Azure Haritalar ile kimlik doğrulaması
Azure Haritalar isteklerin kimliğini doğrulamak için iki yolu destekler: paylaşılan anahtar kimlik doğrulaması ve Azure Active Directory (Azure AD) kimlik doğrulaması. bu makalede, Azure Haritalar hizmetleri uygulamanıza kılavuzluk eden kimlik doğrulama yöntemlerinin her ikisi de açıklanmaktadır.
Not
Azure Haritalar ile güvenli iletişimi geliştirmek için artık aktarım katmanı güvenliği (TLS) 1,2 ' i destekliyoruz ve TLS 1,0 ve 1,1 desteğini devre dışı sunuyoruz. Şu anda TLS 1. x kullanıyorsanız, TLS 1,2 hazırlığınızı değerlendirin ve tls 1,0 sorununun çözümündeaçıklanan sınamayla bir geçiş planı geliştirin.
Paylaşılan anahtar kimlik doğrulaması
birincil ve ikincil anahtarlar, Azure Haritalar hesabı oluşturulduktan sonra oluşturulur. paylaşılan anahtar kimlik doğrulamasıyla Azure Haritalar çağırırken, birincil anahtarı abonelik anahtarı olarak kullanmanız önerilir. paylaşılan anahtar kimlik doğrulaması bir azure Haritalar hesabı tarafından oluşturulan bir anahtarı azure Haritalar hizmetine geçirir. Azure Haritalar hizmetlerine yönelik her istek için, URL 'ye bir parametre olarak abonelik anahtarını ekleyin. İkincil anahtar, kayan anahtar değişiklikleri gibi senaryolarda kullanılabilir.
URL 'niz bir parametre olarak abonelik anahtarını kullanan örnek:
https://atlas.microsoft.com/mapData/upload?api-version=1.0&dataFormat=zip&subscription-key={Azure-Maps-Primary-Subscription-key}
Azure portal anahtarlarınızı görüntüleme hakkında daha fazla bilgi için bkz. kimlik doğrulamasını yönetme.
Not
Birincil ve Ikincil anahtarlar hassas veriler olarak değerlendirilmelidir. paylaşılan anahtar, tüm Azure Haritalar REST apı 'lerinin kimliğini doğrulamak için kullanılır. Paylaşılan anahtar kullanan kullanıcıların, merkezi olarak yönetilebileceği ortam değişkenleri veya güvenli gizlilik depolaması aracılığıyla API anahtarını bir yere soyut olması gerekir.
Azure AD kimlik doğrulaması
Ayrıntılı erişim denetimi sağlamak için Azure abonelikleri bir Azure AD kiracısı ile sağlanır. azure Haritalar, azure AD kullanarak azure Haritalar hizmetleri için kimlik doğrulaması sağlar. Azure AD, Azure AD kiracısında kayıtlı kullanıcılar ve uygulamalar için kimlik tabanlı kimlik doğrulaması sağlar.
azure Haritalar, azure Haritalar hesabı içeren bir azure aboneliğiyle ilişkili azure AD kiracıları için OAuth 2,0 erişim belirteçleri kabul eder. Azure Haritalar, için belirteçleri de kabul eder:
- Azure AD kullanıcıları
- Kullanıcılar tarafından yetkilendirilen izinleri kullanan iş ortağı uygulamaları
- Azure kaynakları için yönetilen kimlikler
azure Haritalar her bir Azure Haritalar hesabı için benzersiz bir tanımlayıcı (istemci kimliği) oluşturur. Bu istemci KIMLIĞINI ek parametrelerle birleştirdiğinizde Azure AD 'den belirteç isteğinde bulunabilir.
azure Haritalar için azure AD ve istek belirteçlerini yapılandırma hakkında daha fazla bilgi için bkz. azure Haritalar kimlik doğrulamasını yönetme.
Azure AD ile kimlik doğrulama hakkında genel bilgi için bkz. kimlik doğrulaması nedir?.
azure kaynakları ve azure Haritalar için yönetilen kimlikler
Azure kaynakları Için Yönetilen kimlikler , Azure AD 'de kimlik doğrulayabilecek otomatik olarak yönetilen uygulama tabanlı güvenlik sorumlusu ile Azure hizmetleri sağlar. azure rol tabanlı erişim denetimi (azure RBAC) sayesinde, yönetilen kimlik güvenlik sorumlusu azure Haritalar hizmetlerine erişme yetkisine sahip olabilir. Yönetilen kimliklerin bazı örnekleri şunlardır: Azure App Service, Azure Işlevleri ve Azure sanal makineleri. Yönetilen kimliklerin listesi için bkz. Azure kaynakları için Yönetilen kimlikler.
Uygulama Azure AD kimlik doğrulamasını yapılandırma
Uygulamalar, Azure AD tarafından desteklenen bir veya daha fazla senaryoyu kullanarak Azure AD kiracısıyla kimlik doğrulaması yapacak. Her Azure AD uygulama senaryosu, iş gereksinimlerine göre farklı gereksinimleri temsil eder. Bazı uygulamalar, Kullanıcı oturum açma deneyimleri gerektirebilir ve diğer uygulamalar da bir uygulama oturum açma deneyimi gerektirebilir. Daha fazla bilgi için bkz. kimlik doğrulama akışları ve uygulama senaryoları.
Uygulama bir erişim belirteci aldıktan sonra, SDK ve/veya uygulama diğer REST API HTTP üst bilgilerine ek olarak aşağıdaki gerekli HTTP üstbilgileri kümesiyle bir HTTPS isteği gönderir:
| Üst bilgi adı | Değer |
|---|---|
| x-MS-istemci kimliği | 30d7cc.... 9F55 |
| Yetkilendirme | Taşıyıcı eyJ0e.... HNIVN |
Not
x-ms-client-idazure Haritalar, azure Haritalar kimlik doğrulama sayfasında görüntülenen hesap tabanlı guıd 'dir.
azure AD OAuth taşıyıcı belirteci kullanan bir azure Haritalar route isteğine bir örnek aşağıda verilmiştir:
GET /route/directions/json?api-version=1.0&query=52.50931,13.42936:52.50274,13.43872
Host: atlas.microsoft.com
x-ms-client-id: 30d7cc….9f55
Authorization: Bearer eyJ0e….HNIVN
İstemci KIMLIĞINIZI görüntüleme hakkında daha fazla bilgi için bkz. kimlik doğrulama ayrıntılarını görüntüleme.
Rol tabanlı erişim denetimi ile yetkilendirme
azure Haritalar; azure AD kullanıcıları, grupları, uygulamaları, azure kaynakları ve azure tarafından yönetilen kimlikler dahil olmak üzere azure rol tabanlı erişim denetimi (azure RBAC) için tüm asıl türlere erişimi destekler. Asıl türlere, rol tanımı olarak da bilinen bir izin kümesi verilir. Rol tanımı REST API eylemlere izinler sağlar. bir veya daha fazla Azure Haritalar hesabına erişim uygulamak kapsam olarak bilinir. Bir sorumlusu, rol tanımını ve kapsamı uygularken bir rol ataması oluşturulur.
sonraki bölümlerde azure RBAC ile azure Haritalar tümleştirmesinin kavramları ve bileşenleri ele alınmaktadır. azure Haritalar hesabınızı ayarlama sürecinin bir parçası olarak azure AD dizini, azure Haritalar hesabının bulunduğu azure aboneliği ile ilişkilendirilir.
Azure RBAC 'yi yapılandırırken bir güvenlik sorumlusu seçer ve bir rol atamasına uygularsınız. Azure portal rol atamaları ekleme hakkında bilgi edinmek için bkz. Azure rolleri atama.
Rol tanımı seçme
Uygulama senaryolarını desteklemek için aşağıdaki rol tanımı türleri mevcuttur.
| Azure rol tanımı | Description |
|---|---|
| Azure Haritalar veri okuyucu | sabit Azure Haritalar REST apı 'lerine erişim sağlar. |
| Azure Haritalar veri katılımcısı | kesilebilir Azure Haritalar REST apı 'lerine erişim sağlar. Değiştirici, eylemler tarafından tanımlanır: yazma ve silme. |
| Özel rol tanımı | Azure Haritalar REST apı 'lerine esnek kısıtlı erişimi etkinleştirmek için hazırlanmış bir rol oluşturun. |
bazı azure Haritalar hizmetleri, azure Haritalar REST apı 'lerinde yazma veya silme eylemleri gerçekleştirmek için yükseltilmiş ayrıcalıklar gerektirebilir. Azure Haritalar veri katılımcısı rolü, yazma veya silme eylemleri sağlayan hizmetler için gereklidir. aşağıdaki tabloda, yazma veya silme eylemleri kullanılırken Azure Haritalar verilerinin katkıda bulunan hizmetlerinin hangi hizmetler için geçerli olduğu açıklanmaktadır. yalnızca okuma eylemleri gerektiğinde azure Haritalar veri okuyucu rolü azure Haritalar veri katılımcısı rolü yerine kullanılabilir.
| Azure Haritalar hizmeti | Azure Haritalar rol tanımı |
|---|---|
| Veriler | Azure Haritalar veri katılımcısı |
| Oluşturucu | Azure Haritalar veri katılımcısı |
| Uzamsal | Azure Haritalar veri katılımcısı |
azure rbac ayarlarınızı görüntüleme hakkında daha fazla bilgi için bkz. azure rbac 'yi azure Haritalar yapılandırma.
Özel rol tanımları
Uygulama güvenliğinin tek bir yönü, erişim haklarını yalnızca işi zamanında yapmak için gerekli olanlarla sınırlayan uygulama olan en az ayrıcalık prensibi ilkesidir. Bunu gerçekleştirmek için, erişim denetimine daha fazla ayrıntı düzeyi gerektiren kullanım örneklerini destekleyen özel rol tanımları oluşturun. Özel bir rol tanımı oluşturmak için, tanım için dahil edilecek veya hariç tutulacak belirli veri eylemlerini seçin.
Özel rol tanımı daha sonra herhangi bir güvenlik sorumlusu için rol atamasında kullanılabilir. Azure özel rol tanımları hakkında daha fazla bilgi için bkz. Azure özel rolleri.
Özel rollerin uygulama güvenliğini iyileştirebileceği bazı örnek senaryolar aşağıda verilmiştir.
| Senaryo | Özel rol verileri eylemleri |
|---|---|
| Temel harita kutucukları ve diğer REST API 'Leri içeren, herkese açık veya etkileşimli bir oturum açma Web sayfası. | Microsoft.Maps/accounts/services/render/read |
| Yalnızca ters coğrafi kodlama ve diğer REST API 'Leri gerektiren bir uygulama. | Microsoft.Maps/accounts/services/search/read |
| Azure Haritalar Creator tabanlı eşleme verilerini ve temel harita kutucuğu REST apı 'lerini okumayı isteyen güvenlik sorumlusu için bir rol. | Microsoft.Maps/accounts/services/data/read, Microsoft.Maps/accounts/services/render/read |
| Bir güvenlik sorumlusu için Oluşturucu tabanlı harita verilerini okumayı, yazmayı ve silmeyi gerektiren bir rol. Bu, bir harita veri Düzenleyicisi rolü olarak tanımlanabilir, ancak temel harita kutucukları gibi diğer REST API 'Lerine erişime izin vermez. | Microsoft.Maps/accounts/services/data/read, Microsoft.Maps/accounts/services/data/write, Microsoft.Maps/accounts/services/data/delete |
Kapsamı anlama
Rol ataması oluşturulurken Azure kaynak hiyerarşisi içinde tanımlanır. Hiyerarşinin en üstünde bir yönetim grubu, en düşük ise Azure Haritalar hesabı gibi bir Azure kaynağıdır. Bir kaynak grubuna rol ataması atamak, gruptaki birden çok Azure Haritalar hesabına veya kaynağa erişimi etkinleştirebilirsiniz.
İpucu
Microsoft'un genel önerisi azure Haritalar hesabı kapsamına erişim atamaktır çünkü aynı Azure aboneliğinde mevcut olan diğer Azure Haritalar hesaplarına istensiz erişimi önler.
Sonraki adımlar
Azure RBAC hakkında daha fazla bilgi edinmek için bkz.
Azure AD ve Azure Haritalar ile uygulamanın kimlik doğrulama hakkında daha fazla bilgi için bkz.
Azure AD ile Azure kimlik doğrulama Haritalar Harita Denetimi daha fazla bilgi edinmek için bkz.