تعطيل المصادقة الأساسية في عمليات نشر Azure App Service

2025-06-16

تتناول هذه المقالة كيفية تعطيل مصادقة اسم المستخدم وكلمة المرور الأساسية لنشر التعليمات البرمجية إلى تطبيقات Azure App Service. تشرح المقالة عدة طرق لتعطيل المصادقة الأساسية وأساليب النشر الاحتياطية إن وجدت وكيفية مراقبة محاولات الوصول إلى المصادقة الأساسية.

توفر App Service المصادقة الأساسية لعملاء FTP وWeb Deploy للاتصال باستخدام بيانات اعتماد نشر اسم المستخدم وكلمة المرور. تعد واجهات برمجة تطبيقات المصادقة الأساسية جيدة لاستعراض نظام ملفات موقعك، وتحميل برامج التشغيل والأدوات المساعدة، والنشر باستخدام MSBuild. لمزيد من المعلومات، راجع تكوين بيانات اعتماد النشر ل Azure App Service.

غالبا ما تتطلب المؤسسات أساليب نشر أكثر أمانا من المصادقة الأساسية، مثل معرف Microsoft Entra. الرموز المميزة للوصول إلى Microsoft Entra OAuth 2.0 لها عمر محدود قابل للاستخدام، وهي خاصة بالتطبيقات والموارد التي يتم إصدارها لها، ولا يمكن إعادة استخدامها. يساعد التخويل المستند إلى الرمز المميز OAuth على التخفيف من العديد من المشاكل المتعلقة بالمصادقة الأساسية.

يتيح لك Microsoft Entra أيضا النشر من خدمات Azure الأخرى باستخدام الهويات المدارة. لمزيد من المعلومات، راجع أنواع المصادقة حسب أسلوب النشر في Azure App Service.

المتطلبات الأساسية

لتعطيل المصادقة الأساسية لوصول FTP إلى أحد التطبيقات، يجب أن يكون لديك وصول على مستوى المالك إلى التطبيق.
لإنشاء دور وتعيينه لمنع المستخدمين الأقل امتيازا من تمكين المصادقة الأساسية، يجب أن يكون لديك أذونات المالك أو مسؤول وصول المستخدم في الاشتراك.

تعطيل المصادقة الأساسية

لنشر FTP، يتم التحكم في المصادقة الأساسية بواسطة العلامة basicPublishingCredentialsPolicies/ftp أو خيار مدخل FTP Basic Auth Publishing Credentials .

بالنسبة لأساليب النشر الأخرى التي تستخدم المصادقة الأساسية، مثل Visual Studio وGit المحلي وGitHub، يتم التحكم في المصادقة الأساسية بواسطة العلامة basicPublishingCredentialsPolicies/scm أو خيار مدخل SCM Basic Auth Publishing Credentials .

إشعار

مصادقة SCM الأساسية مطلوبة لتمكين مصادقة FTP الأساسية.

لتعطيل المصادقة الأساسية:

مدخل Microsoft Azure
Azure CLI

فيمدخل Microsoft Azure، ابحث عن ⁧App Services⁧⁩وحدد تطبيقك.
في قائمة التنقل اليسرى للتطبيق، حدد Configuration>General settings.
حدد إيقاف التشغيل ل SCM Basic Auth Publishing Credentials أو FTP Basic Auth Publishing Credentials أو كليهما، ثم حدد Save.

قم بتشغيل أوامر Azure CLI التالية في بيئة Bash من Azure Cloud Shell عن طريق تحديد Open Cloud Shell في أعلى يمين كتلة التعليمات البرمجية. انسخ التعليمات البرمجية، واستبدل أي عناصر نائبة، والصقها في Cloud Shell، وقم بتشغيلها.

لتعطيل الوصول إلى المصادقة الأساسية ل FTP، قم بتشغيل الأمر التالي، واستبدل العناصر النائبة بمجموعة موارد التطبيق واسمه. يجب أن يكون لديك وصول على مستوى المالك إلى التطبيق.

az resource update --resource-group <group-name> --name ftp --namespace Microsoft.Web --resource-type basicPublishingCredentialsPolicies --parent sites/<app-name> --set properties.allow=false

لتعطيل الوصول إلى المصادقة الأساسية لمنفذ Web Deploy ونشر Git مع https://<app-name>.scm.azurewebsites.net، قم بتشغيل الأمر التالي. استبدل العناصر النائبة بمجموعة موارد التطبيق واسمه.

az resource update --resource-group <resource-group> --name scm --namespace Microsoft.Web --resource-type basicPublishingCredentialsPolicies --parent sites/<app-name> --set properties.allow=false

للتأكد من حظر الوصول إلى FTP، حاول الاتصال بتطبيقك باستخدام FTP/FTPS. يجب أن تتلقى رسالة 401 غير مصادق عليها .

للتأكد من حظر الوصول إلى Git، جرب نشر Git المحلي. يجب أن تتلقى رسالة فشل المصادقة .

النشر بدون مصادقة أساسية

عند تعطيل المصادقة الأساسية، لن تعمل أساليب النشر التي تعتمد على المصادقة الأساسية. تحتوي بعض أساليب التوزيع على آليات توزيع احتياطية.

يوضح الجدول التالي كيفية سلوك أساليب النشر المختلفة عند تعطيل المصادقة الأساسية، والآلية الاحتياطية إن وجدت. لمزيد من المعلومات، راجع أنواع المصادقة حسب أساليب النشر في Azure App Service.

أسلوب النشر	عند تعطيل المصادقة الأساسية
توزيع Visual Studio	يتطلب النشر باستخدام مصادقة Microsoft Entra الإصدار 17.12 من Visual Studio 2022 أو أحدث.
بروتوكول نقل الملفات	لا يعمل.
Git المحلي	لا يعمل.
Azure CLI	في Azure CLI 2.48.1 أو أعلى، تعود الأوامر التالية إلى مصادقة Microsoft Entra: `Person`. `Person`. `Person`. `Person`. `Person`. `Person`. `Person`. `Person`. `Person`. `Person`. `Person`. `Person`. `Person`.
المكون الإضافي ل Maven أو المكون الإضافي Gradle	يعمل.
إجراءات GitHub	لا تعمل مهام سير عمل إجراءات GitHub الموجودة التي تستخدم المصادقة الأساسية. افصل تكوين GitHub الحالي وأنشئ تكوين إجراءات GitHub جديد يستخدم الهوية المعينة من قبل المستخدم. إذا تم تكوين نشر GitHub Actions الحالي يدويا، فحاول استخدام كيان خدمة أو OpenID Connect بدلا من ذلك. بالنسبة إلى مهام سير عمل إجراءات GitHub الجديدة، استخدم خيار الهوية المعينة من قبل المستخدم .
GitHub مع خدمة إنشاء خدمة التطبيقات	لا يعمل.
النشر من معالج إنشاء المدخل	إذا قمت بتحديد مصدر نشر مستمر عند تعيين المصادقة الأساسية إلى تعطيل، يتم تكوين إجراءات GitHub باستخدام خيار الهوية المعين من قبل المستخدم (OpenID Connect).
Bitbucket	لا يعمل.
Azure Repos مع خدمة إنشاء خدمة التطبيقات	لا يعمل.
Azure Repos مع Azure Pipelines	يعمل.
Azure Pipelines مع `AzureWebApp` المهمة	يعمل.

إنشاء دور مخصص لمنع تمكين المصادقة الأساسية

لمنع المستخدمين الأقل امتيازا من تمكين المصادقة الأساسية لأي تطبيق، يمكنك إنشاء دور مخصص وتعيين المستخدمين للدور.

مدخل Microsoft Azure
Azure CLI

في مدخل Microsoft Azure، حدد الاشتراك حيث تريد إنشاء الدور المخصص.
في قائمة التنقل اليسرى، حدد Access Control (IAM)>Add>Add custom role.
في صفحة إنشاء دور مخصص ، قم بإعطاء الدور اسما ثم حدد التالي.
في علامة التبويب أذونات ، حدد استبعاد الأذونات.
ابحث عن Microsoft Web Apps وحددها.
ابحث عن microsoft.web/sites/basicPublishingCredentialsPolicies وقم بتوسيعها.
حدد مربع الكتابة، ثم حدد إضافة. تضيف هذه الخطوة العملية إلى NotActions للدور.
حدد استبعاد الأذونات مرة أخرى.
ابحث عن microsoft.web/sites/slots/basicPublishingCredentialsPolicies وقم بتوسيعه، وحدد مربع الكتابة ، ثم حدد إضافة.
يجب أن تبدو علامة تبويب الأذونات الآن مثل لقطة الشاشة التالية. حدد مراجعة + إنشاء، ثم حدد إنشاء.

يمكنك الآن تعيين هذا الدور لمستخدمي مؤسستك. لمزيد من المعلومات، راجع إنشاء أو تحديث أدوار Azure المخصصة باستخدام مدخل Microsoft Azure.

قم بتشغيل الأمر التالي، مع <role-name> استبدال باسم للدور المخصص ومعرف <subscription-guid> الاشتراك الخاص بك.

az role definition create --role-definition '{
    "Name": "<role-name>",
    "IsCustom": true,
    "Description": "Prevents users from enabling basic authentication for all App Service apps or slots.",
    "NotActions": [
        "Microsoft.Web/sites/basicPublishingCredentialsPolicies/Write",
        "Microsoft.Web/sites/slots/basicPublishingCredentialsPolicies/Write"
    ],
    "AssignableScopes": ["/subscriptions/<subscription-guid>"]
}'

يمكنك الآن تعيين هذا الدور لمستخدمي مؤسستك. لمزيد من المعلومات، راجع إنشاء أو تحديث أدوار Azure المخصصة باستخدام Azure CLI.

مراقبة محاولات المصادقة الأساسية

يتم تسجيل جميع عمليات تسجيل الدخول الناجحة والمحاولة إلى نوع سجل Azure Monitor AppServiceAuditLogs . لتدقيق عمليات تسجيل الدخول الناجحة والمحاولة على FTP ونشر الويب، اتبع الخطوات الواردة في إرسال السجلات إلى Azure Monitor وتمكين شحن AppServiceAuditLogs نوع السجل.

للتأكد من شحن السجلات إلى الخدمات المحددة، حاول تسجيل الدخول عبر FTP أو Web Deploy. يوضح المثال التالي سجل حساب تخزين.

{
  "time": "2023-10-16T17:42:32.9322528Z",
  "ResourceId": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.WEB/SITES/MY-DEMO-APP",
  "Category": "AppServiceAuditLogs",
  "OperationName": "Authorization",
  "Properties": {
    "User": "$my-demo-app",
    "UserDisplayName": "$my-demo-app",
    "UserAddress": "24.19.191.170",
    "Protocol": "FTP"
  }
}

يمكن أن يساعدك نهج Azure في فرض المعايير التنظيمية وتقييم التوافق على نطاق واسع. يمكنك استخدام نهج Azure للتدقيق لأي تطبيقات لا تزال تستخدم المصادقة الأساسية، ومعالجة أي موارد غير متوافقة. تعرض القائمة التالية النهج المضمنة لتدقيق المصادقة الأساسية ومعالجتها على App Service:

تعرض القائمة التالية النهج المقابلة للفتحات:

مشاركة عبر

تعطيل المصادقة الأساسية في عمليات نشر Azure App Service

المتطلبات الأساسية

تعطيل المصادقة الأساسية

النشر بدون مصادقة أساسية

إنشاء دور مخصص لمنع تمكين المصادقة الأساسية

مراقبة محاولات المصادقة الأساسية

استخدام النهج الأساسية المتعلقة بالمصادقة

المحتوى ذو الصلة

الملاحظات

الموارد الإضافية