Megosztás a következőn keresztül:


Démonalkalmazás biztonságossá tétele

Ez a cikk azt ismerteti, hogyan üzemeltethet démonalkalmazásokat megbízható és biztonságos környezetben a Microsoft Azure Mapsben.

Az alábbi példák démonalkalmazásokra mutatnak be példákat:

  • Azure Web Job
  • Azure-függvényalkalmazás
  • Windows-szolgáltatás
  • Futó és megbízható háttérszolgáltatás

Az Azure Maps hitelesítési adatainak megtekintése

Az Azure Maps-fiók hitelesítési adatainak megtekintése az Azure Portalon:

  1. Jelentkezzen be az Azure Portalra.

  2. Lépjen az Azure Portal menüjére. Válassza az Összes erőforrás lehetőséget, majd válassza ki az Azure Maps-fiókját.

  3. A bal oldali panel Beállítások csoportjában válassza a Hitelesítés lehetőséget.

    Képernyőkép az Azure Maps hitelesítési lehetőségeiről az Azure Portalon.

Az Azure Maps-fiók létrehozásakor három érték jön létre. Két típusú hitelesítést támogatnak az Azure Mapsben:

  • Microsoft Entra-hitelesítés: A Client ID REST API-kérésekhez használandó fiókot jelöli. Az Client ID értéket az alkalmazáskonfigurációban kell tárolni, majd le kell kérni, mielőtt Microsoft Entra-hitelesítést használó Azure Maps HTTP-kéréseket hajtanak létre.
  • Megosztott kulcs hitelesítése: A Secondary Key Primary Key megosztott kulcsos hitelesítéshez használt előfizetési kulcs. A megosztott kulcsos hitelesítés az Azure Maps-fiók által létrehozott kulcs átadásán alapul, minden kéréssel együtt az Azure Mapsnek. Javasoljuk, hogy rendszeresen hozza létre újra a kulcsokat. A regeneráció során az aktuális kapcsolatok fenntartásához két kulcs van megadva. Az egyik kulcs használható, miközben újragenerálja a másikat. A kulcsok újragenerálása után az új kulcsok használatához frissítenie kell minden olyan alkalmazást, amely hozzáfér ehhez a fiókhoz. További információ: Hitelesítés az Azure Maps használatával

Fontos

Éles alkalmazások esetében javasoljuk a Microsoft Entra ID és az Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC) implementálását. A Microsoft Entra fogalmainak áttekintéséért lásd : Hitelesítés az Azure Maps használatával.

Forgatókönyv: Megosztott kulcsos hitelesítés az Azure Key Vaulttal

A megosztott kulcsú hitelesítést használó alkalmazásoknak biztonságos tárolóban kell tárolniuk a kulcsokat. Ez a forgatókönyv azt ismerteti, hogyan tárolhatja biztonságosan az alkalmazáskulcsot titkos kódként az Azure Key Vaultban. A megosztott kulcs alkalmazáskonfigurációban való tárolása helyett az alkalmazás lekérheti a megosztott kulcsot Azure Key Vault-titkos kulcsként. A kulcsregeneráció egyszerűsítése érdekében azt javasoljuk, hogy az alkalmazások egyszerre egy kulcsot használjanak. Az alkalmazások ezután újragenerálhatják a nem használt kulcsot, és üzembe helyezhetik a regenerált kulcsot az Azure Key Vaultban, miközben továbbra is fenntartják az aktuális kapcsolatokat egy kulccsal. Az Azure Key Vault konfigurálásáról az Azure Key Vault fejlesztői útmutatójában olvashat.

Fontos

Ez a forgatókönyv közvetetten hozzáfér a Microsoft Entra-azonosítóhoz az Azure Key Vaulton keresztül. Javasoljuk azonban, hogy közvetlenül használja a Microsoft Entra-hitelesítést. A Microsoft Entra ID közvetlen használata elkerüli a megosztott kulcsú hitelesítés és a Key Vault beállításának további összetettségét és működési követelményeit.

A következő lépések ismertetik ezt a folyamatot:

  1. Hozzon létre egy Azure Key Vaultot.
  2. Hozzon létre egy Microsoft Entra-szolgáltatásnevet egy alkalmazásregisztráció vagy felügyelt identitás létrehozásával. A létrehozott rendszernév felelős az Azure Key Vault eléréséhez.
  3. Rendelje hozzá a szolgáltatásnév-hozzáférést az Azure Key titkos kulcsok get engedélyéhez. Az engedélyek beállításáról további információt a Key Vault hozzáférési szabályzatának hozzárendelése az Azure Portalon című témakörben talál.
  4. Ideiglenesen rendeljen hozzá hozzáférést a titkos kódokhoz set a fejlesztőként.
  5. Állítsa be a megosztott kulcsot a Key Vault titkos kulcsaiban, és hivatkozzon a titkos azonosítóra a démonalkalmazás konfigurációjaként.
  6. Távolítsa el a titkos kulcsok set engedélyét.
  7. A megosztott kulcs titkos kulcsának az Azure Key Vaultból való lekéréséhez implementálja a Microsoft Entra-hitelesítést a démonalkalmazásban.
  8. Hozzon létre egy Azure Maps REST API-kérést a megosztott kulccsal. A démonalkalmazás most lekérheti a megosztott kulcsot a Key Vaultból.

Tipp.

Ha az alkalmazást az Azure-környezetben üzemeltetik, javasoljuk, hogy felügyelt identitással csökkentse a titkos kódok hitelesítéshez való kezelésének költségeit és összetettségét. A felügyelt identitások beállításáról a következő oktatóanyagban olvashat : A Key Vault és egy Azure-webalkalmazás összekapcsolása felügyelt identitással a .NET-ben.

Forgatókönyv: Microsoft Entra szerepköralapú hozzáférés-vezérlés

Az Azure Maps-fiók létrehozása után az Azure Maps-érték Client ID megjelenik az Azure Portal hitelesítési részleteinek oldalán. Ez az érték a REST API-kérésekhez használandó fiókot jelöli. Ezt az értéket az alkalmazáskonfigurációban kell tárolni, és le kell kérni a HTTP-kérések végrehajtása előtt. A forgatókönyv célja, hogy a démonalkalmazás hitelesítse magát a Microsoft Entra-azonosítón, és meghívja az Azure Maps REST API-kat.

Tipp.

A felügyelt identitás összetevőinek előnyeinek engedélyezéséhez javasoljuk, hogy azure-beli virtuális gépeken, virtuálisgép-méretezési csoportokon vagy App Servicesen üzemeljen.

Démont üzemeltet az Azure-erőforrásokon

Azure-erőforrásokon való futtatáskor az Azure által felügyelt identitásokat úgy konfigurálhatja, hogy alacsony költséggel és minimális hitelesítő adatok kezelésével járjon.

A felügyelt identitásokhoz való alkalmazáshozzáférés engedélyezéséhez tekintse meg a felügyelt identitások áttekintését.

A felügyelt identitás egyes előnyei a következők:

  • Az Azure rendszer által felügyelt X509-tanúsítvány nyilvános kulcsú titkosítási hitelesítése.
  • A Microsoft Entra biztonsága X509-tanúsítványokkal az ügyfél titkos kulcsai helyett.
  • Az Azure kezeli és megújítja a felügyelt identitás erőforráshoz társított összes tanúsítványt.
  • A hitelesítő adatok működési kezelése egyszerűbb, mert a felügyelt identitás nem igényel biztonságos titkos társzolgáltatást, például az Azure Key Vaultot.

Démon kezelése nem Azure-erőforrásokon

A felügyelt identitások csak Azure-környezetben való futtatáskor érhetők el. Ezért konfigurálnia kell egy szolgáltatásnevet a démonalkalmazásHoz tartozó Microsoft Entra-alkalmazásregisztráción keresztül.

Új alkalmazásregisztráció létrehozása

Ha már létrehozta az alkalmazásregisztrációt, lépjen a Delegált API-engedélyek hozzárendelése elemre.

Új alkalmazásregisztráció létrehozása:

  1. Jelentkezzen be az Azure Portalra.

  2. Válassza ki a Microsoft Entra ID.

  3. A bal oldali panel Kezelés csoportjában válassza a Alkalmazásregisztrációk.

  4. Válassza az + Új regisztráció lapot.

    Képernyőkép az alkalmazásregisztrációról a Microsoft Entra-azonosítóban.

  5. Adjon meg egy nevet, majd válasszon egy támogatási fióktípust.

    Alkalmazásregisztráció létrehozása.

  6. Válassza ki a pénztárgépet.

Delegált API-engedélyek hozzárendelése

Delegált API-engedélyek hozzárendelése az Azure Mapshez:

  1. Ha még nem tette meg, jelentkezzen be az Azure Portalra.

  2. Válassza ki a Microsoft Entra ID.

  3. A bal oldali panel Kezelés csoportjában válassza a Alkalmazásregisztrációk.

  4. Válassza ki az alkalmazást.

    Válassza ki az alkalmazásregisztrációkat.

  5. A bal oldali panel Kezelés területén válassza az API-engedélyeket.

  6. Válassza az Engedély hozzáadása lehetőséget.

    Alkalmazásengedély hozzáadása.

  7. Válassza ki a szervezet által használt API-kat.

  8. A keresőmezőbe írja be az Azure Mapst.

  9. Válassza az Azure Maps lehetőséget.

    Alkalmazásengedély kérése.

  10. Jelölje be az Access Azure Maps jelölőnégyzetet.

  11. Jelölje be az Engedélyek hozzáadása lehetőséget.

    Válassza ki az alkalmazás API-engedélyeit.

Titkos ügyfélkód létrehozása vagy tanúsítvány konfigurálása

Ha kiszolgáló- vagy alkalmazásalapú hitelesítést szeretne implementálni az alkalmazásba, két lehetőség közül választhat:

  • Nyilvános kulcsú tanúsítvány feltöltése.
  • Titkos ügyfélkódok létrehozása.
Nyilvános kulcsú tanúsítvány feltöltése

Nyilvános kulcsú tanúsítvány feltöltése:

  1. A bal oldali panel Kezelés területén válassza a Tanúsítványok > titkos kulcsok lehetőséget.

  2. Válassza a Tanúsítvány feltöltése lehetőséget. Tanúsítvány feltöltése.

  3. A szövegmező jobb oldalán válassza a fájlikont.

  4. Jelöljön ki egy .crt, .cer vagy .pem fájlt, majd válassza a Hozzáadás lehetőséget.

    Tanúsítványfájl feltöltése.

Titkos ügyfélkód létrehozása

Ügyfélkód létrehozása:

  1. A bal oldali panel Kezelés területén válassza a Tanúsítványok > titkos kulcsok lehetőséget.

  2. Válassza az + Új ügyfélkód lehetőséget.

    Új titkos ügyfélkód.

  3. Adja meg a titkos ügyfélkód leírását.

  4. Válassza a Hozzáadás lehetőséget.

    Új ügyfélkód hozzáadása.

  5. Másolja ki a titkos kódot, és tárolja biztonságosan egy olyan szolgáltatásban, mint az Azure Key Vault. Emellett használja a jelen cikk Felügyelt identitással foglalkozó szakaszának Kérés jogkivonatában található titkos kulcsot is.

    Titkos ügyfélkód másolása.

    Fontos

    A tanúsítvány vagy titkos kód biztonságos tárolásához tekintse meg az Azure Key Vault fejlesztői útmutatót. Ezzel a titkos kóddal jogkivonatokat szerezhet be a Microsoft Entra-azonosítóból.

Szerepköralapú hozzáférés biztosítása a felhasználók számára az Azure Mapshez

Az Azure szerepköralapú hozzáférés-vezérlést (Azure RBAC) úgy adhat meg, ha egy Microsoft Entra-csoportot vagy biztonsági tagot rendel egy vagy több Azure Maps-szerepkördefinícióhoz.

Az Azure Mapshez elérhető Azure-szerepkördefiníciók megtekintéséhez tekintse meg a beépített Azure Maps-szerepkördefiníciókat.

Az elérhető Azure Maps-szerepkörök a létrehozott felügyelt identitáshoz vagy szolgáltatásnévhez való hozzárendelésének részletes lépéseit az Azure-szerepkörök hozzárendelése az Azure Portal használatával című témakörben találja .

Az Azure Maps-alkalmazás és a nagy mennyiségű felhasználó erőforrás-hozzáférésének hatékony kezeléséhez tekintse meg a Microsoft Entra-csoportokat.

Fontos

Ahhoz, hogy a felhasználók hitelesíthessenek egy alkalmazást, először létre kell hozniuk a felhasználókat a Microsoft Entra-azonosítóban. További információ: Felhasználók hozzáadása vagy törlése a Microsoft Entra-azonosítóval.

A nagy címtárak felhasználók számára történő hatékony kezeléséről a Microsoft Entra ID című témakörben olvashat.

Figyelmeztetés

Az Azure Maps beépített szerepkördefiníciói nagyon nagy engedélyezési hozzáférést biztosítanak számos Azure Maps REST API-hoz. Az API-k minimális hozzáférésének korlátozásához lásd : egyéni szerepkördefiníció létrehozása és a rendszer által hozzárendelt identitás hozzárendelése az egyéni szerepkör-definícióhoz. Ez lehetővé teszi az alkalmazás számára az Azure Maps eléréséhez szükséges legkisebb jogosultságot.

Jogkivonat kérése felügyelt identitással

Miután konfigurálta a felügyelt identitást az üzemeltetési erőforráshoz, az Azure SDK vagy a REST API használatával jogkivonatot szerezhet be az Azure Mapshez. A hozzáférési jogkivonat beszerzéséről további információt a hozzáférési jogkivonat beszerzése című témakörben talál.

Jogkivonat kérése alkalmazásregisztrációval

Az alkalmazás regisztrálása és az Azure Mapshez való társítása után hozzáférési jogkivonatot kell kérnie.

A hozzáférési jogkivonat beszerzése:

  1. Ha még nem tette meg, jelentkezzen be az Azure Portalra.

  2. Válassza ki a Microsoft Entra ID.

  3. A bal oldali panel Kezelés csoportjában válassza a Alkalmazásregisztrációk.

  4. Válassza ki az alkalmazást.

  5. Ekkor megjelenik az Áttekintés lap. Másolja ki az alkalmazás (ügyfél) azonosítóját és a címtár (bérlő) azonosítóját.

    Tokenparaméterek másolása.

Ez a cikk a bruno alkalmazással hozza létre a jogkivonat-kérést, de használhat egy másik API-fejlesztési környezetet.

  1. Nyissa meg a bruno alkalmazást, és válassza az ÚJ KÉRÉS lehetőséget a kérés létrehozásához.

  2. Az ÚJ KÉRELEM ablakban állítsa a Típust HTTP-nek. Adjon meg egy nevet a kérésnek, például POST jogkivonat-kérést.

  3. Válassza ki a GET HTTP metódust az URL-legördülő listában, majd adja meg a következő URL-címet:

    https://login.microsoftonline.com/{Tenant-ID}/oauth2/v2.0/token?response_type=token&grant_type=client_credentials&client_id={Client-ID}&client_secret={Client-Secret}&scope=https://atlas.microsoft.com/.default
    

    Feljegyzés

    Csere:

    • {Tenant-ID} a címtár (bérlő) azonosítójával
    • {Client-ID} az alkalmazás (ügyfél) azonosítójával
    • {Client-Secret} titkos ügyfélkóddal.
  4. A futtatás gomb kiválasztása

A következő JSON-választ kell látnia:

{
"token_type": "Bearer",
"expires_in": 86399,
"ext_expires_in": 86399,
"access_token": "eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsIng1dCI6Im5PbzNaRHJPRFhFSzFq..."
}

A hitelesítési folyamatról további információt az OAuth 2.0 ügyfél hitelesítő adatainak Microsoft Identitásplatform

Következő lépések

Részletesebb példákért:

Az Azure Maps-fiók API-használati metrikáinak megkeresése:

Ismerje meg a Microsoft Entra ID és az Azure Maps integrálását bemutató példákat: