تعطيل مصادقة مفتاح الوصول لمثيل تكوين تطبيق Azure

يتعين مصادقة كل طلب إلى مورد تكوين تطبيق Azure. بشكل افتراضي، يمكن مصادقة الطلبات إما باستخدام بيانات اعتماد Microsoft Entra، أو باستخدام مفتاح وصول. من بين هذين النوعين من أنظمة المصادقة، يوفر معرف Microsoft Entra أمانا فائقا وسهولة في الاستخدام عبر مفاتيح الوصول، ويوصي به Microsoft. لمطالبة العملاء باستخدام معرف Microsoft Entra لمصادقة الطلبات، يمكنك تعطيل استخدام مفاتيح الوصول لمورد Azure App Configuration.

عند تعطيل مصادقة مفتاح الوصول لمورد تكوين تطبيق Azure، يتم حذف أي مفاتيح وصول موجودة لهذا المورد. سيتم رفض أي طلبات لاحقة للمورد باستخدام مفاتيح الوصول الموجودة مسبقًا. لن تنجح سوى الطلبات التي تمت مصادقتها باستخدام معرف Microsoft Entra. لمزيد من المعلومات حول استخدام معرف Microsoft Entra، راجع تخويل الوصول إلى تكوين تطبيق Azure باستخدام معرف Microsoft Entra.

تعطيل مصادقة مفتاح الوصول

سيؤدي تعطيل مصادقة مفتاح الوصول إلى حذف جميع مفاتيح الوصول. إذا كانت أي تطبيقات قيد التشغيل تستخدم مفاتيح الوصول للمصادقة، فستبدأ في الفشل بمجرد تعطيل مصادقة مفتاح الوصول. سيؤدي تمكين مصادقة مفتاح الوصول مرة أخرى إلى إنشاء مجموعة جديدة من مفاتيح الوصول وستواصل أي تطبيقات تحاول استخدام مفاتيح الوصول القديمة الفشل.

تحذير

إذا كان أي عملاء يصلون حاليا إلى البيانات في مورد Azure App Configuration باستخدام مفاتيح الوصول، فإن Microsoft توصي بترحيل هؤلاء العملاء إلى معرف Microsoft Entra قبل تعطيل مصادقة مفتاح الوصول.

مدخل Microsoft Azure

لعدم السماح بمصادقة مفتاح الوصول لمورد تكوين تطبيق Azure في مدخل Azure، اتبع الخطوات التالية:

1. انتقل إلى مورد تكوين تطبيق Azure في مدخل Azure.

2. حدد موقع إعداد إعدادات Access ضمن الإعدادات.

   

3. قم بتعيين تبديل تمكين مفاتيح الوصول إلى معطّل.

   

Azure CLI

القدرة على تعطيل مصادقة مفتاح الوصول باستخدام Azure CLI قيد التطوير.

تحقق من تعطيل مصادقة مفتاح الوصول

للتحقق من أن مصادقة مفتاح الوصول لم تعد مسموحًا بها، يمكن إجراء طلب لسرد مفاتيح الوصول لمورد تكوين تطبيق Azure. إذا تم تعطيل مصادقة مفتاح الوصول، فلن يكون هناك مفاتيح وصول، وسترجع عملية القائمة قائمة فارغة.

مدخل Microsoft Azure

للتحقق من أن مصادقة مفتاح الوصول معطّلة لمورد تكوين تطبيق Azure في مدخل Azure، اتبع الخطوات التالية:

1. انتقل إلى مورد تكوين تطبيق Azure في مدخل Azure.

2. حدد موقع إعداد إعدادات Access ضمن الإعدادات.

   

3. تحقق من عدم وجود مفاتيح وصول معروضة ومن تبديل تمكين مفاتيح الوصول إلى معطّل.

   

Azure CLI

للتحقق من أن مصادقة مفتاح الوصول معطّلة لمورد تكوين تطبيق Azure في مدخل Azure، استخدم الأمر التالي. سيسرد الأمر مفاتيح الوصول لمورد تكوين تطبيق Azure وإذا تم تعطيل مصادقة مفتاح الوصول، فستكون القائمة فارغة.

az appconfig credential list \
    --name <app-configuration-name> \
    --resource-group <resource-group>

إذا تم تعطيل مصادقة مفتاح الوصول، فسيتم إرجاع قائمة فارغة.

C:\Users\User>az appconfig credential list -g <resource-group> -n <app-configuration-name>
[]

أذونات للسماح أو عدم السماح بمصادقة مفتاح الوصول

لتعديل حالة مصادقة مفتاح الوصول لمورد تكوين تطبيق Azure، يتعين أن يكون لدى المستخدم أذونات لإنشاء موارد تكوين تطبيق Azure وإدارتها. تتضمن أدوار التحكم في الوصول استنادًا إلى دور Azure‏ (Azure RBAC) التي توفر هذه الأذونات إجراء Microsoft.AppConfiguration/configurationStores/write أو Microsoft.AppConfiguration/configurationStores/*. وتشمل الأدوار المدمجة مع هذا الإجراء ما يلي:

• دور المالك في Azure Resource Manager
• دور المساهم في إدارة الموارد Azure

لا توفر هذه الأدوار الوصول إلى البيانات في مورد Azure App Configuration عبر معرف Microsoft Entra. ومع ذلك، فإنها تتضمن إذن الإجراء Microsoft.AppConfiguration/configurationStores/listKeys/action، الذي يمنح حق الوصول إلى مفاتيح الوصول الخاصة بالمورد. وبهذا الإذن، يمكن للمستخدم استخدام مفاتيح الوصول من أجل الوصول إلى جميع البيانات في المورد.

يتعين تحديد نطاق تعيينات الأدوار إلى مستوى مورد تكوين تطبيق Azure أو أعلى للسماح للمستخدم بالسماح بمصادقة مفتاح الوصول للمورد أو إلغاء السماح بذلك. لمزيد من المعلومات حول نطاق الدور، راجع فهم نطاق التحكم في الوصول استنادًا إلى الدور من Azure.

كن حذرا لتقييد تعيين هذه الأدوار فقط للمستخدمين الذين يحتاجون إلى القدرة على إنشاء مورد App Configuration أو تحديث خصائصه. استخدم مبدأ أقل الامتيازات لضمان حصول المستخدمين على أقل عدد من الأذونات بحيث تقتصر على ما يحتاجون إليه لإنجاز مهامهم. لمزيد من المعلومات حول إدارة الوصول باستخدام التحكم في الوصول استنادًا إلى الدور من Azure، راجع أفضل الممارسات للتحكم في الوصول استنادًا إلى الدور من Azure.

إشعار

تشمل أدوار مسؤول الاشتراك الكلاسيكي مسؤول الخدمة والمسؤول المشارك ما يعادل دور Azure Resource Managerالمالك. يتضمن دور المالك جميع الإجراءات، لذلك يمكن أيضًا للمستخدم الذي يتمتع بأحد هذه الأدوار الإدارية إنشاء وإدارة موارد تكوين التطبيق. لمزيد من المعلومات، راجع أدوار Azure وأدوار Microsoft Entra وأدوار مسؤول الاشتراك الكلاسيكي.

إشعار

عند تعطيل مصادقة مفتاح الوصول ووضع مصادقة ARM لمتجر App Configuration محلي، سيتم أيضا تعطيل القدرة على قراءة/كتابة قيم المفاتيح في قالب ARM. وذلك لأن الوصول إلى مورد Microsoft.AppConfiguration/configurationStores/keyValues المستخدم في قوالب ARM يتطلب مصادقة مفتاح الوصول باستخدام وضع مصادقة ARM المحلي. يوصى باستخدام وضع مصادقة ARM التمريري. لمزيد من المعلومات، راجع نظرة عامة على النشر.

الخطوات التالية

• استخدام المفاتيح التي يديرها العميل لتشفير بيانات تكوين التطبيق
• استخدام نقاط النهاية الخاصة بـ Azure App Configuration