مشاركة عبر

تعطيل المصادقة كقالب ARM

  • مقالة

يتم استخدام الرموز المميزة ل Azure AD عند مصادقة مستخدمي السجل باستخدام ACR. بشكل افتراضي، يقبل Azure Container Registry (ACR) رموز Azure AD المميزة مع مجموعة نطاق جمهور ل Azure Resource Manager (ARM)، وهي طبقة إدارة وحدة تحكم لإدارة موارد Azure.

من خلال تعطيل الرموز المميزة لجمهور ARM وفرض الرموز المميزة لجمهور ACR، يمكنك تحسين أمان سجلات الحاويات أثناء عملية المصادقة عن طريق تضييق نطاق الرموز المميزة المقبولة.

مع فرض الرمز المميز لجمهور ACR، سيتم قبول رموز Azure AD المميزة فقط مع نطاق جمهور معين خصيصا ل ACR أثناء مصادقة التسجيل وعملية تسجيل الدخول. وهذا يعني أن الرموز المميزة لجمهور ARM المقبولة مسبقا لن تكون صالحة لمصادقة السجل، وبالتالي تعزيز أمان سجلات الحاويات الخاصة بك.

في هذا البرنامج التعليمي، تتعلم كيفية:

  • تعطيل المصادقة كذرذر في ACR - Azure CLI.
  • تعطيل المصادقة كذرذر في مدخل ACR - Azure.

المتطلبات الأساسية

تعطيل المصادقة كذرذر في ACR - Azure CLI

سيؤدي تعطيل azureADAuthenticationAsArmPolicy إلى إجبار السجل على استخدام الرمز المميز لجمهور ACR. يمكنك استخدام الإصدار 2.40.0 من Azure CLI أو أحدث، وتشغيل az --version للعثور على الإصدار.

  1. قم بتشغيل الأمر لإظهار التكوين الحالي لنهج السجل للمصادقة باستخدام رموز ARM المميزة مع السجل. إذا كانت الحالة هي enabled، فيمكن استخدام كل من ACRs ورمز جمهور ARM للمصادقة. إذا كانت الحالة هي disabled ، فهذا يعني أنه يمكن استخدام الرموز المميزة للجمهور ACR فقط للمصادقة.

    az acr config authentication-as-arm show -r <registry>

  2. قم بتشغيل الأمر لتحديث حالة نهج السجل.

    az acr config authentication-as-arm update -r <registry> --status [enabled/disabled]

تعطيل المصادقة كجهاز في مدخل ACR - Azure

سيؤدي تعطيل الخاصية authentication-as-arm عن طريق تعيين نهج مضمن إلى تعطيل خاصية التسجيل للسجلات الحالية والمستقبلية تلقائيا. هذا السلوك التلقائي هو للسجلات التي تم إنشاؤها ضمن نطاق النهج. تتضمن نطاقات النهج المحتملة إما نطاق مستوى مجموعة الموارد أو نطاق مستوى معرف الاشتراك داخل المستأجر.

يمكنك تعطيل المصادقة كذرذر في ACR، باتباع الخطوات التالية:

  1. قم بتسجيل الدخول إلى بوابة Azure.

  2. راجع تعريفات النهج المضمنة ل ACR في تعريف azure-container-registry-built-in-policy.

  3. تعيين نهج مضمن لتعطيل تعريف المصادقة كجهاز - مدخل Microsoft Azure.

تعيين تعريف نهج مضمن لتعطيل مصادقة الرمز المميز لجمهور ARM - مدخل Microsoft Azure.

يمكنك تمكين نهج الوصول المشروط للسجل في مدخل Microsoft Azure.

يحتوي Azure Container Registry على تعريفين مضمنين للنهج لتعطيل المصادقة كذرذر، كما يلي:

  • Container registries should have ARM audience token authentication disabled. - سيقوم هذا النهج بالإبلاغ عن أي موارد غير متوافقة، وحظرها، وإرسال طلب أيضا لتحديث غير متوافق إلى متوافق.

  • Configure container registries to disable ARM audience token authentication. - يوفر هذا النهج المعالجة ويحدث الموارد المتوافقة مع الموارد المتوافقة.

    1. قم بتسجيل الدخول إلى بوابة Azure.

    2. انتقل إلى مجموعة> موارد Azure Container Registry>الإعدادات> Policies .

      Screenshot showing how to navigate Azure policies.

    3. انتقل إلى نهج Azure، في التعيينات، حدد تعيين نهج.

      Screenshot showing how to assign a policy.

    4. ضمن تعيين النهج ، استخدم عوامل التصفية للبحث والعثور على النطاق، وتعريف النهج، واسم التعيين.

      Screenshot of the assign policy tab.

    5. حدد النطاق لتصفية الاشتراك ومجموعة الموارد والبحث عنهما واختر تحديد.

      Screenshot of the Scope tab.

    6. حدد Policy definition لتصفية تعريفات النهج المضمنة والبحث فيها عن نهج الوصول المشروط.

      Screenshot of built-in-policy-definitions.

    7. استخدم عوامل التصفية لتحديد النطاق وتعريف النهج واسم التعيين وتأكيدهما.

    8. استخدم عوامل التصفية للحد من حالات الامتثال أو للبحث عن السياسات.

    9. قم بتأكيد الإعدادات الخاصة بك وتعيين فرض النهج على أنه ممكن.

    10. حدد "مراجعة + إنشاء".

      Screenshot to activate a Conditional Access policy.

الخطوات التالية

إنشاء نهج الوصول المشروط وتكوينه