Práticas recomendadas de autenticação

A segurança da sua aplicação é crucial. Independentemente de quão excelente seja a experiência do usuário, um aplicativo inseguro pode ser comprometido por hackers, minando sua integridade e deteriorando a confiança do usuário.

Este artigo contém dicas para garantir a segurança do seu aplicativo do Azure Maps. Ao usar o Azure, é importante se familiarizar com as ferramentas de segurança disponíveis. Para obter mais informações, consulte Introdução à segurança do Azure na documentação de segurança do Azure.

Compreender as ameaças à segurança

Se os hackers obtiverem acesso à sua conta, poderão potencialmente executar transações faturáveis ilimitadas, levando a custos inesperados e desempenho reduzido devido aos limites de QPS.

Para implementar as práticas recomendadas para proteger seus aplicativos do Azure Maps, é essencial entender as várias opções de autenticação disponíveis.

Práticas recomendadas de autenticação no Azure Maps

Ao desenvolver aplicativos cliente voltados para o público com o Azure Maps, é crucial garantir que seus segredos de autenticação permaneçam privados e não sejam acessíveis publicamente.

A autenticação baseada em chave de assinatura (Chave Compartilhada) pode ser usada em aplicativos do lado do cliente ou serviços Web, mas é o método menos seguro para proteger seu aplicativo ou serviço Web. Isso ocorre porque a chave pode ser facilmente extraída de uma solicitação HTTP, concedendo acesso a todas as APIs REST do Azure Maps disponíveis no SKU (Nível de Preço). Se utilizar chaves de subscrição, certifique-se de que as roda regularmente e lembre-se de que a Chave Partilhada não suporta tempos de vida configuráveis, pelo que a rotação tem de ser feita manualmente. Considere usar a autenticação de Chave Compartilhada com o Cofre de Chaves do Azure para armazenar seu segredo com segurança no Azure.

Ao usar a autenticação do Microsoft Entra ou a autenticação de Token de Assinatura de Acesso Compartilhado (SAS), o acesso às APIs REST do Azure Maps é autorizado usando o RBAC (controle de acesso baseado em função). O RBAC permite especificar o nível de acesso concedido aos tokens emitidos. É importante considerar a duração pela qual o acesso deve ser concedido. Ao contrário da autenticação de chave compartilhada, o tempo de vida desses tokens é configurável.

Aplicações de clientes públicos e confidenciais

Existem diferentes preocupações de segurança entre aplicações cliente públicas e confidenciais. Para obter mais informações sobre o que é considerado um aplicativo cliente público versus confidencial , consulte Cliente público e aplicativos cliente confidenciais na documentação da plataforma de identidade da Microsoft.

Aplicações cliente públicas

Para aplicativos executados em dispositivos, computadores desktop ou navegadores da Web, é aconselhável definir quais domínios podem acessar sua conta do Azure Maps usando o compartilhamento de recursos entre origens (CORS). O CORS informa ao navegador do cliente quais origens, como "https://microsoft.com," têm permissão para solicitar recursos para a conta do Azure Maps.

Aplicações de cliente confidenciais

Para aplicativos baseados em servidor, como serviços Web e aplicativos de serviço/daemon, considere o uso de Identidades Gerenciadas para evitar a complexidade do gerenciamento de segredos. As identidades gerenciadas podem fornecer uma identidade para que seu serviço Web se conecte ao Azure Maps usando a autenticação do Microsoft Entra. Seu serviço Web pode usar essa identidade para obter os tokens necessários do Microsoft Entra. É recomendável usar o RBAC do Azure para configurar o acesso concedido ao serviço Web, aplicando as funções Menos privilegiadas possíveis.

Próximos passos