Bonnes pratiques pour l'authentification

La sécurité de votre application est cruciale. Quelle que soit l’excellente expérience utilisateur, une application non sécurisée peut être compromise par des pirates informatiques, en sapant son intégrité et en détériorant la confiance des utilisateurs.

Cet article contient des conseils pour garantir la sécurité de votre application Azure Maps. Lorsque vous utilisez Azure, il est important de vous familiariser avec les outils de sécurité disponibles. Pour plus d’informations, consultez Présentation de la sécurité Azure dans la documentation sur la sécurité Azure.

Présentation des menaces de sécurité

Si les pirates accèdent à votre compte, ils peuvent potentiellement exécuter des transactions facturables illimitées, ce qui entraîne des coûts inattendus et une réduction des performances en raison des limites de QPS.

Pour implémenter les meilleures pratiques pour sécuriser vos applications Azure Maps, il est essentiel de comprendre les différentes options d’authentification disponibles.

Bonnes pratiques pour l’authentification dans Azure Maps

Lors du développement d’applications clientes publiques avec Azure Maps, il est essentiel de s’assurer que vos secrets d’authentification restent privés et ne sont pas accessibles publiquement.

L’authentification basée sur une clé d’abonnement (clé partagée) peut être utilisée dans les applications côté client ou les services web, mais il s’agit de la méthode la moins sécurisée pour protéger votre application ou service web. Cela est dû au fait que la clé peut être facilement extraite d’une requête HTTP, en lui accordant l’accès à toutes les API REST Azure Maps disponibles dans la référence SKU (niveau tarifaire). Si vous utilisez des clés d’abonnement, veillez à les faire pivoter régulièrement et n’oubliez pas que la clé partagée ne prend pas en charge les durées de vie configurables. La rotation doit donc être effectuée manuellement. Envisagez d’utiliser l’authentification par clé partagée avec Azure Key Vault pour stocker en toute sécurité votre secret dans Azure.

Lorsque vous utilisez l’authentification Microsoft Entra ou l’authentification par jeton SAP (Shared Access Signature), l’accès aux API REST Azure Maps est autorisé à l’aide du contrôle d’accès en fonction du rôle (RBAC). RBAC vous permet de spécifier le niveau d’accès accordé aux jetons émis. Il est important de prendre en compte la durée pendant laquelle l’accès doit être accordé. Contrairement à l’authentification par clé partagée, la durée de vie de ces jetons est configurable.

Applications clientes publiques et confidentielles

Il existe différents éléments à prendre en compte en matière de sécurité entre les applications clientes publiques et confidentielles. Pour plus d’informations sur ce qui est considéré comme une application cliente publique ou confidentielle, consultez Applications clientes publiques et confidentielles dans la documentation de la plateforme d’identité Microsoft.

Applications clientes publiques

Pour les applications s’exécutant sur des appareils, des ordinateurs de bureau ou des navigateurs web, il est recommandé de définir quels domaines peuvent accéder à votre compte Azure Maps à l’aide du partage de ressources cross origin (CORS). CORS informe le navigateur du client des origines, telles que « https://microsoft.com », qui sont autorisées à demander des ressources pour le compte Azure Maps.

Applications clientes confidentielles

Pour les applications basées sur le serveur, telles que les services web et les applications de service/démon, envisagez d’utiliser des identités managées pour éviter la complexité de la gestion des secrets. Les identités managées peuvent fournir une identité à votre service web pour se connecter à Azure Maps à l’aide de l’authentification Microsoft Entra. Votre service web peut ensuite utiliser cette identité pour obtenir les jetons Microsoft Entra nécessaires. Il est recommandé d’utiliser Azure RBAC pour configurer l’accès accordé au service web, en appliquant les rôles les moins privilégiés possibles.

Étapes suivantes