تكوين بيانات اعتماد النشر لخدمة Azure App Service

مقالة
04/21/2022
قراءة خلال 5 دقائق

لتأمين نشر التطبيق من كمبيوتر محلي، تدعم Azure App Service نوعين من بيانات الاعتماد لنشر Git المحلي ونشر FTP/S. بيانات الاعتماد هذه ليست هي نفسها بيانات اعتماد اشتراك Azure.

بيانات الاعتماد على مستوى المستخدم: مجموعة واحدة من بيانات الاعتماد لحساب Azure بأكمله. يمكن استخدامه للنشر إلى App Service لأي تطبيق، في أي اشتراك، يكون لدى حساب Azure إذن للوصول إليه. إنها المجموعة الافتراضية التي تظهر في واجهة المستخدم الرسومية للبوابة الإلكترونية (مثل نظرة عامةوخصائصصفحة موارد التطبيق). عندما يتم منح مستخدم حق الوصول إلى التطبيق عبر Role-Based التحكم في الوصول (RBAC) أو أذونات المسؤول المساعد، يمكن لهذا المستخدم استخدام بيانات الاعتماد الخاصة به على مستوى المستخدم حتى يتم إبطال الوصول. لا تشارك بيانات الاعتماد هذه مع مستخدمي Azure الآخرين.
بيانات الاعتماد على مستوى التطبيق: مجموعة واحدة من بيانات الاعتماد لكل تطبيق. يمكن استخدامه للنشر على هذا التطبيق فقط. يتم إنشاء بيانات الاعتماد لكل تطبيق تلقائيا عند إنشاء التطبيق. لا يمكن تكوينها يدويا، ولكن يمكن إعادة تعيينها في أي وقت. لكي يتم منح المستخدم حق الوصول إلى بيانات الاعتماد على مستوى التطبيق عبر (RBAC)، يجب أن يكون هذا المستخدم مساهما أو أعلى في التطبيق (بما في ذلك دور مساهم موقع الويب المضمن). لا يسمح للقراء بالنشر، ولا يمكنهم الوصول إلى بيانات الاعتماد هذه.

ملاحظة

سيتم إهمال صفحة مركز التطوير (الكلاسيكية) في مدخل Azure، وهي تجربة النشر القديمة، في مارس 2021. لن يؤثر هذا التغيير على أي إعدادات نشر موجودة في تطبيقك، ويمكنك متابعة إدارة نشر التطبيق في صفحة مركز النشر .

تكوين بيانات اعتماد نطاق المستخدم

قم بتشغيل الأمر az webapp deployment userset set. استبدل <اسم المستخدم> وكلمة المرور باسم مستخدم نشر وكلمة <> مرور.

يجب أن يكون اسم المستخدم فريدًا في Azure، ولا يجب أن يحتوي دفع Git المحلي على رمز ’@‘.
يجب أن يكون طول كلمة المرور ثمانية أحرف على الأقل، مع اثنين من العناصر الثلاثة التالية: الأحرف والأرقام والرموز.

az webapp deployment user set --user-name <username> --password <password>

يظهر إخراج JSON كلمة المرور كـ null.

استخدام بيانات اعتماد نطاق المستخدم مع FTP/FTPS

تتطلب المصادقة إلى نقطة نهاية FTP/FTPS باستخدام بيانات اعتماد نطاق المستخدم اسم مستخدم بالتنسيق التالي: <app-name>\<user-name>

نظرا لأن بيانات اعتماد نطاق المستخدم مرتبطة بالمستخدم وليس بمورد معين، يجب أن يكون اسم المستخدم بهذا التنسيق لتوجيه إجراء تسجيل الدخول إلى نقطة نهاية التطبيق الصحيحة.

الحصول على بيانات اعتماد نطاق التطبيق

احصل على بيانات اعتماد نطاق التطبيق باستخدام الأمر az webapp deploying-publishing-profiles . على سبيل المثال:

az webapp deployment list-publishing-profiles --resource-group <group-name> --name <app-name>

لنشر Git المحلي، يمكنك أيضا استخدام الأمر az webapp deployment list-publishing-credentials للحصول على عنوان GIT Uri عن بعد لتطبيقك، مع تضمين بيانات اعتماد نطاق التطبيق بالفعل. على سبيل المثال:

az webapp deployment list-publishing-credentials --resource-group <group-name> --name <app-name> --query scmUri

احصل على بيانات اعتماد نطاق التطبيق باستخدام الأمر Get-AzWebAppPublishingProfile . على سبيل المثال:

Get-AzWebAppPublishingProfile -ResourceGroupName <group-name> -Name <app-name>

إعادة تعيين بيانات اعتماد نطاق التطبيق

إعادة تعيين بيانات اعتماد نطاق التطبيق باستخدام الأمر استدعاء إجراء مورد az:

az resource invoke-action --action newpassword --resource-group <group-name> --name <app-name> --resource-type Microsoft.Web/sites

إعادة تعيين بيانات اعتماد نطاق التطبيق باستخدام الأمر استدعاء AzResourceAction :

Invoke-AzResourceAction -ResourceGroupName <group-name> -ResourceType Microsoft.Web/sites -ResourceName <app-name> -Action newpassword

تعطيل المصادقة الأساسية

تحتاج بعض المؤسسات إلى تلبية متطلبات الأمان وتفضل تعطيل الوصول عبر FTP أو WebDeploy. وبهذه الطريقة، يمكن لأعضاء المؤسسة الوصول إلى خدمات التطبيقات الخاصة بها فقط من خلال واجهات برمجة التطبيقات التي يتم التحكم فيها بواسطة Azure Active Directory (Azure AD).

FTP

لتعطيل وصول FTP إلى الموقع، قم بتشغيل الأمر CLI التالي. استبدل العناصر النائبة بمجموعة الموارد واسم الموقع.

az resource update --resource-group <resource-group> --name ftp --namespace Microsoft.Web --resource-type basicPublishingCredentialsPolicies --parent sites/<site-name> --set properties.allow=false

للتأكد من حظر الوصول إلى FTP، يمكنك محاولة المصادقة باستخدام عميل FTP مثل FileZilla. لاسترداد بيانات اعتماد النشر، انتقل إلى شفرة النظرة العامة لموقعك وانقر على تنزيل ملف تعريف النشر. استخدم اسم مضيف FTP للملف واسم المستخدم وكلمة المرور للمصادقة ، وستحصل على استجابة خطأ 401 ، مما يشير إلى أنك غير مصرح لك.

WebDeploy و SCM

لتعطيل الوصول إلى المصادقة الأساسية إلى منفذ WebDeploy وموقع SCM، قم بتشغيل الأمر CLI التالي. استبدل العناصر النائبة بمجموعة الموارد واسم الموقع.

az resource update --resource-group <resource-group> --name scm --namespace Microsoft.Web --resource-type basicPublishingCredentialsPolicies --parent sites/<site-name> --set properties.allow=false

للتأكد من حظر بيانات اعتماد ملف التعريف المنشور على WebDeploy، حاول نشر تطبيق ويب باستخدام Visual Studio 2019.

تعطيل الوصول إلى واجهة برمجة التطبيقات

يتم دعم واجهة برمجة التطبيقات في القسم السابق من عنصر تحكم الوصول المستند إلى دور Azure (Azure RBAC)، مما يعني أنه يمكنك إنشاء دور مخصص وتعيين مستخدمين أقل امتيازا للدور حتى لا يتمكنوا من تمكين المصادقة الأساسية على أي مواقع. لتكوين الدور المخصص، اتبع هذه الإرشادات.

يمكنك أيضا استخدام Azure Monitor لتدقيق أي طلبات مصادقة ناجحة واستخدام نهج Azure لفرض هذا التكوين لجميع المواقع في اشتراكك.

الخطوات التالية

تعرف على كيفية استخدام بيانات الاعتماد هذه لنشر تطبيقك من Git المحلي أو باستخدام FTP/S.