Melhores práticas da autenticação

A segurança do aplicativo é crucial. Independentemente de quão excelente é a experiência do usuário, um aplicativo inseguro pode ser comprometido por hackers, minando sua integridade e deteriorando a confiança do usuário.

Este artigo contém dicas para garantir a segurança do aplicativo Azure Mapas. Ao usar o Azure, é importante familiarizar-se com as ferramentas de segurança disponíveis. Para obter mais informações, consulte Introdução à segurança do Azure na documentação de segurança do Azure.

Noções básicas sobre ameaças de segurança

Se os hackers obtiverem acesso à sua conta, eles poderão executar transações faturáveis ilimitadas, levando a custos inesperados e desempenho reduzido devido aos limites de QPS.

Para implementar as práticas recomendadas para proteger seus aplicativos do Azure Mapas, é essencial entender as várias opções de autenticação disponíveis.

Práticas recomendadas de autenticação no Azure Mapas

Ao desenvolver aplicativos cliente voltados para o público com o Azure Mapas, é crucial garantir que seus segredos de autenticação permaneçam privados e não estejam acessíveis publicamente.

A autenticação baseada em chave de assinatura (Chave Compartilhada) pode ser usada em aplicativos do lado do cliente ou serviços Web, mas é o método menos seguro para proteger seu aplicativo ou serviço Web. Isso ocorre porque a chave pode ser facilmente extraída de uma solicitação HTTP, concedendo acesso a todas as APIs REST do Azure Mapas disponíveis no SKU (tipo de preço). Se você usar chaves de assinatura, certifique-se de girá-las regularmente e lembre-se de que a Chave Compartilhada não dá suporte a tempos de vida configuráveis, portanto, a rotação deve ser feita manualmente. Considere usar a autenticação de Chave Compartilhada com o Azure Key Vault para armazenar com segurança seu segredo no Azure.

Ao usar a autenticação do Microsoft Entra ou a autenticação de token SAS (Assinatura de Acesso Compartilhado), o acesso às APIs REST do Azure Mapas é autorizado usando o RBAC (controle de acesso baseado em função). O RBAC permite especificar o nível de acesso concedido aos tokens emitidos. É importante considerar a duração para a qual o acesso deve ser concedido. Ao contrário da autenticação de Chave Compartilhada, o tempo de vida desses tokens é configurável.

Aplicativos cliente públicos e confidenciais

Há diferentes preocupações de segurança entre aplicativos cliente públicos e confidenciais. Para obter mais informações sobre o que é considerado um aplicativo cliente público e confidencial, veja Aplicativos cliente públicos e confidenciais na documentação da plataforma de identidade da Microsoft.

Aplicativos cliente públicos

Para aplicativos em execução em dispositivos, computadores desktop ou navegadores da Web, é aconselhável definir quais domínios podem acessar sua conta do Azure Mapas usando CORS (compartilhamento de recursos entre origens). O CORS informa ao navegador do cliente quais origens, como "https://microsoft.com", têm permissão para solicitar recursos para a conta do Azure Mapas.

Aplicativos cliente confidenciais

Para aplicativos baseados em servidor, como serviços Web e aplicativos de serviço/daemon, considere o uso de Identidades Gerenciadas para evitar a complexidade do gerenciamento de segredos. As identidades gerenciadas podem fornecer uma identidade para que seu serviço Web se conecte ao Azure Mapas usando a autenticação do Microsoft Entra. Em seguida, seu serviço Web pode usar essa identidade para obter os tokens necessários do Microsoft Entra. É recomendável usar o RBAC do Azure para configurar o acesso concedido ao serviço Web, aplicando as funções menos privilegiadas possíveis .

Próximas etapas