Proteggere un'applicazione a pagina singola con l'accesso utente
La guida seguente riguarda un'applicazione ospitata in un server di contenuto o ha dipendenze minime del server Web. L'applicazione fornisce risorse protette protette solo agli utenti di Microsoft Entra. L'obiettivo dello scenario consiste nell'consentire all'applicazione Web di eseguire l'autenticazione a Microsoft Entra ID e chiamare Mappe di Azure API REST per conto dell'utente.
Per visualizzare i dettagli di autenticazione dell'account Mappe di Azure nel portale di Azure:
Accedi al portale di Azure.
Passare al menu portale di Azure. Selezionare Tutte le risorse e quindi selezionare l'account Mappe di Azure.
In Impostazioni nel riquadro sinistro selezionare Autenticazione.
Al momento della creazione dell'account Mappe di Azure vengono creati tre valori. Vengono usati per supportare due tipi di autenticazione in Mappe di Azure:
- Autenticazione di Microsoft Entra:
Client IDrappresenta l'account da usare per le richieste api REST. IlClient IDvalore deve essere archiviato nella configurazione dell'applicazione e quindi deve essere recuperato prima di effettuare richieste HTTP Mappe di Azure che usano l'autenticazione Microsoft Entra. - Autenticazione con chiave condivisa: e
Secondary KeyPrimary Keyvengono usati come chiave di sottoscrizione per l'autenticazione con chiave condivisa. L'autenticazione con chiave condivisa si basa sul passaggio della chiave generata dall'account Mappe di Azure con ogni richiesta di Mappe di Azure. È consigliabile rigenerare regolarmente le chiavi. Per mantenere le connessioni correnti durante la rigenerazione, vengono fornite due chiavi. Una chiave può essere in uso durante la rigenerazione dell'altra. Quando si rigenerano le chiavi è necessario aggiornare tutte le applicazioni che accedono a questo account per usare le nuove chiavi. Per altre informazioni, vedere Autenticazione con Mappe di Azure
Creare una registrazione dell'applicazione in Microsoft Entra ID
Creare l'applicazione Web in Microsoft Entra ID per consentire agli utenti di accedere. L'applicazione Web delega l'accesso utente alle API REST Mappe di Azure.
Nell'elenco dei servizi di Azure nella portale di Azure selezionare Microsoft Entra ID> Registrazioni app> Nuova registrazione.
Immettere un nome, scegliere un tipo di account di supporto, specificare un URI di reindirizzamento che rappresenta l'URL che Microsoft Entra ID rilascia il token ed è l'URL in cui è ospitato il controllo mappa. Per un esempio dettagliato, vedere Mappe di Azure esempi di MICROSOFT Entra ID. Selezionare quindi Register (Registra).
Per assegnare autorizzazioni API delegate a Mappe di Azure, passare all'applicazione. Quindi, in Registrazioni app selezionare Autorizzazioni>API Aggiungi un'autorizzazione. In API usate dall'organizzazione cercare e selezionare Mappe di Azure.
Selezionare la casella di controllo accanto a Access Mappe di Azure e quindi selezionare Aggiungi autorizzazioni.
Abilitare
oauth2AllowImplicitFlow. Per abilitarla, nella sezione Manifesto della registrazione dell'app impostare suoauth2AllowImplicitFlowtrue.Copiare l'ID app Microsoft Entra e l'ID tenant di Microsoft Entra dalla registrazione dell'app da usare in Web SDK. Aggiungere i dettagli di registrazione dell'app Microsoft Entra e dall'account
x-ms-client-iddi Mappe di Azure all'SDK Web.<link rel="stylesheet" href="https://atlas.microsoft.com/sdk/javascript/mapcontrol/3/atlas.min.css" type="text/css" /> <script src="https://atlas.microsoft.com/sdk/javascript/mapcontrol/3/atlas.min.js" /> <script> var map = new atlas.Map("map", { center: [-122.33, 47.64], zoom: 12, language: "en-US", authOptions: { authType: "aad", clientId: "<insert>", // azure map account client id aadAppId: "<insert>", // azure ad app registration id aadTenant: "<insert>", // azure ad tenant id aadInstance: "https://login.microsoftonline.com/" } }); </script>Configurare il controllo degli accessi in base al ruolo di Azure per utenti o gruppi. Vedere le sezioni seguenti per abilitare il controllo degli accessi in base al ruolo di Azure.
Concedere l'accesso in base al ruolo per gli utenti a Mappe di Azure
È possibile concedere il controllo degli accessi in base al ruolo di Azure assegnando un gruppo o un'entità di sicurezza di Microsoft Entra a una o più definizioni di ruolo Mappe di Azure.
Per visualizzare le definizioni dei ruoli di Azure disponibili per Mappe di Azure, vedere Visualizzare le definizioni di ruolo Mappe di Azure predefinite.
Per informazioni dettagliate su come assegnare un ruolo di Mappe di Azure disponibile all'identità gestita creata o all'entità servizio, vedere Assegnare ruoli di Azure usando il portale di Azure
Per gestire in modo efficiente l'app Mappe di Azure e l'accesso alle risorse di una grande quantità di utenti, vedere Gruppi di Microsoft Entra.
Importante
Affinché gli utenti possano eseguire l'autenticazione in un'applicazione, gli utenti devono prima essere creati in Microsoft Entra ID. Per altre informazioni, vedere Aggiungere o eliminare utenti usando Microsoft Entra ID.
Per informazioni su come gestire in modo efficace una directory di grandi dimensioni per gli utenti, vedere Microsoft Entra ID.
Avviso
Mappe di Azure definizioni di ruolo predefinite forniscono un accesso di autorizzazione molto elevato a molte API REST Mappe di Azure. Per limitare l'accesso minimo alle API, vedere Creare una definizione di ruolo personalizzata e assegnare l'identità assegnata dal sistema alla definizione del ruolo personalizzata. In questo modo, il privilegio minimo necessario per l'applicazione può accedere alle Mappe di Azure.
Passaggi successivi
Altre informazioni su uno scenario di applicazione a pagina singola:
Trovare le metriche di utilizzo dell'API per l'account Mappe di Azure:
Esplorare gli esempi che illustrano come integrare Microsoft Entra ID con Mappe di Azure: