Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo illustra come disabilitare l'autenticazione di base del nome utente e della password per la distribuzione del codice nelle app del servizio app di Azure. L'articolo illustra diversi modi per disabilitare l'autenticazione di base, gli eventuali metodi di distribuzione di fallback e come monitorare i tentativi di accesso tramite autenticazione di base.
Il servizio app fornisce l'autenticazione di base per i client FTP e Distribuzione Web per connettersi usando le credenziali di distribuzione composte da nome utente e password. Le API di autenticazione di base sono utili per esplorare il file system del sito, caricare driver e utilità e distribuirli con MSBuild. Per altre informazioni, vedere Configurare le credenziali di distribuzione per il servizio app di Azure.
Le aziende richiedono spesso metodi di distribuzione più sicuri rispetto all'autenticazione di base, ad esempio Microsoft Entra ID. I token di accesso di Microsoft Entra OAuth 2.0 hanno una durata limitata utilizzabile, sono specifici delle applicazioni e delle risorse per cui vengono rilasciati e non possono essere riutilizzati. L'autorizzazione basata su token OAuth consente di attenuare molti problemi con l'autenticazione di base.
Microsoft Entra consente anche di eseguire la distribuzione da altri servizi di Azure usando identità gestite. Per altre informazioni, vedere Tipi di autenticazione in base al metodo di distribuzione nel servizio app di Azure.
Prerequisiti
- Per disabilitare l'autenticazione di base per l'accesso FTP a un'app, è necessario disporre dell'accesso a livello di proprietario all'app.
- Per creare e assegnare un ruolo per impedire agli utenti con privilegi inferiori di abilitare l'autenticazione di base, è necessario disporre delle autorizzazioni Di proprietario o Amministratore accesso utenti nella sottoscrizione.
Disabilitare l'autenticazione di base
Per la distribuzione FTP, l'autenticazione di base è controllata dal flag basicPublishingCredentialsPolicies/ftp o dall'opzione del portale FTP Basic Auth Publishing Credentials.
Per altri metodi di distribuzione che usano l'autenticazione di base, ad esempio Visual Studio, Git locale e GitHub, l'autenticazione di base è controllata dal basicPublishingCredentialsPolicies/scm flag o dall'opzione SCM Basic Auth Publishing Credentials portal .
Annotazioni
L'autenticazione di base SCM è necessaria per abilitare l'autenticazione di base FTP.
Per disabilitare l'autenticazione di base:
Nel portale di Azure cercare e selezionare Servizi app, quindi selezionare la propria app.
Nel menu di spostamento a sinistra dell'app selezionare Impostazionigenerali>.
Selezionare Disattivato per Credenziali di pubblicazione autenticazione di base SCM, CREDENZIALI di pubblicazione autenticazione di base FTP o entrambe e quindi selezionare Salva.
Per verificare che l'accesso FTP sia bloccato, provare a connettersi all'app tramite FTP/FTPS. Dovrebbe essere visualizzato un messaggio 401 Non autenticato .
Per verificare che l'accesso Git sia bloccato, provare la distribuzione Git locale. Verrà visualizzato un messaggio di autenticazione non riuscito .
Eseguire la distribuzione senza autenticazione di base
Quando si disabilita l'autenticazione di base, i metodi di distribuzione che dipendono dall'autenticazione di base non funzionano più. Alcuni metodi di distribuzione hanno meccanismi alternativi di distribuzione.
La tabella seguente illustra il comportamento dei vari metodi di distribuzione quando l'autenticazione di base è disabilitata e il meccanismo di fallback, se presente. Per altre informazioni, vedere Tipi di autenticazione in base ai metodi di distribuzione in app Azure Servizio.
| Metodo di distribuzione | Quando l'autenticazione di base è disabilitata |
|---|---|
| Distribuzione di Visual Studio | La distribuzione con l'autenticazione di Microsoft Entra richiede Visual Studio 2022 versione 17.12 o successiva. |
| FTP | Non funziona. |
| GIT locale | Non funziona. |
| Interfaccia CLI di Azure | Nell'interfaccia della riga di comando di Azure 2.48.1 o versione successiva, i comandi seguenti escludono l'autenticazione di Microsoft Entra:az webapp up.az webapp deploy.az webapp log deployment show.az webapp log deployment list.az webapp log download.az webapp log tail.az webapp browse.az webapp create-remote-connection.az webapp ssh.az functionapp deploy.az functionapp log deployment list.az functionapp log deployment show.az functionapp deployment source config-zip. |
| Plug-in Maven o plug-in Gradle | Fabbrica. |
| GitHub Actions | I flussi di lavoro di GitHub Actions esistenti che usano l'autenticazione di base non funzionano. Disconnettere la configurazione di GitHub esistente e creare una nuova configurazione di GitHub Actions che usa l'identità assegnata dall'utente. Se la distribuzione di GitHub Actions esistente è configurata manualmente, provare a usare un principale del servizio o OpenID Connect. Per i nuovi flussi di lavoro di GitHub Actions, usare l'opzione Identità assegnata dall'utente . |
| GitHub con il servizio di build di App Service | Non funziona. |
| Distribuzione dalla procedura guidata di creazione del portale | Se si seleziona un'origine di distribuzione continua quando l'autenticazione di base è impostata su Disabilita, GitHub Actions viene configurato con l'opzione di identità assegnata dall'utente (OpenID Connect). |
| Bitbucket | Non funziona. |
| Azure Repos con il servizio di compilazione di App Service | Non funziona. |
| Azure Repos con Azure Pipelines | Fabbrica. |
Azure Pipelines con AzureWebApp attività |
Fabbrica. |
Creare un ruolo personalizzato per impedire l'abilitazione dell'autenticazione di base
Per impedire agli utenti con privilegi inferiori di abilitare l'autenticazione di base per qualsiasi app, è possibile creare un ruolo personalizzato e assegnare gli utenti al ruolo.
Nel portale di Azure selezionare la sottoscrizione in cui si vuole creare il ruolo personalizzato.
Nel menu di spostamento a sinistra selezionare Controllo di accesso (IAM)>Aggiungi>ruolo personalizzato.
Nella pagina Crea un ruolo personalizzato assegnare un nome al ruolo e quindi selezionare Avanti.
Nella scheda Autorizzazioni selezionare Escludi autorizzazioni.
Cercare e selezionare Microsoft Web Apps.
Trova ed espandi microsoft.web/sites/basicPublishingCredentialsPolicies.
Selezionare la casella Scrittura e quindi selezionare Aggiungi. Questo passaggio aggiunge un'operazione a NotActions per il ruolo.
Selezionare di nuovo Escludi autorizzazioni .
Cercare ed espandere microsoft.web/sites/slots/basicPublishingCredentialsPolicies, selezionare la casella Di scrittura e quindi selezionare Aggiungi.
La scheda Autorizzazioni dovrebbe ora essere simile alla schermata seguente. Seleziona Rivedi e crea e quindi seleziona Crea.
È ora possibile assegnare questo ruolo agli utenti dell'organizzazione. Per altre informazioni, vedere Creare o aggiornare ruoli personalizzati di Azure usando il portale di Azure.
Monitorare i tentativi di autenticazione di base
Tutti gli account di accesso riusciti e tentati vengono registrati nel tipo di log di Monitoraggio AppServiceAuditLogs di Azure. Per controllare i tentativi e gli accessi riusciti su FTP e Web Deploy, seguire i passaggi indicati in Inviare log a Monitoraggio di Azure e abilitare l'attivazione del AppServiceAuditLogs tipo di log.
Per verificare che i log vengano inviati ai servizi selezionati, provare ad accedere tramite FTP o Distribuzione Web. L'esempio seguente mostra un log dell'account di archiviazione.
{
"time": "2023-10-16T17:42:32.9322528Z",
"ResourceId": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.WEB/SITES/MY-DEMO-APP",
"Category": "AppServiceAuditLogs",
"OperationName": "Authorization",
"Properties": {
"User": "$my-demo-app",
"UserDisplayName": "$my-demo-app",
"UserAddress": "24.19.191.170",
"Protocol": "FTP"
}
}
Usare criteri correlati all'autenticazione di base
Criteri di Azure consente di applicare gli standard dell'organizzazione e valutare la conformità su larga scala. È possibile usare Criteri di Azure per controllare le app che usano ancora l'autenticazione di base e correggere eventuali risorse non conformi. L'elenco seguente mostra i criteri predefiniti per il controllo e la correzione dell'autenticazione di base nel servizio app:
- Criteri di controllo per FTP
- Criteri di controllo per SCM
- Criteri di correzione per FTP
- Criteri di correzione per SCM
L'elenco seguente mostra i criteri corrispondenti per gli slot:
- Criteri di controllo per FTP
- Criteri di controllo per SCM
- Criteri di correzione per FTP
- Criteri di correzione per SCM
Contenuti correlati
- Tipi di autenticazione in base al metodo di distribuzione nel servizio app di Azure
- Configurare la distribuzione continua nel servizio app di Azure
- Eseguire la distribuzione nel servizio app di Azure usando GitHub Actions
- Eseguire la distribuzione nel servizio app di Azure usando Git in locale
- Distribuire l'app nel servizio app di Azure usando FTP/S