通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

App 服务登陆区域加速器的标识和访问管理注意事项

  • 项目

本文提供有关使用Azure App 服务登陆区域加速器时可以应用的标识和访问管理的设计注意事项和建议。 身份验证和应用配置是本文讨论的一些注意事项。

详细了解标识和访问管理设计领域。

设计注意事项

使用登陆区域加速器部署App 服务解决方案时,密钥标识和访问管理有一些关键注意事项:

  • 确定应用及其数据所需的安全性和隔离级别。 公共访问允许具有应用 URL 的任何人访问应用,而专用访问仅限制对已授权用户和网络的访问。
  • 确定App 服务解决方案所需的身份验证和授权类型:匿名、内部公司用户、社交帐户、其他标识提供者或这些类型的组合。
  • 确定当App 服务解决方案连接到受 Microsoft Entra ID 保护的后端资源时,是使用系统分配的还是用户分配的托管标识
  • 考虑创建自定义 角色,在现用角色需要修改现有权限时遵循最低特权原则。
  • 为密钥、机密、证书和应用程序配置选择增强的安全性存储。
    • 使用 应用配置 共享不是应用程序、微服务和无服务器应用程序之间的密码、机密或密钥的常见配置值。
    • 使用 Azure 密钥库。 它提供密码、连接字符串、密钥、机密和证书的增强安全性存储。 可以使用密钥库存储机密,然后通过App 服务托管标识从App 服务应用程序访问它们。 这样做有助于保护机密,同时仍根据需要从应用程序提供对机密的访问权限。

设计建议

应将以下最佳做法合并到App 服务部署中:

  • 如果App 服务解决方案需要身份验证:
    • 如果需要将整个App 服务解决方案的访问权限限制为经过身份验证的用户,请禁用匿名访问。
    • 使用App 服务的内置身份验证和授权功能,而不是编写自己的身份验证和授权代码。
    • 对单独的或环境使用单独的应用程序注册
    • 如果App 服务解决方案仅适用于内部用户,请使用客户端证书身份验证来提高安全性。
    • 如果App 服务解决方案适用于外部用户,请使用 Azure AD B2C 向社交帐户和 Microsoft Entra 帐户进行身份验证。
  • 尽可能使用 Azure 内置角色 。 这些角色旨在提供特定方案通常需要的一组权限,例如,需要只读访问权限的用户的读取者角色,以及需要创建和管理资源的用户的参与者角色。
    • 如果内置角色不满足需求,可以通过组合一个或多个内置角色的权限创建自定义角色。 这样做可以授予用户所需的确切权限集,同时仍遵循最低权限原则。
    • 定期监视App 服务资源,以确保它们根据安全策略使用。 这样做可以帮助你识别任何未经授权的访问或更改,并采取适当的操作。
  • 将权限分配给用户、组和服务时,请使用最低特权原则。 此原则指出,应仅授予执行特定任务所需的最低权限,并且不再授予这些权限。 遵循本指南可帮助你降低资源意外或恶意更改的风险。
  • 使用系统分配的 托管标识 来访问受 Microsoft Entra ID 保护的增强安全性后端资源。 这样做可以控制App 服务解决方案有权访问哪些资源,以及它对这些资源拥有哪些权限。
  • 对于自动部署,请设置一个 服务主体,该主体 具有从 CI/CD 管道进行部署所需的最低权限。
  • 为App 服务启用诊断日志记录 AppServiceHTTPLogs 访问日志。 可以使用这些详细的日志来诊断应用问题并监视访问请求。 启用这些日志还提供一个 Azure Monitor 活动日志,可让你深入了解订阅级事件。
  • 按照 Azure 安全基线的“标识管理和特权访问”部分中概述的建议进行操作,以便App 服务。

登陆区域加速器的标识和访问管理的目标是帮助确保已部署的应用及其关联的资源是安全的,并且只能由授权用户访问。 这样做有助于保护敏感数据,并防止滥用应用及其资源。