Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bu makalede, Azure App Service uygulamalarına kod dağıtmak için temel kullanıcı adı ve parola kimlik doğrulamasının nasıl devre dışı bırakılacağı açıklanır. Makalede, temel kimlik doğrulamasını devre dışı bırakmanın çeşitli yolları, varsa geri dönüş dağıtım yöntemleri ve temel kimlik doğrulama erişim girişimlerini izleme açıklanmaktadır.
App Service, kullanıcı adı ve parola dağıtım kimlik bilgilerini kullanarak bağlanmak üzere FTP ve Web Dağıtımı istemcileri için temel kimlik doğrulaması sağlar. Temel kimlik doğrulama API'leri sitenizin dosya sistemine göz atmak, sürücüleri ve yardımcı programları karşıya yüklemek ve MSBuild ile dağıtmak için iyidir. Daha fazla bilgi için bkz. Azure App Service için dağıtım kimlik bilgilerini yapılandırma.
Kuruluşlar genellikle Microsoft Entra ID gibi temel kimlik doğrulamasından daha güvenli dağıtım yöntemleri gerektirir. Microsoft Entra OAuth 2.0 erişim belirteçlerinin kullanım ömrü sınırlıdır, verildikleri uygulamalara ve kaynaklara özeldir ve yeniden kullanılamaz. OAuth belirteci tabanlı yetkilendirme, temel kimlik doğrulamasıyla ilgili birçok sorunun azaltılmasına yardımcı olur.
Microsoft Entra, yönetilen kimlikleri kullanarak diğer Azure hizmetlerinden dağıtım yapmanıza da olanak tanır. Daha fazla bilgi için bkz . Azure App Service'te dağıtım yöntemine göre kimlik doğrulama türleri.
Önkoşullar
- Bir uygulamaya FTP erişimi için temel kimlik doğrulamasını devre dışı bırakmak için uygulamaya sahip düzeyinde erişiminiz olmalıdır.
- Düşük ayrıcalıklı kullanıcıların temel kimlik doğrulamasını etkinleştirmesini engelleyecek bir rol oluşturmak ve atamak için abonelikte Sahip veya Kullanıcı Erişimi Yöneticisi izinlerine sahip olmanız gerekir.
Temel kimlik doğrulamayı devre dışı bırakma
FTP dağıtımı için, temel kimlik doğrulaması basicPublishingCredentialsPolicies/ftp bayrağı veya FTP Temel Kimlik Doğrulaması Yayımlama Kimlik Bilgileri portalı seçeneği tarafından kontrol edilmektedir.
Visual Studio, yerel Git ve GitHub gibi temel kimlik doğrulama kullanan diğer dağıtım yöntemleri için, temel kimlik doğrulama, basicPublishingCredentialsPolicies/scm bayrağı veya SCM Temel Kimlik Doğrulama Yayımlama Kimlik Bilgileri portal seçeneği tarafından denetlenmektedir.
Uyarı
SCM temel kimlik doğrulaması, FTP temel kimlik doğrulamasını etkinleştirmek için gereklidir.
Temel kimlik doğrulamasını devre dışı bırakmak için:
Azure portalında Uygulama Hizmetleri'ni arayıp seçin ve ardından uygulamanızı seçin.
Uygulamanın sol gezinti menüsünde Yapılandırma>Genel ayarları'nı seçin.
SCM Temel Kimlik Doğrulama Yayımlama Kimlik Bilgileri, FTP Temel Kimlik Doğrulama Yayımlama Kimlik Bilgileri veya her ikisi için Kapalı'yı ve ardından Kaydet'i seçin.
FTP erişiminin engellendiğini onaylamak için FTP/FTPS kullanarak uygulamanıza bağlanmayı deneyin. 401 Yetkisiz bir mesaj almanız lazım.
Git erişiminin engellendiğini onaylamak için yerel Git dağıtımını deneyin. Kimlik doğrulaması başarısız iletisini almanız gerekir.
Temel kimlik doğrulaması olmadan dağıtın
Temel kimlik doğrulamayı devre dışı bırakırsanız, temel kimlik doğrulamasına bağlı dağıtım yöntemleri artık çalışmaz. Bazı dağıtım yöntemlerinin geri dönüş dağıtım mekanizmaları vardır.
Aşağıdaki tablo, temel kimlik doğrulaması devre dışı bırakıldığında çeşitli dağıtım yöntemlerinin nasıl davrandığını ve varsa geri dönüş mekanizmasını gösterir. Daha fazla bilgi için bkz. Azure Uygulaması Hizmeti'nde dağıtım yöntemlerine göre kimlik doğrulama türleri.
| Dağıtım yöntemi | Temel kimlik doğrulaması devre dışı bırakıldığında |
|---|---|
| Visual Studio dağıtımı | Microsoft Entra kimlik doğrulaması ile dağıtım için Visual Studio 2022 sürüm 17.12 veya üzeri gerekir. |
| FTP | İşe yaramıyor. |
| Yerel Git | İşe yaramıyor. |
| Azure Komut Satırı Arayüzü (Azure CLI) | Azure CLI 2.48.1 veya sonraki sürümlerde aşağıdaki komutlar Microsoft Entra kimlik doğrulamasına geri döner:az webapp up.az webapp deploy.az webapp log deployment show.az webapp log deployment list.az webapp log download.az webapp log tail.az webapp browse.az webapp create-remote-connection.az webapp ssh.az functionapp deploy.az functionapp log deployment list.az functionapp log deployment show.az functionapp deployment source config-zip. |
| Maven eklentisi veya Gradle eklentisi | Çalışır. |
| GitHub Eylemleri | Temel kimlik doğrulaması kullanan mevcut GitHub Actions iş akışları çalışmaz. Mevcut GitHub yapılandırmasının bağlantısını kesin ve kullanıcı tarafından atanan kimliği kullanan yeni bir GitHub Actions yapılandırması oluşturun. Mevcut GitHub Actions dağıtımı el ile yapılandırılmışsa bunun yerine bir hizmet sorumlusu veya OpenID Connect kullanmayı deneyin. Yeni GitHub Actions iş akışları için Kullanıcı tarafından atanan kimlik seçeneğini kullanın. |
| App Service derleme hizmeti ile GitHub kullanımı | İşe yaramıyor. |
| Portal oluşturma sihirbazından dağıtım | Temel kimlik doğrulamasıDevre Dışı Bırak olarak ayarlandığında bir Sürekli dağıtım kaynağı seçerseniz GitHub Actions, kullanıcı tarafından atanan kimlik seçeneği (OpenID Connect) ile yapılandırılır. |
| Bitbucket | İşe yaramıyor. |
| Azure Repos ile App Service derleme hizmeti | İşe yaramıyor. |
| Azure Repos ile Azure Pipelines | Çalışır. |
Görev içeren AzureWebApp |
Çalışır. |
Temel kimlik doğrulamasının etkinleştirilmesini önlemek için özel rol oluşturma
Düşük ayrıcalıklı kullanıcıların herhangi bir uygulama için temel kimlik doğrulamasını etkinleştirmesini önlemek için özel bir rol oluşturabilir ve kullanıcıları role atayabilirsiniz.
Azure portalında, özel rolü oluşturmak istediğiniz aboneliği seçin.
Sol gezinti menüsünde Erişim Denetimi (IAM)>Özel rol ekle'yi> seçin.
Özel rol oluştur sayfasında role bir ad verin ve İleri'yi seçin.
İzinler sekmesinde İzinleri dışla'yı seçin.
Microsoft Web Apps'te arama yapın ve seçin.
microsoft.web/sites/basicPublishingCredentialsPolicies için arama yapın ve genişletin.
Yazma kutusunu seçin ve ardından Ekle'yi seçin. Bu adım, NotActions'a rolü için işlemi ekler.
İzinleri dışla'yı yeniden seçin.
microsoft.web/sites/slots/basicPublishingCredentialsPolicies için arama yapın ve genişletin, Yazma kutusunu seçin ve ardından Ekle'yi seçin.
İzinler sekmeniz artık aşağıdaki ekran görüntüsüne benzemelidir. Gözden geçir ve oluştur'u seçin ve ardından Oluştur seçeneğini belirleyin.
Artık bu rolü kuruluşunuzun kullanıcılarına atayabilirsiniz. Daha fazla bilgi için bkz. Azure portalını kullanarak Azure özel rolleri oluşturma veya güncelleştirme.
Temel kimlik doğrulama girişimlerini izleme
Başarılı ve denenen tüm oturum açma işlemleri Azure İzleyici AppServiceAuditLogs günlük türüne kaydedilir. FTP ve Web Dağıtımında denenen ve başarılı oturum açma girişimlerini denetleme için, Günlükleri Azure İzleyici'ye gönderme adımlarını izleyin ve günlük türü gönderimini AppServiceAuditLogs etkinleştirin.
Günlüklerin seçili hizmetlerinize gönderildiğini onaylamak için FTP veya Web Dağıtımı aracılığıyla oturum açmayı deneyin. Aşağıdaki örnekte bir depolama hesabı günlüğü gösterilmektedir.
{
"time": "2023-10-16T17:42:32.9322528Z",
"ResourceId": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.WEB/SITES/MY-DEMO-APP",
"Category": "AppServiceAuditLogs",
"OperationName": "Authorization",
"Properties": {
"User": "$my-demo-app",
"UserDisplayName": "$my-demo-app",
"UserAddress": "24.19.191.170",
"Protocol": "FTP"
}
}
Kimlik doğrulamasıyla ilgili temel ilkeleri kullanma
Azure İlkesi, kuruluş standartlarını zorunlu kılmanıza ve uygun ölçekte uyumluluğu değerlendirmenize yardımcı olabilir. Azure İlkesi kullanarak, hala temel kimlik doğrulaması kullanan tüm uygulamaları denetleyebilir ve uyumsuz kaynakları düzeltebilirsiniz. Aşağıdaki listede App Service'te temel kimlik doğrulamasını denetlemeye ve düzeltmeye yönelik yerleşik ilkeler gösterilmektedir:
Aşağıdaki listede yuvalar için ilgili ilkeler gösterilmektedir: