Udostępnij za pośrednictwem


Zarządzanie uwierzytelnianiem w usłudze Azure Mapy

Podczas tworzenia konta usługi Azure Mapy identyfikator klienta i klucze udostępnione są tworzone automatycznie. Te wartości są wymagane do uwierzytelniania w przypadku używania identyfikatora Entra firmy Microsoft lub uwierzytelniania klucza współdzielonego.

Wymagania wstępne

Zaloguj się w witrynie Azure Portal. Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.

Wyświetlanie szczegółów uwierzytelniania

Ważne

Zalecamy użycie klucza podstawowego jako klucza subskrypcji podczas używania uwierzytelniania klucza współdzielonego do wywołania usługi Azure Mapy. Najlepiej używać klucza pomocniczego w scenariuszach, takich jak wprowadzanie zmian klucza.

Aby wyświetlić szczegóły uwierzytelniania usługi Azure Mapy:

  1. Zaloguj się w witrynie Azure Portal.

  2. Wybierz pozycję Wszystkie zasoby w sekcji Usługi platformy Azure, a następnie wybierz konto usługi Azure Mapy.

    Select Azure Maps account.

  3. Wybierz pozycję Uwierzytelnianie w sekcji ustawień okienka po lewej stronie.

    Screenshot showing your Azure Maps subscription key in the Azure portal.

Wybierz kategorię uwierzytelniania

W zależności od potrzeb aplikacji istnieją konkretne ścieżki do zabezpieczeń aplikacji. Identyfikator entra firmy Microsoft definiuje określone kategorie uwierzytelniania, aby obsługiwać szeroką gamę przepływów uwierzytelniania. Aby wybrać najlepszą kategorię dla aplikacji, zobacz Kategorie aplikacji.

Uwaga

Zrozumienie kategorii i scenariuszy pomoże Ci zabezpieczyć aplikację usługi Azure Mapy niezależnie od tego, czy używasz identyfikatora Entra firmy Microsoft, czy uwierzytelniania za pomocą klucza współużytkowanego.

Jak dodawać i usuwać tożsamości zarządzane

Aby włączyć uwierzytelnianie tokenu sygnatury dostępu współdzielonego (SAS) przy użyciu interfejsu API REST usługi Azure Mapy, musisz dodać tożsamość zarządzaną przypisaną przez użytkownika do konta usługi Azure Mapy.

Tworzenie tożsamości zarządzanej

Tożsamość zarządzaną przypisaną przez użytkownika można utworzyć przed utworzeniem lub po utworzeniu konta mapy. Tożsamość zarządzaną można dodać za pomocą portalu, zestawów SDK zarządzania platformy Azure lub szablonu usługi Azure Resource Manager (ARM). Aby dodać tożsamość zarządzaną przypisaną przez użytkownika za pomocą szablonu usługi ARM, określ identyfikator zasobu tożsamości zarządzanej przypisanej przez użytkownika.

"identity": {
    "type": "UserAssigned",
    "userAssignedIdentities": {
        "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/example/providers/Microsoft.ManagedIdentity/userAssignedIdentities/exampleidentity": {}
    }
}

Usuwanie tożsamości zarządzanej

Tożsamość przypisaną przez system można usunąć, wyłączając tę funkcję za pośrednictwem portalu lub szablonu usługi Azure Resource Manager w taki sam sposób, w jaki została utworzona. Tożsamości przypisane przez użytkownika można usunąć indywidualnie. Aby usunąć wszystkie tożsamości, ustaw typ tożsamości na "None".

Usunięcie tożsamości przypisanej przez system w ten sposób powoduje również usunięcie jej z identyfikatora Entra firmy Microsoft. Tożsamości przypisane przez system są również automatycznie usuwane z identyfikatora Entra firmy Microsoft po usunięciu konta usługi Azure Mapy.

Aby usunąć wszystkie tożsamości przy użyciu szablonu usługi Azure Resource Manager, zaktualizuj tę sekcję:

"identity": {
    "type": "None"
}

Wybieranie scenariusza uwierzytelniania i autoryzacji

W tej tabeli opisano typowe scenariusze uwierzytelniania i autoryzacji w usłudze Azure Mapy. W każdym scenariuszu opisano typ aplikacji, która może służyć do uzyskiwania dostępu do interfejsu API REST usługi Azure Mapy. Skorzystaj z linków, aby poznać szczegółowe informacje o konfiguracji dla każdego scenariusza.

Ważne

W przypadku aplikacji produkcyjnych zalecamy zaimplementowanie identyfikatora Entra firmy Microsoft z kontrolą dostępu opartą na rolach platformy Azure (Azure RBAC).

Scenariusz Authentication Autoryzacja Nakład pracy programistycznej Nakład pracy operacyjnej
Zaufana aplikacja demona lub nieinterakcyjnya aplikacja kliencka Klucz wspólny Nie dotyczy Średnia Maksimum
Zaufany demon lub nieinterakcyjny aplikacja kliencka Tożsamość Microsoft Entra Maksimum Minimum Średnia
Aplikacja jednostronicowa internetowa z interaktywnym logowaniem jednokrotnym Tożsamość Microsoft Entra Maksimum Średnia Średnia
Aplikacja jednostronicowa sieci Web z logowaniem nieinterakcyjnym Tożsamość Microsoft Entra Maksimum Średnia Średnia
Aplikacja internetowa, aplikacja demona lub aplikacja do logowania nieinterakcyjnego Token sygnatury dostępu współdzielonego Maksimum Średnia Minimum
Aplikacja internetowa z interaktywnym logowaniem jednokrotnym Tożsamość Microsoft Entra Maksimum Maksimum Średnia
Urządzenie IoT lub aplikacja z ograniczonymi danymi wejściowymi Tożsamość Microsoft Entra Maksimum Średnia Średnia

Wyświetlanie wbudowanych definicji ról usługi Azure Mapy

Aby wyświetlić wbudowaną definicję roli usługi Azure Mapy:

  1. W okienku po lewej stronie wybierz pozycję Kontrola dostępu (Zarządzanie dostępem i tożsamościami).

  2. Wybierz kartę Role .

  3. W polu wyszukiwania wprowadź azure Mapy.

W wynikach są wyświetlane dostępne wbudowane definicje ról dla usługi Azure Mapy.

View built-in Azure Maps role definitions.

Wyświetlanie przypisań ról

Aby wyświetlić użytkowników i aplikacje, którym udzielono dostępu do usługi Azure Mapy, przejdź do obszaru Kontrola dostępu (Zarządzanie dostępem i tożsamościami). W tym miejscu wybierz pozycję Przypisania ról, a następnie przefiltruj według Mapy platformy Azure.

  1. W okienku po lewej stronie wybierz pozycję Kontrola dostępu (Zarządzanie dostępem i tożsamościami).

  2. Wybierz kartę Przypisania roli.

  3. W polu wyszukiwania wprowadź azure Mapy.

W wynikach są wyświetlane bieżące przypisania ról usługi Azure Mapy.

View built-in View users and apps that have been granted access.

Żądanie tokenów dla usługi Azure Mapy

Zażądaj tokenu z punktu końcowego tokenu entra firmy Microsoft. W żądaniu identyfikatora entra firmy Microsoft użyj następujących szczegółów:

Środowisko platformy Azure Punkt końcowy tokenu entra firmy Microsoft Identyfikator zasobu platformy Azure
Chmura publiczna platformy Azure https://login.microsoftonline.com https://atlas.microsoft.com/
Chmura platformy Azure Dla instytucji rządowych https://login.microsoftonline.us https://atlas.microsoft.com/

Aby uzyskać więcej informacji na temat żądania tokenów dostępu z identyfikatora Entra firmy Microsoft dla użytkowników i jednostek usługi, zobacz Scenariusze uwierzytelniania dla identyfikatora Entra firmy Microsoft. Aby wyświetlić konkretne scenariusze, zobacz tabelę scenariuszy.

Zarządzanie kluczami udostępnionymi i obracanie ich

Klucze subskrypcji usługi Azure Mapy są podobne do hasła głównego dla konta usługi Azure Mapy. Zawsze należy zachować ostrożność, aby chronić klucze subskrypcji. Usługa Azure Key Vault umożliwia bezpieczne zarządzanie kluczami i obracanie ich. Unikaj dystrybuowania kluczy dostępu do innych użytkowników, kodowania ich lub zapisywania ich w dowolnym miejscu w postaci zwykłego tekstu, który jest dostępny dla innych użytkowników. Jeśli uważasz, że twoje klucze mogły zostać naruszone, należy je obrócić.

Uwaga

Jeśli to możliwe, zalecamy użycie identyfikatora Entra firmy Microsoft zamiast klucza wspólnego do autoryzowania żądań. Identyfikator Entra firmy Microsoft ma lepsze zabezpieczenia niż klucz współużytkowany i jest łatwiejszy w użyciu.

Ręczne obracanie kluczy subskrypcji

Aby zapewnić bezpieczeństwo konta usługi Azure Mapy, zalecamy okresowe obracanie kluczy subskrypcji. Jeśli to możliwe, użyj usługi Azure Key Vault do zarządzania kluczami dostępu. Jeśli nie używasz usługi Key Vault, musisz ręcznie obrócić klucze.

Przypisywane są dwa klucze subskrypcji, dzięki czemu można obracać klucze. Posiadanie dwóch kluczy gwarantuje, że aplikacja zachowuje dostęp do usługi Azure Mapy w całym procesie.

Aby obrócić klucze subskrypcji usługi Azure Mapy w witrynie Azure Portal:

  1. Zaktualizuj kod aplikacji, aby odwołać się do klucza pomocniczego dla konta usługi Azure Mapy i wdrożyć.
  2. W witrynie Azure Portal przejdź do swojego konta usługi Azure Mapy.
  3. W obszarze Ustawienia wybierz pozycję Uwierzytelnianie.
  4. Aby ponownie wygenerować klucz podstawowy dla konta usługi Azure Mapy, wybierz przycisk Regeneruj ponownie obok klucza podstawowego.
  5. Zaktualizuj kod aplikacji, aby odwoływać się do nowego klucza podstawowego i wdrożyć.
  6. W ten sam sposób wygeneruj ponownie klucz pomocniczy.

Ostrzeżenie

Zalecamy używanie tego samego klucza we wszystkich aplikacjach. Jeśli używasz klucza podstawowego w niektórych miejscach i klucza pomocniczego w innych, nie będzie można obracać kluczy bez utraty dostępu przez niektóre aplikacje.

Następne kroki

Znajdź metryki użycia interfejsu API dla konta usługi Azure Mapy:

Zapoznaj się z przykładami, które pokazują, jak zintegrować identyfikator Entra firmy Microsoft z usługą Azure Mapy: