تعطيل مصادقة مفتاح الوصول لمثيل تكوين تطبيق Azure (معاينة)

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

يجب مصادقة كل طلب إلى مورد تكوين تطبيق Azure. بشكل افتراضي، يمكن مصادقة الطلبات إما باستخدام بيانات اعتماد Azure Active Directory (Azure AD)، أو باستخدام مفتاح وصول. من بين هذين النوعين من أنظمة المصادقة، يوفر Azure AD أمانا فائقا وسهولة استخدام عبر مفاتيح الوصول، وتوصي به Microsoft. لمطالبة العملاء باستخدام Azure AD لمصادقة الطلبات، يمكنك تعطيل استخدام مفاتيح الوصول لمورد تكوين تطبيق Azure.

عند تعطيل مصادقة مفتاح الوصول لمورد تكوين تطبيق Azure، يتم حذف أي مفاتيح وصول موجودة لهذا المورد. سيتم رفض أي طلبات لاحقة إلى المورد باستخدام مفاتيح الوصول الموجودة مسبقا. لن تنجح سوى الطلبات التي تمت مصادقتها باستخدام Azure AD. لمزيد من المعلومات حول استخدام Azure AD، راجع تفويض الوصول إلى تكوين تطبيق Azure باستخدام Azure Active Directory.

تعطيل مصادقة مفتاح الوصول

سيؤدي تعطيل مصادقة مفتاح الوصول إلى حذف جميع مفاتيح الوصول. إذا كانت أي تطبيقات قيد التشغيل تستخدم مفاتيح الوصول للمصادقة ، فستبدأ في الفشل بمجرد تعطيل مصادقة مفتاح الوصول. سيؤدي تمكين مصادقة مفتاح الوصول مرة أخرى إلى إنشاء مجموعة جديدة من مفاتيح الوصول وستظل أي تطبيقات تحاول استخدام مفاتيح الوصول القديمة تفشل.

تحذير

إذا كان أي عميل يقوم حاليا بالوصول إلى البيانات الموجودة في مورد تكوين تطبيق Azure باستخدام مفاتيح الوصول، فتوصي Microsoft بترحيل هؤلاء العملاء إلى Azure AD قبل تعطيل مصادقة مفتاح الوصول. بالإضافة إلى ذلك، يوصى بقراءة قسم القيود أدناه للتحقق من أن القيود لن تؤثر على الاستخدام المقصود للمورد.

⁩مدخل Microsoft Azure⁧

لعدم السماح بمصادقة مفتاح الوصول لمورد تكوين تطبيق Azure في مدخل Azure، اتبع الخطوات التالية:

1. انتقل إلى مورد تكوين تطبيقات Azure في مدخل Azure.

2. حدد موقع إعداد مفاتيح الوصول ضمن الإعدادات.

   

3. اضبط مفتاح تمكين الوصول إلى مفتاح التبديل إلى معطل.

   

Azure CLI

القدرة على تعطيل مصادقة مفتاح الوصول باستخدام Azure CLI قيد التطوير.

تحقق من تعطيل مصادقة مفتاح الوصول

للتحقق من أن مصادقة مفتاح الوصول لم تعد مسموحا بها، يمكن تقديم طلب لإدراج مفاتيح الوصول لمورد تكوين تطبيق Azure. إذا تم تعطيل مصادقة مفتاح الوصول ، فلن تكون هناك مفاتيح وصول وستعرض عملية القائمة قائمة فارغة.

⁩مدخل Microsoft Azure⁧

للتحقق من تعطيل مصادقة مفتاح الوصول لمورد تكوين تطبيق Azure في مدخل Azure، اتبع الخطوات التالية:

1. انتقل إلى مورد تكوين تطبيقات Azure في مدخل Azure.

2. حدد موقع إعداد مفاتيح الوصول ضمن الإعدادات.

   

3. تحقق من عدم وجود مفاتيح وصول معروضة ويتم تبديل تمكين مفاتيح الوصول إلى معطل.

   

Azure CLI

للتحقق من تعطيل مصادقة مفتاح الوصول لمورد تكوين تطبيق Azure في مدخل Azure، استخدم الأمر التالي. سيقوم الأمر بسرد مفاتيح الوصول لمورد تكوين Azure App وإذا تم تعطيل مصادقة مفتاح الوصول ، فستكون القائمة فارغة.

az appconfig credential list \
    --name <app-configuration-name> \
    --resource-group <resource-group>

إذا تم تعطيل مصادقة مفتاح الوصول ، إرجاع قائمة فارغة.

C:\Users\User>az appconfig credential list -g <resource-group> -n <app-configuration-name>
[]

أذونات السماح بمصادقة مفتاح الوصول أو عدم السماح بها

لتعديل حالة مصادقة مفتاح الوصول لمورد تكوين تطبيق Azure، يجب أن يكون لدى المستخدم أذونات لإنشاء موارد تكوين تطبيق Azure وإدارتها. تتضمن أدوار التحكم في الوصول المستندة إلى دور Azure (Azure RBAC) التي توفر هذه الأذونات الإجراء Microsoft.AppConfiguration/configurationStores/write أو Microsoft.AppConfiguration/configurationStores/*. تتضمن الأدوار المضمنة في هذا الإجراء ما يلي:

• دور مالك Resource Manager Azure
• دور مساهم Azure Resource Manager

لا توفر هذه الأدوار الوصول إلى البيانات في مورد تكوين تطبيق Azure عبر Azure Active Directory (Azure AD). ومع ذلك، فإنها تتضمن إذن إجراء Microsoft.AppConfiguration/configurationStores/listKeys/action ، الذي يمنح حق الوصول إلى مفاتيح الوصول الخاصة بالمورد. باستخدام هذا الإذن، يمكن للمستخدم استخدام مفاتيح الوصول للوصول إلى جميع البيانات الموجودة في المورد.

يجب تحديد نطاق تعيينات الأدوار إلى مستوى مورد تكوين تطبيق Azure أو أعلى للسماح للمستخدم بالسماح بمصادقة مفتاح الوصول للمورد أو عدم السماح بها. لمزيد من المعلومات حول نطاق الدور، راجع فهم نطاق Azure RBAC.

احرص على تقييد تعيين هذه الأدوار فقط لأولئك الذين يحتاجون إلى القدرة على إنشاء مورد تكوين التطبيق أو تحديث خصائصه. استخدم مبدأ أقل امتياز لضمان حصول المستخدمين على أقل عدد من الأذونات التي يحتاجونها لإنجاز مهامهم. لمزيد من المعلومات حول إدارة الوصول باستخدام Azure RBAC، راجع أفضل الممارسات ل Azure RBAC.

ملاحظة

يقوم مسؤول الاشتراك الكلاسيكي بأدوار مسؤول الخدمة Co-Administrator تتضمن ما يعادل دور مالك Azure Resource Manager. يتضمن دور المالك جميع الإجراءات ، بحيث يمكن للمستخدم الذي لديه أحد هذه الأدوار الإدارية أيضا إنشاء موارد تكوين التطبيق وإدارتها. لمزيد من المعلومات، راجع أدوار مسؤول الاشتراك الكلاسيكي وأدوار Azure وأدوار مسؤول Azure AD.

التقييدات

تتوفر القدرة على تعطيل مصادقة مفتاح الوصول كمعاينة. القيود التالية موجودة حاليا.

الوصول إلى قالب ARM

عند تعطيل مصادقة مفتاح الوصول، سيتم تعطيل القدرة على قراءة/كتابة القيم الرئيسية في قالب ARM أيضا. وذلك لأن الوصول إلى مورد Microsoft.AppConfiguration/configurationStores/keyValues المستخدم في قوالب ARM يتطلب دورا Resource Manager Azure، مثل المساهم أو المالك. عند تعطيل مصادقة مفتاح الوصول، يتطلب الوصول إلى المورد أحد أدوار مستوى بيانات تكوين تطبيق Azure، وبالتالي يتم رفض الوصول إلى قالب ARM.

الخطوات التالية

• استخدام المفاتيح التي يديرها العميل لتشفير بيانات تكوين التطبيق
• استخدام نقاط النهاية الخاصة لتكوين تطبيق Azure