Configurer les informations d’identification de déploiement pour Azure App Service

Pour sécuriser le déploiement d’applications à partir d’un ordinateur local, Azure App Service prend en charge deux types d’informations d’identification pour le déploiement Git local et le déploiement FTP/S. Ces informations d’identification ne sont pas les mêmes que les informations d’identification de votre abonnement Azure.

  • Informations d’identification au niveau de l’utilisateur : un seul ensemble d’informations d’identification pour l’intégralité du compte Azure. Il peut être utilisé pour déployer sur App Service pour n’importe quelle application et dans n’importe quel abonnement auxquels le compte Azure est autorisé à accéder. C’est l’ensemble par défaut qui est présenté dans l’interface utilisateur graphique du portail, comme la vue d’ensemble et les propriétés de la page Ressources de l’application. Lorsqu'un utilisateur est autorisé à accéder à l’application via le contrôle d’accès en fonction du rôle (RBAC) ou des autorisations de coadmin, il peut se servir de ses propres informations d’identification tant que l’accès n’est pas révoqué. Ne partagez pas ces informations d’identification avec d’autres utilisateurs d’Azure.

  • Informations d’identification au niveau de l’application : un seul ensemble d’informations d’identification pour chaque application. Celui-ci peut être utilisé pour déployer sur cette application uniquement. Les informations d’identification de chaque application sont générées automatiquement à la création de l’application. Elles ne peuvent pas être configurées manuellement, mais peuvent être réinitialisées à tout moment. Pour qu’un utilisateur puisse accéder aux informations d’identification de niveau application via RBAC, il doit avoir un rôle de contributeur ou supérieur sur l’application (y compris le rôle intégré de contributeur de site web). Les lecteurs ne sont pas autorisés à publier et n’ont pas accès à ces informations d’identification.

Remarque

Lorsque l’authentification de base est désactivée, vous ne pouvez pas afficher ni configurer les informations d’identification de déploiement dans le Centre de déploiement.

Configurer les informations d’identification de portée utilisateur

Exécutez la commande az webapp deployment user set. Remplacez <username> et <password> par un nom d’utilisateur et un mot de passe de déploiement.

  • Le nom d’utilisateur doit être unique dans Azure et, pour les push Git locaux, ne doit pas contenir le symbole « @ ».
  • Le mot de passe doit comporter au moins huit caractères et inclure deux des trois éléments suivants : lettres, chiffres et symboles.
az webapp deployment user set --user-name <username> --password <password>

La sortie JSON affiche le mot de passe comme étant null.

Utiliser les informations d’identification de portée utilisateur avec FTP/FTPS

L’authentification auprès d’un point de terminaison FTP/FTPS à l’aide d’informations d’identification de portée utilisateur nécessite un nom d’utilisateur au format suivant : <app-name>\<user-name>

Dans la mesure où les informations d’identification de portée utilisateur sont liées à l’utilisateur et non à une ressource spécifique, le nom d’utilisateur doit respecter ce format pour que l’action de connexion soit dirigée vers le point de terminaison d’application approprié.

Obtenir des informations d’identification de portée application

Récupérez les informations d’identification de portée application à l’aide de la commande az webapp deployment list-publishing-profiles. Par exemple :

az webapp deployment list-publishing-profiles --resource-group <group-name> --name <app-name>

Pour le déploiement Git local, vous pouvez également utiliser la commande az webapp deployment list-publishing-credentials pour obtenir un URI distant Git pour votre application, avec les informations d’identification de portée application déjà incorporées. Par exemple :

az webapp deployment list-publishing-credentials --resource-group <group-name> --name <app-name> --query scmUri

Notez que l’URI distant Git retourné ne contient pas /<app-name>.git à la fin. Quand vous ajoutez l’URI distant, veillez à ajouter /<app-name>.git pour éviter une erreur 22 avec git-http-push. De plus, quand vous utilisez git remote add ... via des interpréteurs de commandes qui utilisent le signe dollar pour l’interpolation de variables (comme bash), placez les signes dollar (\$) dans une séquence d’échappement dans le nom d’utilisateur ou le mot de passe. Si ce caractère n’est pas placé dans une séquence d’échappement, des erreurs d’authentification peuvent se produire.

Réinitialiser des informations d’identification de portée application

Réinitialisez les informations d’identification de portée application à l’aide de la commande az resource invoke-action :

az resource invoke-action --action newpassword --resource-group <group-name> --name <app-name> --resource-type Microsoft.Web/sites

Désactiver l’authentification de base

Consultez Désactiver l’authentification de base dans les déploiements App Service.

Étapes suivantes

Découvrez comment utiliser ces informations d’identification pour déployer votre application à partir de Git local ou à l’aide de FTP/S.