مشاركة عبر

اعتبارات إدارة الهوية والوصول لمسرع منطقة خدمة التطبيقات المنتقل إليها

  • مقالة

توفر هذه المقالة اعتبارات التصميم والتوصيات لإدارة الهوية والوصول التي يمكنك تطبيقها عند استخدام مسرع المنطقة المنتقل إليها في Azure App Service. المصادقة وتكوين التطبيق هي بعض الاعتبارات التي تتناولها هذه المقالة.

تعرف على المزيد حول منطقة تصميم إدارة الهوية والوصول .

اعتبارات التصميم

عند استخدام مسرع المنطقة المنتقل إليها لنشر حل App Service، هناك بعض الاعتبارات الرئيسية لإدارة الهوية والوصول الرئيسية:

  • تحديد مستوى الأمان والعزل المطلوب للتطبيق وبياناته. يسمح الوصول العام لأي شخص لديه عنوان URL للتطبيق بالوصول إلى التطبيق، بينما يقيد الوصول الخاص الوصول إلى المستخدمين والشبكات المعتمدين فقط.
  • حدد نوع المصادقة والتخويل المطلوب لحل App Service الخاص بك: مستخدمو الشركة المجهولون أو الداخليون أو الحسابات الاجتماعية أو موفر الهوية الآخر أو مزيج من هذه الأنواع.
  • حدد ما إذا كنت تريد استخدام الهويات المدارة المعينة من قبل النظام أو المعينة من قبل المستخدم عند اتصال حل App Service بالموارد الخلفية المحمية بواسطة Azure Active Directory (Azure AD).
  • ضع في اعتبارك إنشاء أدوار مخصصة، باتباع مبدأ الامتياز الأقل عندما تتطلب الأدوار الجاهزة تعديلات على الأذونات الموجودة.
  • اختر تخزين الأمان المحسن للمفاتيح والأسرار والشهادات وتكوين التطبيق.
    • استخدم تكوين التطبيق لمشاركة قيم التكوين الشائعة التي ليست كلمات مرور أو أسرار أو مفاتيح بين التطبيقات والخدمات المصغرة والتطبيقات بلا خادم.
    • استخدم Azure Key Vault. يوفر تخزينا محسنا للأمان لكلمات المرور وسلاسل الاتصال والمفاتيح والأسرار والشهادات. يمكنك استخدام Key Vault لتخزين أسرارك ثم الوصول إليها من تطبيق App Service عبر الهوية المدارة ل App Service. من خلال القيام بذلك، يمكنك المساعدة في الحفاظ على سريتك آمنة مع الاستمرار في توفير الوصول إليها من تطبيقك حسب الحاجة.

توصيات التصميم

يجب دمج أفضل الممارسات التالية في عمليات توزيع App Service:

  • إذا كان حل App Service يتطلب المصادقة:
  • استخدم أدوار Azure المضمنة كلما أمكن ذلك. تم تصميم هذه الأدوار لتوفير مجموعة من الأذونات المطلوبة عادة لسيناريوهات معينة، مثل دور القارئ للمستخدمين الذين يحتاجون إلى الوصول للقراءة فقط ودور المساهم للمستخدمين الذين يحتاجون إلى أن يكونوا قادرين على إنشاء الموارد وإدارتها.
    • إذا لم تلبي الأدوار المضمنة احتياجاتك، يمكنك إنشاء أدوار مخصصة عن طريق الجمع بين الأذونات من دور واحد أو أكثر من الأدوار المضمنة. من خلال القيام بذلك، يمكنك منح المجموعة الدقيقة من الأذونات التي يحتاجها المستخدمون أثناء اتباع مبدأ الامتياز الأقل.
    • راقب موارد App Service بانتظام للتأكد من استخدامها وفقا لنهج الأمان الخاصة بك. يمكن أن يساعدك القيام بذلك في تحديد أي وصول أو تغييرات غير مصرح بها واتخاذ الإجراءات المناسبة.
  • استخدم مبدأ الامتياز الأقل عند تعيين أذونات للمستخدمين والمجموعات والخدمات. ينص هذا المبدأ على أنه يجب منح الحد الأدنى فقط من الأذونات المطلوبة لتنفيذ المهمة المحددة، وليس أكثر من ذلك. يمكن أن يساعدك اتباع هذه الإرشادات في تقليل مخاطر التغييرات العرضية أو الضارة على مواردك.
  • استخدم الهويات المدارة المعينة من قبل النظام للوصول، مع أمان محسن، وموارد خلفية محمية بواسطة Azure AD. يتيح لك القيام بذلك التحكم في الموارد التي يمكن لحل App Service الوصول إليها والأذونات التي يمتلكها لتلك الموارد.
  • للتوزيع التلقائي، قم بإعداد كيان خدمة لديه الحد الأدنى من الأذونات المطلوبة للتوزيع من البنية الأساسية لبرنامج ربط العمليات التجارية CI/CD.
  • تمكين سجلات الوصول إلى AppServiceHTTPLogs للتسجيل التشخيصي ل App Service. يمكنك استخدام هذه السجلات التفصيلية لتشخيص المشكلات المتعلقة بتطبيقك ومراقبة طلبات الوصول. يوفر تمكين هذه السجلات أيضا سجل نشاط Azure Monitor الذي يمنحك نظرة ثاقبة على الأحداث على مستوى الاشتراك.
  • اتبع التوصيات الموضحة في أقسام إدارة الهويةوالوصول المتميز من أساس أمان Azure لخدمة التطبيقات.

الهدف من إدارة الهوية والوصول لمسرع المنطقة المنتقل إليها هو المساعدة في ضمان أن التطبيق المنشور والموارد المرتبطة به آمنة ولا يمكن الوصول إليها إلا من قبل المستخدمين المعتمدين. يمكن أن يساعدك القيام بذلك على حماية البيانات الحساسة ومنع إساءة استخدام التطبيق وموارده.