för att skydda ditt Azure Kartor-program. När du använder Azure bör du bekanta dig med de säkerhetsverktyg som är tillgängliga för dig. Mer information finns i introduktionen till Azure-säkerhet.
Förstå säkerhetshot
Hackare som får åtkomst till ditt konto kan potentiellt göra obegränsade fakturerbara transaktioner, vilket resulterar i oväntade kostnader och minskad prestanda på grund av QPS-gränser.
När du överväger metodtips för att skydda dina Azure Kartor-program måste du förstå de olika tillgängliga autentiseringsalternativen.
Metodtips för autentisering i Azure Kartor
När du skapar offentligt riktade klientprogram med Azure Kartor måste du se till att dina autentiseringshemligheter inte är offentligt tillgängliga.
Prenumerationsnyckelbaserad autentisering (delad nyckel) kan användas i program på klientsidan eller i webbtjänster, men det är den minst säkra metoden för att skydda ditt program eller din webbtjänst. Orsaken är att nyckeln enkelt hämtas från en HTTP-begäran och ger åtkomst till alla Azure Kartor REST API som är tillgängliga i SKU :n (prisnivå). Om du använder prenumerationsnycklar måste du rotera dem regelbundet och komma ihåg att delad nyckel inte tillåter konfigurerbar livslängd, det måste göras manuellt. Du bör också överväga att använda autentisering med delad nyckel med Azure Key Vault, vilket gör att du på ett säkert sätt kan lagra din hemlighet i Azure.
Om du använder Microsoft Entra-autentisering eller SAS-tokenautentisering (Signatur för delad åtkomst) auktoriseras åtkomst till Azure Kartor REST API:er med rollbaserad åtkomstkontroll (RBAC). Med RBAC kan du styra vilken åtkomst som ges till de utfärdade token. Du bör överväga hur länge åtkomsten ska beviljas för token. Till skillnad från autentisering med delad nyckel kan dessa tokens livslängd konfigureras.
Dricks
Mer information om hur du konfigurerar tokenlivslängder finns i:
Offentliga klientprogram och konfidentiella klientprogram
Det finns olika säkerhetsproblem mellan offentliga och konfidentiella klientprogram. Mer information om vad som anses vara ett offentligt kontra konfidentiellt klientprogram finns i Offentliga klientprogram och konfidentiella klientprogram i dokumentationen om Microsofts identitetsplattform.
Offentliga klientprogram
För appar som körs på enheter eller stationära datorer eller i en webbläsare bör du överväga att definiera vilka domäner som har åtkomst till ditt Azure Map-konto med resursdelning mellan ursprung (CORS). CORS instruerar klienternas webbläsare om vilka ursprung som "https://microsoft.com" kan begära resurser för Azure Map-kontot.
Kommentar
Om du utvecklar en webbserver eller tjänst behöver ditt Azure Kartor-konto inte konfigureras med CORS. Om du har JavaScript-kod i webbprogrammet på klientsidan gäller CORS.
Konfidentiella klientprogram
För appar som körs på servrar (till exempel webbtjänster och tjänst-/daemon-appar) bör du överväga hanterade identiteter om du föredrar att undvika kostnader och komplexiteten med att hantera hemligheter. Hanterade identiteter kan tillhandahålla en identitet som webbtjänsten kan använda när du ansluter till Azure Kartor med Microsoft Entra-autentisering. I så fall använder webbtjänsten den identiteten för att hämta nödvändiga Microsoft Entra-token. Du bör använda Azure RBAC för att konfigurera vilken åtkomst webbtjänsten ges med hjälp av de minsta möjliga privilegierade rollerna .