App Service 登陸區域加速器的身分識別和存取管理考慮

本文提供身分識別和存取管理的設計考慮和建議，您可以在使用Azure App 服務登陸區域加速器時套用。 驗證和應用程式設定是本文討論的一些考慮。

深入瞭解 身分識別和存取管理 設計區域。

設計考量

當您使用登陸區域加速器來部署 App Service 解決方案時，金鑰身分識別和存取管理有一些重要考慮：

• 判斷應用程式及其資料所需的安全性和隔離等級。 公用存取可讓具有應用程式 URL 的任何人存取應用程式，而私人存取只會限制對已授權使用者和網路的存取。
• 判斷 App Service 解決方案所需的驗證和授權類型：匿名、內部公司使用者、社交帳戶、其他 身分識別提供者 ，或這些類型的組合。
• 當您的 App Service 解決方案連線到受 Microsoft Entra ID 保護的後端資源時，決定是否要使用系統指派或使用者指派的 受控識別 。
• 請考慮建立 自訂角色，在現用角色 需要修改現有許可權時，遵循最低許可權的原則。
• 選擇金鑰、秘密、憑證和應用程式設定的增強式安全性儲存體。
  • 使用 應用程式組態 來共用應用程式、微服務和無伺服器應用程式之間不是密碼、秘密或金鑰的一般組態值。
  • 使用 Azure 金鑰保存庫 。 它提供密碼、連接字串、金鑰、秘密和憑證的增強安全性儲存。 您可以使用金鑰保存庫來儲存秘密，然後透過 App Service 受控識別從 App Service 應用程式存取秘密。 如此一來，您可以協助保護您的秘密，同時仍視需要從您的應用程式提供存取權。

設計建議

您應該將下列最佳做法納入 App Service 部署：

• 如果 App Service 解決方案需要驗證：
  • 如果整個 App Service 解決方案的存取權必須限制為已驗證的使用者，請停用匿名存取。
  • 使用 App Service 的內建驗證和授權 功能，而不是撰寫您自己的驗證和授權碼。
  • 針對不同的 位置 或環境使用不同的應用程式註冊 。
  • 如果 App Service 解決方案僅適用于內部使用者，請使用 用戶端憑證驗證 來提高安全性。
  • 如果 App Service 解決方案適用于外部使用者，請使用 Azure AD B2C 向社交帳戶和 Microsoft Entra 帳戶進行驗證。
• 盡可能使用 Azure 內建角色 。 這些角色的設計目的是要針對特定案例提供一組常用的許可權，例如需要唯讀存取權的使用者讀取者角色，以及需要建立和管理資源之使用者的參與者角色。
  • 如果內建角色不符合您的需求，您可以結合一或多個內建角色的許可權來建立自訂角色。 如此一來，您可以授與使用者所需的確切許可權集，同時仍遵循最低許可權的原則。
  • 定期監視您的 App Service 資源，以確保它們會根據您的安全性原則使用。 這麼做可協助您識別任何未經授權的存取或變更，並採取適當的動作。
• 當您將許可權指派給使用者、群組和服務時，請使用最低許可權原則。 此原則指出，您應該只授與執行特定工作所需的最低許可權，而不再授與許可權。 遵循本指南可協助您降低資源意外或惡意變更的風險。
• 使用系統指派的 受控識別 來存取受 Microsoft Entra ID 保護的增強安全性後端資源。 這麼做可讓您控制 App Service 解決方案可存取哪些資源，以及其對這些資源具有哪些許可權。
• 針對自動化部署，請設定 服務主體 ，其具有從 CI/CD 管線部署的最低必要許可權。
• 啟用 App Service 的診斷記錄 AppServiceHTTPLogs 存取記錄。 您可以使用這些詳細的記錄來診斷應用程式的問題，並監視存取要求。 啟用這些記錄也會提供 Azure 監視器活動記錄，讓您深入瞭解訂用帳戶層級事件。
• 請遵循 App Service Azure 安全性基準的身分識別管理和 特殊許可權存取 區段中所述 的建議。

登陸區域加速器的身分識別和存取管理目標是協助確保已部署的應用程式及其相關聯的資源安全，且只能由授權的使用者存取。 這樣做可協助您保護敏感性資料，並防止濫用應用程式及其資源。