Condividi tramite


Gestire l'autenticazione in Mappe di Azure

Quando si crea un account Mappe di Azure, l'ID client e le chiavi condivise vengono creati automaticamente. Questi valori sono necessari per l'autenticazione quando si usa Microsoft Entra ID o l'autenticazione con chiave condivisa.

Prerequisiti

Accedi al portale di Azure. Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.

Visualizzare i dettagli di autenticazione

Importante

È consigliabile usare la chiave primaria come chiave di sottoscrizione quando si usa l'autenticazione con chiave condivisa per chiamare Mappe di Azure. È consigliabile usare la chiave secondaria in scenari come le modifiche delle chiavi in sequenza.

Per visualizzare i dettagli di autenticazione Mappe di Azure:

  1. Accedi al portale di Azure.

  2. Selezionare Tutte le risorse nella sezione Servizi di Azure e quindi selezionare l'account Mappe di Azure.

    Select Azure Maps account.

  3. Selezionare Autenticazione nella sezione delle impostazioni del riquadro sinistro.

    Screenshot showing your Azure Maps subscription key in the Azure portal.

Scegliere una categoria di autenticazione

A seconda delle esigenze dell'applicazione, esistono percorsi specifici per la sicurezza delle applicazioni. Microsoft Entra ID definisce categorie di autenticazione specifiche per supportare un'ampia gamma di flussi di autenticazione. Per scegliere la categoria migliore per l'applicazione, vedere categorie di applicazioni.

Nota

La comprensione delle categorie e degli scenari consente di proteggere l'applicazione Mappe di Azure, indipendentemente dal fatto che si usi l'ID Entra Microsoft o l'autenticazione con chiave condivisa.

Come aggiungere e rimuovere identità gestite

Per abilitare l'autenticazione del token di firma di accesso condiviso con l'API REST Mappe di Azure, è necessario aggiungere un'identità gestita assegnata dall'utente all'account Mappe di Azure.

Creare un'identità gestita

È possibile creare un'identità gestita assegnata dall'utente prima o dopo la creazione di un account mappa. È possibile aggiungere l'identità gestita tramite il portale, gli SDK di gestione di Azure o il modello di Azure Resource Manager (ARM). Per aggiungere un'identità gestita assegnata dall'utente tramite un modello di Resource Manager, specificare l'identificatore della risorsa dell'identità gestita assegnata dall'utente.

"identity": {
    "type": "UserAssigned",
    "userAssignedIdentities": {
        "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/example/providers/Microsoft.ManagedIdentity/userAssignedIdentities/exampleidentity": {}
    }
}

Rimuovere un'identità gestita

È possibile rimuovere un'identità assegnata dal sistema disabilitando la funzionalità tramite il portale o il modello di Azure Resource Manager nello stesso modo in cui è stata creata. Le identità assegnate dall'utente possono essere rimosse separatamente. Per rimuovere tutte le identità, impostare il tipo di identità su "None".

La rimozione di un'identità assegnata dal sistema in questo modo lo elimina anche dall'ID Microsoft Entra. Le identità assegnate dal sistema vengono rimosse automaticamente anche da Microsoft Entra ID quando l'account Mappe di Azure viene eliminato.

Per rimuovere tutte le identità usando il modello di Azure Resource Manager, aggiornare questa sezione:

"identity": {
    "type": "None"
}

Scegliere uno scenario di autenticazione e autorizzazione

Questa tabella illustra gli scenari comuni di autenticazione e autorizzazione in Mappe di Azure. Ogni scenario descrive un tipo di app che può essere usata per accedere Mappe di Azure'API REST. Usare i collegamenti per ottenere informazioni dettagliate sulla configurazione per ogni scenario.

Importante

Per le applicazioni di produzione, è consigliabile implementare l'ID Microsoft Entra con il controllo degli accessi in base al ruolo di Azure.

Scenario Authentication Autorizzazione Attività di sviluppo Impegno operativo
App daemon attendibile o app client non interattiva Chiave condivisa N/D Medio Alto
Daemon attendibile o app client non interattiva Microsoft Entra ID Alto Bassa Medio
App a pagina singola Web con Accesso Single Sign-On interattivo Microsoft Entra ID Alto Medio Medio
App a pagina singola Web con accesso non interattivo Microsoft Entra ID Alto Medio Medio
App Web, app daemon o app per l'accesso non interattivo Token di firma di accesso condiviso Alto Medio Basso
Applicazione Web con Accesso Single Sign-On interattivo Microsoft Entra ID Alta Alto Medio
Dispositivo IoT o applicazione vincolata di input Microsoft Entra ID Alto Medio Medio

Visualizzare le definizioni di ruolo Mappe di Azure predefinite

Per visualizzare la definizione del ruolo di Mappe di Azure predefinita:

  1. Nel riquadro sinistro selezionare Controllo di accesso (IAM).

  2. Selezionare la scheda Ruoli .

  3. Nella casella di ricerca immettere Mappe di Azure.

I risultati visualizzano le definizioni di ruolo predefinite disponibili per Mappe di Azure.

View built-in Azure Maps role definitions.

Visualizzare le assegnazioni di ruolo

Per visualizzare utenti e app a cui è stato concesso l'accesso per Mappe di Azure, passare a Controllo di accesso (IAM). Selezionare Assegnazioni di ruolo e quindi filtrare in base Mappe di Azure.

  1. Nel riquadro sinistro selezionare Controllo di accesso (IAM).

  2. Selezionare la scheda Assegnazioni di ruolo.

  3. Nella casella di ricerca immettere Mappe di Azure.

I risultati visualizzano le assegnazioni di ruolo Mappe di Azure correnti.

View built-in View users and apps that have been granted access.

Richiedere token per Mappe di Azure

Richiedere un token dall'endpoint del token Microsoft Entra. Nella richiesta microsoft Entra ID usare i dettagli seguenti:

Ambiente Azure Endpoint del token Microsoft Entra ID risorsa di Azure
Cloud pubblico di Azure https://login.microsoftonline.com https://atlas.microsoft.com/
Azure per enti pubblici cloud https://login.microsoftonline.us https://atlas.microsoft.com/

Per altre informazioni sulla richiesta di token di accesso da Microsoft Entra ID per utenti e entità servizio, vedere Scenari di autenticazione per Microsoft Entra ID. Per visualizzare scenari specifici, vedere la tabella degli scenari.

Gestire e ruotare le chiavi condivise

Le chiavi di sottoscrizione Mappe di Azure sono simili a una password radice per l'account Mappe di Azure. Prestare sempre attenzione a proteggere le chiavi di sottoscrizione. Usare Azure Key Vault per gestire e ruotare in modo sicuro le chiavi. Evitare di distribuire le chiavi di accesso ad altri utenti, di codificarli hardcoded o di salvarli ovunque in testo normale accessibile ad altri utenti. Se si ritiene che le chiavi potrebbero essere state compromesse, ruotarle.

Nota

Se possibile, è consigliabile usare l'ID Microsoft Entra anziché la chiave condivisa per autorizzare le richieste. Microsoft Entra ID offre una maggiore sicurezza rispetto alla chiave condivisa ed è più facile da usare.

Ruotare manualmente le chiavi di sottoscrizione

Per proteggere l'account Mappe di Azure, è consigliabile ruotare periodicamente le chiavi di sottoscrizione. Se possibile, usare Azure Key Vault per gestire le chiavi di accesso. Se non si usa Key Vault, è necessario ruotare manualmente le chiavi.

Vengono assegnate due chiavi di sottoscrizione in modo da poter ruotare le chiavi. La presenza di due chiavi garantisce che l'applicazione mantenga l'accesso a Mappe di Azure in tutto il processo.

Per ruotare le chiavi di sottoscrizione Mappe di Azure nel portale di Azure:

  1. Aggiornare il codice dell'applicazione per fare riferimento alla chiave secondaria per l'account Mappe di Azure e distribuire.
  2. Nella portale di Azure passare all'account Mappe di Azure.
  3. In Impostazioni selezionare Autenticazione.
  4. Per rigenerare la chiave primaria per l'account Mappe di Azure, selezionare il pulsante Rigenera accanto alla chiave primaria.
  5. Aggiornare il codice dell'applicazione per fare riferimento alla nuova chiave primaria e distribuire.
  6. Rigenerare la chiave secondaria nello stesso modo.

Avviso

È consigliabile usare la stessa chiave in tutte le applicazioni. Se si usa la chiave primaria in alcune posizioni e la chiave secondaria in altri, non sarà possibile ruotare le chiavi senza che alcune applicazioni perdano l'accesso.

Passaggi successivi

Trovare le metriche di utilizzo dell'API per l'account Mappe di Azure:

Esplorare gli esempi che illustrano come integrare Microsoft Entra ID con Mappe di Azure: