Procedure consigliate per l'autenticazione

La sicurezza dell'applicazione è fondamentale. Indipendentemente dall'eccellente esperienza utente, un'applicazione non sicura può essere compromessa dagli hacker, compromettendone l'integrità e peggiorando la fiducia degli utenti.

Questo articolo contiene suggerimenti per garantire la sicurezza dell'applicazione Mappe di Azure. Quando si usa Azure, è importante acquisire familiarità con gli strumenti di sicurezza disponibili. Per altre informazioni, vedere Introduzione alla sicurezza di Azure nella documentazione sulla sicurezza di Azure.

Informazioni sulle minacce alla sicurezza

Se gli hacker ottengono l'accesso al tuo account, potrebbero potenzialmente eseguire transazioni fatturabili illimitate, causando costi imprevisti e prestazioni ridotte a causa dei limiti QPS.

Per implementare le procedure consigliate per proteggere le applicazioni di Mappe di Azure, è essenziale comprendere le varie opzioni di autenticazione disponibili.

Procedure consigliate per l'autenticazione in Mappe di Azure

Quando si sviluppano applicazioni client rivolte pubblicamente con Mappe di Azure, è fondamentale assicurarsi che i segreti di autenticazione rimangano privati e non siano accessibili pubblicamente.

L'autenticazione basata su chiave di sottoscrizione (chiave condivisa) può essere usata nelle applicazioni sul lato client o nei servizi Web, ma è il metodo meno sicuro per proteggere l'applicazione o il servizio Web. Ciò avviene perché la chiave può essere facilmente estratta da una richiesta HTTP, concedendole l'accesso a tutte le API REST di Mappe di Azure disponibili nello SKU (piano tariffario). Se si usano le chiavi di sottoscrizione, assicurarsi di ruotarle regolarmente e ricordare che la chiave condivisa non supporta durate configurabili, quindi la rotazione deve essere eseguita manualmente. Prendere in considerazione l'uso dell'autenticazione con chiave condivisa con Azure Key Vault per archiviare in modo sicuro il segreto in Azure.

Quando si usa l'autenticazione Microsoft Entra o l'autenticazione con token di firma di accesso condiviso (SAS), l'accesso alle API REST di Mappe di Azure è autorizzato tramite il controllo degli accessi in base al ruolo. Il controllo degli accessi in base al ruolo (RBAC) consente di specificare il livello di accesso concesso ai token generati. È importante considerare la durata per cui concedere l'accesso. A differenza dell'autenticazione con chiave condivisa, la durata di questi token è configurabile.

Applicazioni client pubbliche e riservate

Esistono diversi problemi di sicurezza tra le applicazioni client pubbliche e riservate. Per altre informazioni su ciò che viene considerato un pubblico rispetto all'applicazione client riservata, vedere il client pubblico e le applicazioni client riservate nella documentazione di Microsoft Identity Platform.

Applicazioni client pubbliche

Per le applicazioni in esecuzione su dispositivi, computer desktop o Web browser, è consigliabile definire quali domini possono accedere all'account mappe di Azure usando la condivisione di risorse tra le origini (CORS). CORS informa il browser del client su quali origini, come "https://microsoft.com", sono autorizzate a richiedere risorse per l'account di Azure Maps.

Applicazioni client riservate

Per le applicazioni basate su server, ad esempio servizi Web e app di servizio/daemon, è consigliabile usare identità gestite per evitare la complessità della gestione dei segreti. Le identità gestite possono fornire un'identità al servizio Web per connettersi al servizio di mappe di Azure usando l'autenticazione Microsoft Entra. Il servizio Web può quindi usare questa identità per ottenere i token Microsoft Entra necessari. È consigliabile usare Azure RBAC per configurare l'accesso concesso al servizio Web, applicando i ruoli con privilegi minimi possibili.

Passaggi successivi