App Service dağıtımlarında temel kimlik doğrulamayı devre dışı bırakma

Bu makalede, App Service uygulamalarına kod dağıtırken temel kimlik doğrulamasını (kullanıcı adı ve parola kimlik doğrulaması) nasıl devre dışı bırakabileceğiniz gösterilmektedir.

App Service, FTP ve WebDeploy istemcilerinin dağıtım kimlik bilgilerini kullanarak bağlanması için temel kimlik doğrulaması sağlar. Bu API'ler sitenizin dosya sistemine göz atmak, sürücüleri ve yardımcı programları karşıya yüklemek ve MsBuild ile dağıtmak için mükemmeldir. Ancak kuruluşlar genellikle Microsoft Entra ID kimlik doğrulaması gibi temel kimlik doğrulamasından daha güvenli dağıtım yöntemleri gerektirir (bkz. Azure Uygulaması Service'te dağıtım yöntemlerine göre kimlik doğrulama türleri). Microsoft Entra, OAuth 2.0 belirteç tabanlı yetkilendirmeyi kullanır ve temel kimlik doğrulaması sorunlarını azaltmaya yardımcı olan birçok avantaj ve iyileştirmeye sahiptir. Örneğin, OAuth erişim belirteçlerinin kullanım ömrü sınırlıdır ve bunların verildiği uygulamalara ve kaynaklara özeldir, bu nedenle yeniden kullanılamazlar. Microsoft Entra, yönetilen kimlikleri kullanarak diğer Azure hizmetlerinden dağıtım yapmanıza da olanak tanır.

Temel kimlik doğrulamayı devre dışı bırakma

Temel kimlik doğrulaması için iki farklı denetim sağlanır. Özellikle:

• FTP dağıtımı için, temel kimlik doğrulaması bayrağı tarafından basicPublishingCredentialsPolicies/ftp denetlenmektedir (portalda FTP Temel Kimlik Doğrulama Yayımlama Kimlik Bilgileri seçeneği).
• Visual Studio, yerel Git ve GitHub gibi temel kimlik doğrulamasını kullanan diğer dağıtım yöntemleri için, temel kimlik doğrulaması bayrağı (portalda SCM Temel Kimlik Doğrulama Yayımlama Kimlik Bilgileri seçeneği) tarafından basicPublishingCredentialsPolicies/scm denetlenmektedir.

Azure portalı

1. Azure portalında Uygulama Hizmetleri'ni arayıp seçin ve ardından uygulamanızı seçin.

2. Uygulamanın sol menüsünde Yapılandırma>Genel ayarları'nı seçin.

3. SCM Temel Kimlik Doğrulama Yayımlama Kimlik Bilgileri veya FTP Temel Kimlik Doğrulama Yayımlama Kimlik Bilgileri için Kapalı'yı ve ardından Kaydet'i seçin.

   

Azure CLI

Azure CLI ile temel kimlik doğrulamasını devre dışı bırakırken, biri FTP, diğeri WebDeploy ve Git için olmak üzere yapılandırabileceğiniz iki farklı ayar vardır.

FTP için devre dışı bırak

Temel kimlik doğrulaması kullanarak FTP erişimini devre dışı bırakmak için uygulamaya sahip düzeyinde erişiminiz olmalıdır. Yer tutucuları kaynak grubu adınız ve uygulama adınız ile değiştirerek aşağıdaki CLI komutunu çalıştırın:

az resource update --resource-group <group-name> --name ftp --namespace Microsoft.Web --resource-type basicPublishingCredentialsPolicies --parent sites/<app-name> --set properties.allow=false

WebDeploy ve Git için devre dışı bırak

WebDeploy bağlantı noktasına ve Git dağıtım URL'sine (https://< app-name.scm.azurewebsites.net>) temel kimlik doğrulama erişimini devre dışı bırakmak için aşağıdaki CLI komutunu çalıştırın. Yer tutucuları kaynak grubu adınız ve uygulama adınız ile değiştirin.

az resource update --resource-group <resource-group> --name scm --namespace Microsoft.Web --resource-type basicPublishingCredentialsPolicies --parent sites/<app-name> --set properties.allow=false

FTP erişiminin engellendiğini onaylamak için FTP/S kullanarak uygulamanıza bağlanmayı deneyin. Bir mesaj almalısınız 401 Unauthenticted .

Git erişiminin engellendiğini onaylamak için yerel Git dağıtımını deneyin. Bir ileti almalısınız Authentication failed .

Temel kimlik doğrulaması olmadan dağıtım

Temel kimlik doğrulamasını devre dışı bıraktığınızda, temel kimlik doğrulamasına bağlı dağıtım yöntemleri çalışmayı durdurur.

Aşağıdaki tabloda, temel kimlik doğrulaması devre dışı bırakıldığında çeşitli dağıtım yöntemlerinin nasıl davrandığını ve herhangi bir geri dönüş mekanizması olup olmadığını gösterir. Daha fazla bilgi için bkz. Azure Uygulaması Hizmeti'nde dağıtım yöntemlerine göre kimlik doğrulama türleri.

Dağıtım yöntemi	Temel kimlik doğrulaması devre dışı bırakıldığında
Visual Studio dağıtımı	İşe yaramıyor.
FTP	İşe yaramıyor.
Yerel Git	İşe yaramıyor.
Azure CLI	Azure CLI 2.48.1 veya sonraki sürümlerde aşağıdaki komutlar Microsoft Entra kimlik doğrulamasına geri döner: - az webapp up - az webapp deploy - az webapp deployment source config-zip - az webapp log deployment show - az webapp log deployment list - az webapp log download - az webapp log tail - az webapp browse - az webapp create-remote-connection - az webapp ssh - az functionapp deploy - az functionapp log deployment list - az functionapp log deployment show - az functionapp deployment source config-zip
Maven eklentisi veya Gradle eklentisi	Çalışır.
App Service Derleme Hizmeti ile GitHub	İşe yaramıyor.
GitHub Actions	- Temel kimlik doğrulaması kullanan mevcut bir GitHub Actions iş akışı kimlik doğrulaması yapamaz. Dağıtım Merkezi'nde mevcut GitHub yapılandırmasının bağlantısını kesin ve bunun yerine kullanıcı tarafından atanan kimlik seçeneğiyle yeni bir GitHub Actions yapılandırması oluşturun. - Mevcut GitHub Actions dağıtımı el ile yapılandırılmışsa bunun yerine hizmet sorumlusu veya OpenID Bağlan kullanmayı deneyin. - Dağıtım Merkezi'ndeki yeni GitHub Actions yapılandırması için kullanıcı tarafından atanan kimlik seçeneğini kullanın.
Oluşturma sihirbazında dağıtım	Temel kimlik doğrulaması Devre Dışı Bırak ve Sürekli dağıtım Etkinleştir olarak ayarlandığında GitHub Actions, kullanıcı tarafından atanan kimlik seçeneği (OpenID Bağlan) ile yapılandırılır.
App Service Derleme Hizmeti ile Azure Repos	İşe yaramıyor.
BitBucket	İşe yaramıyor.
AzureWebApp ile Azure Pipelines görevi	Çalışır.
AzureRmWebAppDeployment ile Azure Pipelines görevi	- Geri dönüş davranışı elde etmek için en son AzureRmWebAppDeployment görevini kullanın. - Temel kimlik doğrulaması kullandığından Yayımlama Profili (PublishProfile) bağlantı türü çalışmıyor. Bağlantı türünü Azure Resource Manager (AzureRM)olarak değiştirin. - Windows Pipelines olmayan aracılarda kimlik doğrulaması çalışır. - Windows aracılarında, görev tarafından kullanılan dağıtım yönteminin değiştirilmesi gerekebilir. Web Dağıtımı kullanıldığında (DeploymentType: 'webDeploy') ve temel kimlik doğrulaması devre dışı bırakıldığında, görev bir Microsoft Entra belirteci ile kimlik doğrulaması yapar. Aracıyı kullanmıyorsanız veya şirket içinde barındırılan windows-latest bir aracı kullanıyorsanız ek gereksinimler vardır. Daha fazla bilgi için bkz. Windows aracımdan Microsoft Entra kimlik doğrulamasını kullanarak Azure Uygulaması Hizmetime Web Dağıtamıyorum. - Zip dağıtımı veya paketten çalıştırma gibi diğer dağıtım yöntemleri çalışır.

Temel kimlik doğrulaması için izinleri olmayan özel bir rol oluşturma

Daha düşük maliyetli bir kullanıcının herhangi bir uygulama için temel kimlik doğrulamasını etkinleştirmesini önlemek için özel bir rol oluşturabilir ve kullanıcıyı role atayabilirsiniz.

Azure portalı

1. Azure portalının üst menüsünde, özel rolü oluşturmak istediğiniz aboneliği arayın ve seçin.

2. Sol gezinti bölmesinden Erişim Denetimi (IAM)>Özel rol ekle'yi>seçin.

3. Temel sekmesini istediğiniz gibi ayarlayın ve İleri'yi seçin.

4. İzinler sekmesinde İzinleri dışla'yı seçin.

5. Microsoft Web Apps'i bulup seçin, ardından aşağıdaki işlemleri arayın:

   Operasyon	Açıklama
   microsoft.web/sites/basicPublishingCredentialsPolicies/ftp	App Service uygulamaları için FTP yayımlama kimlik bilgileri.
   microsoft.web/sites/basicPublishingCredentialsPolicies/scm	App Service uygulamaları için SCM yayımlama kimlik bilgileri.
   microsoft.web/sites/slots/basicPublishingCredentialsPolicies/ftp	App Service yuvaları için FTP yayımlama kimlik bilgileri.
   microsoft.web/sites/slots/basicPublishingCredentialsPolicies/scm	App Service yuvaları için SCM yayımlama kimlik bilgileri.

6. Bu işlemlerin her birinin altında, Yazma kutusunu seçin ve ardından Ekle'yi seçin. Bu adım, işlemi rol için NotActions olarak ekler.

   İzinler sekmeniz aşağıdaki ekran görüntüsüne benzer olmalıdır:

   

7. Gözden Geçir + oluştur’u ve sonra da Oluştur’u seçin.

8. Artık bu rolü kuruluşunuzun kullanıcılarına atayabilirsiniz.

Daha fazla bilgi için bkz. Azure portalını kullanarak Azure özel rolleri oluşturma veya güncelleştirme

Azure CLI

Aşağıdaki komutta rol-adı> ve <abonelik guid'sini> (aboneliğinizin GUID'siyle) değiştirin <ve cloud shell'de çalıştırın:

az role definition create --role-definition '{
    "Name": "<role-name>",
    "IsCustom": true,
    "Description": "Prevents users from enabling basic authentication for all App Service apps or slots.",
    "NotActions": [
        "Microsoft.Web/sites/basicPublishingCredentialsPolicies/ftp/Write",
        "Microsoft.Web/sites/basicPublishingCredentialsPolicies/scm/Write",
        "Microsoft.Web/sites/slots/basicPublishingCredentialsPolicies/ftp/Write",
        "Microsoft.Web/sites/slots/basicPublishingCredentialsPolicies/scm/Write"
    ],
    "AssignableScopes": ["/subscriptions/<subscription-guid>"]
}'

Artık bu rolü kuruluşunuzun kullanıcılarına atayabilirsiniz.

Daha fazla bilgi için bkz . Azure CLI kullanarak Azure özel rolleri oluşturma veya güncelleştirme.

Temel kimlik doğrulama girişimlerini izleme

Başarılı ve denenen tüm oturum açma işlemleri Azure İzleyici AppServiceAuditLogs günlük türüne kaydedilir. FTP ve WebDeploy'da denenen ve başarılı oturum açma adımlarını denetlemek için Günlükleri Azure İzleyici'ye gönderme ve günlük türünün gönderilmesini AppServiceAuditLogs etkinleştirme bölümündeki adımları izleyin.

Günlüklerin seçtiğiniz hizmetlere gönderildiğini onaylamak için FTP veya WebDeploy aracılığıyla oturum açmayı deneyin. Aşağıdaki örnekte Depolama Hesap günlüğü gösterilmektedir.

{
  "time": "2023-10-16T17:42:32.9322528Z",
  "ResourceId": "/SUBSCRIPTIONS/EF90E930-9D7F-4A60-8A99-748E0EEA69DE/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.WEB/SITES/MY-DEMO-APP",
  "Category": "AppServiceAuditLogs",
  "OperationName": "Authorization",
  "Properties": {
    "User": "$my-demo-app",
    "UserDisplayName": "$my-demo-app",
    "UserAddress": "24.19.191.170",
    "Protocol": "FTP"
  }
}

Kimlik doğrulamasıyla ilgili temel ilkeler

Azure İlkesi, kuruluş standartlarını zorunlu kılmanıza ve uygun ölçekte uyumluluğu değerlendirmenize yardımcı olabilir. Azure İlkesi kullanarak, hala temel kimlik doğrulaması kullanan tüm uygulamaları denetleyebilir ve uyumsuz kaynakları düzeltebilirsiniz. App Service'te temel kimlik doğrulamasını denetlemeye ve düzeltmeye yönelik yerleşik ilkeler aşağıdadır:

• FTP için denetim ilkesi
• SCM için denetim ilkesi
• FTP için düzeltme ilkesi
• SCM için düzeltme ilkesi

Yuvalar için karşılık gelen ilkeler şunlardır:

• FTP için denetim ilkesi
• SCM için denetim ilkesi
• FTP için düzeltme ilkesi
• SCM için düzeltme ilkesi

Sık sorulan sorular

Visual Studio'da neden temel kimlik doğrulamasının devre dışı bırakıldığını belirten bir uyarı alıyorum?

Visual Studio, Azure Uygulaması Hizmetine dağıtmak için temel kimlik doğrulaması gerektirir. Uyarı, uygulamanızdaki yapılandırmanın değiştiğini ve artık buna dağıtamayabileceğinizi anımsatır. Uygulamada temel kimlik doğrulamasını kendiniz devre dışı bırakmış veya kuruluş ilkeniz App Service uygulamaları için temel kimlik doğrulamasının devre dışı bırakıldığını zorunlu kılmıştır.