البرنامج التعليمي: الاتصال بـ SQL Database من .NET App Service دون بيانات سرية باستخدام الهوية المُدارة

مقالة
04/17/2024

توفر App Service خدمة استضافة ويب قابلة للتطوير وذاتية التصحيح في Azure. كما توفر الهوية المدارة لتطبيقك، وهو حل تحويل المفتاح لتأمين الوصول إلى قاعدة بيانات Azure SQL وخدمات Azure الأخرى. تجعل الهويات المدارة في App Service تطبيقك أكثر أمانًا عن طريق إزالة الأسرار من تطبيقك، مثل بيانات الاعتماد في سلاسل الاتصال. في هذا البرنامج التعليمي، يمكنك إضافة هوية مدارة إلى نموذج تطبيق الويب الذي أنشأته في أحد البرامج التعليمية التالية:

عند الانتهاء، سيتصل تطبيق العينة بقاعدة بيانات SQL بشكل آمن دون الحاجة إلى اسم المستخدم وكلمات المرور.

مخطط هندسة سيناريو البرنامج التعليمي.

إشعار

الخطوات المغطاة بهذا البرنامج التعليمي تدعم الإصدارات التالية:

NET Framework 4.8 وما فوق
NET 6.0 وما فوق

للحصول على إرشادات بشأن Azure Database for MySQL أو Azure Database for PostgreSQL في أطر عمل اللغات الأخرى (Node.js وPython وJava)، راجع البرنامج التعليمي: الاتصال بقواعد بيانات Azure من App Service دون بيانات سرية باستخدام الهوية المُدارة.

سوف تتعلم ما يلي:

تمكين هويات مُدارة
منح قاعدة بيانات SQL الوصول إلى الهوية المدارة
تكوين Entity Framework لاستخدام مصادقة Microsoft Entra مع قاعدة بيانات SQL
الاتصال إلى قاعدة بيانات SQL من Visual Studio باستخدام مصادقة Microsoft Entra

إشعار

تختلف مصادقة Microsoft Entra عنمصادقة Windows المتكاملة في Active Directory محلي (AD DS). يستخدم AD DS ومعرف Microsoft Entra بروتوكولات مصادقة مختلفة تماما. لمزيد من المعلومات، راجع وثائق Microsoft Entra Domain Services.

إذا لم يكن لديك اشتراك في Azure، فأنشئ حساب Azure مجاني قبل أن تبدأ.

المتطلبات الأساسية

تستمر هذه المقالة من حيث توقفت في أي من الدروس التالية:

إذا لم تكن قد فعلت ذلك بالفعل، فاتبع أحد البرنامجين التعليميين أولًا. بدلاً من ذلك، يمكنك تكييف الخطوات لتطبيق .NET الخاص بك مع قاعدة بيانات SQL.

لتصحيح تطبيقك باستخدام قاعدة بيانات SQL كواجهة خلفية، تأكد من السماح باتصال العميل من الكمبيوتر. إذا لم يكن كذلك، قم بإضافة IP العميل باتباع الخطوات في إدارة قواعد جدار حماية IP على مستوى الخادم باستخدام مدخل Azure.

تحضير البيئة الخاصة بك لـAzure CLI.

استخدم بيئة Bash في Azure Cloud Shell. لمزيد من المعلومات، راجع التشغيل السريع ل Bash في Azure Cloud Shell.
إذا كنت تفضل تشغيل أوامر مرجع CLI محلياً قم بتثبيت CLI Azure. إذا كنت تعمل على نظام تشغيل Windows أو macOS، ففكر في تشغيل Azure CLI في حاوية Docker. لمزيد من المعلومات، راجع كيفية تشغيل Azure CLI في حاوية Docker.
- إذا كنت تستخدم تثبيت محلي، يُرجى تسجيل الدخول إلى Azure CLI مستخدمًا أمر az login. لإنهاء عملية المصادقة، اتبع الخطوات المعروضة في جهازك. للحصول على خيارات أخرى لتسجيل دخول، راجع تسجيل الدخول باستخدام Azure CLI.
- عندما يُطلب منك، قم بتثبيت ملحق Azure CLI عند الاستخدام لأول مرة. لمزيد من المعلومات بشأن الامتدادات، راجع استخدام امتدادات مع Azure CLI.
- يُرجى تشغيل إصدار az للوصول إلى الإصدار والمكتبات التابعة التي تم تثبيتها. للتحديث لآخر إصدار، يُرجى تشغيل تحديث az.

1. منح حق الوصول إلى قاعدة البيانات إلى مستخدم Microsoft Entra

أولا، قم بتمكين مصادقة Microsoft Entra إلى قاعدة بيانات SQL عن طريق تعيين مستخدم Microsoft Entra كمسؤول الخادم. يختلف هذا المستخدم عن حساب Microsoft الذي استخدمته لاشتراك Azure. يجب أن يكون مستخدما قمت بإنشائه أو استيراده أو مزامنته أو دعوته إلى معرف Microsoft Entra. لمزيد من المعلومات حول مستخدمي Microsoft Entra المسموح لهم، راجع ميزات وقيود Microsoft Entra في قاعدة بيانات SQL.

إذا لم يكن لدى مستأجر Microsoft Entra مستخدم حتى الآن، فبادر بإنشاء مستخدم باتباع الخطوات الواردة في إضافة مستخدمين أو حذفهم باستخدام معرف Microsoft Entra.
ابحث عن معرف الكائن لمستخدم Microsoft Entra باستخدام az ad user list واستبدل <user-principal-name>. يتم حفظ النتيجة لمتغير.
```
$azureaduser=(az ad user list --filter "userPrincipalName eq '<user-principal-name>'" --query '[].id' --output tsv)
```
تلميح

لمشاهدة قائمة بجميع أسماء المستخدمين الأساسية في معرف Microsoft Entra، قم بتشغيل az ad user list --query '[].userPrincipalName'.
أضف مستخدم Microsoft Entra هذا كمسؤول Active Directory باستخدام az sql server ad-admin create الأمر في Cloud Shell. في الأمر التالي، استبدل <server-name> باسم الخادم (دون اللاحقة .database.windows.net ).
```
az sql server ad-admin create --resource-group myResourceGroup --server-name <server-name> --display-name ADMIN --object-id $azureaduser
```

لمزيد من المعلومات حول إضافة مسؤول Active Directory، راجع توفير مسؤول Microsoft Entra للخادم الخاص بك

2. إعداد بيئة التطوير الخاصة بك

تم دمج Visual Studio لنظام التشغيل Windows مع مصادقة Microsoft Entra. لتمكين التطوير وتصحيح الأخطاء في Visual Studio، أضف مستخدم Microsoft Entra في Visual Studio عن طريق تحديد حساب الملف>الإعدادات من القائمة، وحدد تسجيل الدخول أو إضافة.
لتعيين مستخدم Microsoft Entra لمصادقة خدمة Azure، حدد خيارات الأدوات>من القائمة، ثم حدد تحديد حساب مصادقة>خدمة Azure. حدد مستخدم Microsoft Entra الذي أضفته وحدد موافق.

Visual Studio for Mac غير متكامل مع مصادقة Microsoft Entra. ومع ذلك، يمكن لمكتبة عميل Azure Identity التي ستستخدمها لاحقاً استخدام الرموز المميزة من Azure CLI. لتمكين التطوير وتصحيح الأخطاء في Visual Studio، قم بتثبيت Azure CLI على الجهاز المحلي.
سجل الدخول إلى Azure CLI باستخدام الأمر التالي باستخدام مستخدم Microsoft Entra:
```
az login --allow-no-subscriptions
```

يمكن لمكتبة عميل Azure Identity التي ستستخدمها لاحقاً استخدام الرموز المميزة من Azure CLI. لتمكين التطوير المستند إلى سطر الأوامر، ثبّت Azure CLI على جهازك المحلي.
سجل الدخول إلى Azure باستخدام الأمر التالي باستخدام مستخدم Microsoft Entra:
```
az login --allow-no-subscriptions
```

يمكن لمكتبة عميل Azure Identity التي ستستخدمها لاحقاً استخدام الرموز المميزة من Azure PowerShell. لتمكين التطوير المستند إلى سطر الأوامر، ثبّت Azure PowerShell على جهازك المحلي.
سجل الدخول إلى Azure CLI باستخدام cmdlet التالي باستخدام مستخدم Microsoft Entra:
```
Connect-AzAccount
```

لمزيد من المعلومات حول إعداد بيئة التطوير الخاصة بك لمصادقة Microsoft Entra، راجع مكتبة عميل Azure Identity ل .NET.

أنت الآن جاهز لتطوير تطبيقك وتصحيحه باستخدام قاعدة بيانات SQL كواجهة خلفية، باستخدام مصادقة Microsoft Entra.

3. تعديل مشروعك

إشعار

لم يعد من المستحسن استخدام Microsoft.Azure.Services.AppAuthentication مع SDK Azure الجديد. يحل محله مكتبة عميل Azure Identity الجديدة المتوفرة لدى .NET وJava وTypeScript وPython وينبغي استخدامه لجميع التطويرات الجديدة. يمكن العثور على معلومات عن كيفية الترحيل إلى Azure Identityهنا: إرشادات ترحيل AppAuthentication إلى Azure.Identity.

تعتمد الخطوات التي تتبعها لمشروعك على ما إذا كنت تستخدم Entity Framework Core (افتراضيا ل ASP.NET Core) أو Entity Framework (افتراضيا ASP.NET).

Entity Framework Core
Entity Framework

في Visual Studio، افتح وحدة تحكم مدير الحزم وأضف حزمة NuGet Microsoft.Data.SqlClient:
```
Install-Package Microsoft.Data.SqlClient -Version 5.1.0
```
في البرنامج التعليمي لـ ASP.NET Core ولغة الاستعلامات المركبة Database، لم يتم استخدام سلسلة الاتصال MyDbConnection في appsettings.json على الإطلاق حتى الآن. تحصل كل من البيئة المحلية وبيئة Azure على سلاسل اتصال من متغيرات البيئة الخاصة بها من أجل الحفاظ على بيانات سرية الاتصال خارج الملف المصدر. ولكن الآن مع مصادقة Active Directory، لا مزيد من البيانات السرية. في appsettings.json، استبدل قيمة سلسلة الاتصال MyDbConnection بـ :
```
"Server=tcp:<server-name>.database.windows.net;Authentication=Active Directory Default; Database=<database-name>;"
```
إشعار

يمكن استخدام نوع المصادقة Active Directory Default على جهازك المحلي وفي Azure App Service. يحاول برنامج التشغيل الحصول على رمز مميز من معرف Microsoft Entra باستخدام وسائل مختلفة. إذا تم نشر التطبيق، فإنه يحصل على رمز مميز من الهوية المدارة المعينة من قبل النظام للتطبيق. يمكن أيضا المصادقة باستخدام هوية مدارة معينة من قبل المستخدم إذا قمت بتضمين: User Id=<client-id-of-user-assigned-managed-identity>; في سلسلة الاتصال. إذا كان التطبيق يعمل محلياً، فإنه يحاول الحصول على تعليمة برمجية مميزة من Visual Studio وVisual Studio Code وAzure CLI.

هذا كل شيء تحتاج إليه للاتصال بقاعدة بيانات SQL. عند تتبع الأخطاء في Visual Studio، تستخدم التعليمات البرمجية مستخدم Microsoft Entra الذي قمت بتكوينه في 2. إعداد بيئة التطوير الخاصة بك. ستقوم بإعداد قاعدة بيانات SQL لاحقًا للسماح بالاتصال من الهوية المدارة لتطبيق App Service. تخزن DefaultAzureCredential الفئة الرمز المميز مؤقتا في الذاكرة وتسترده من معرف Microsoft Entra قبل انتهاء الصلاحية. لا تحتاج إلى أي تعليمات برمجية مخصصة لتحديث الرمز المميز.
اكتب Ctrl+F5 لتشغيل التطبيق مرة أخرى. يتصل الآن نفس تطبيق CRUD في المستعرض الخاص بك بقاعدة بيانات Azure SQL مباشرة، باستخدام مصادقة Microsoft Entra. يتيح لك هذا الإعداد تشغيل عمليات ترحيل قاعدة البيانات من Visual Studio.

في Visual Studio، افتح وحدة تحكم مدير الحزمة وأضف حزمة NuGet Azure.Identity وقم بتحديث Entity Framework:
```
Install-Package Azure.Identity
Update-Package EntityFramework
```
إشعار

تتوفر ميزة التخزين المؤقت للرمز المميز للهوية المدارة بدءا من الإصدار 1.8.0 من Azure.Identity. للمساعدة في تقليل استخدام منفذ الشبكة، ضع في اعتبارك تحديث Azure.Identity إلى هذا الإصدار أو إصدار أحدث.
في عنصر DbContext الخاص بك (في Models/MyDbContext.cs)، أضف التعليمة البرمجية التالية إلى الدالة الإنشائية الافتراضي.
```
Azure.Identity.DefaultAzureCredential credential;
var managedIdentityClientId = ConfigurationManager.AppSettings["ManagedIdentityClientId"];
if(managedIdentityClientId != null ) {
    //User-assigned managed identity Client ID is passed in via ManagedIdentityClientId
    var defaultCredentialOptions = new DefaultAzureCredentialOptions { ManagedIdentityClientId = managedIdentityClientId };
    credential = new Azure.Identity.DefaultAzureCredential(defaultCredentialOptions);
}
else {
    //System-assigned managed identity or logged-in identity of Visual Studio, Visual Studio Code, Azure CLI or Azure PowerShell
    credential = new Azure.Identity.DefaultAzureCredential();
}
var conn = (System.Data.SqlClient.SqlConnection)Database.Connection;
var token = credential.GetToken(new Azure.Core.TokenRequestContext(new[] { "https://database.windows.net/.default" }));
conn.AccessToken = token.Token;
```
تستخدم هذه التعليمة البرمجية Azure.Identity.DefaultAzureCredential للحصول على رمز مميز قابل للاستخدام لقاعدة بيانات SQL من معرف Microsoft Entra ثم إضافته إلى اتصال قاعدة البيانات. بينما يمكنك تخصيص DefaultAzureCredential، فإنه افتراضيا متعدد الاستخدامات بالفعل. عند تشغيله في App Service، فإنه يستخدم الهوية المدارة المعينة من قبل النظام للتطبيق بشكل افتراضي. إذا كنت تفضل استخدام هوية مدارة معينة من قبل المستخدم، أضف إعداد تطبيق جديدا باسم ManagedIdentityClientId وأدخل Client Id GUID من الهوية المدارة المعينة من قبل المستخدم في value الحقل. عند تشغيله محليا، يمكنه الحصول على رمز مميز باستخدام هوية تسجيل الدخول ل Visual Studio وVisual Studio Code وAzure CLI وAzure PowerShell.
في Web.config، ابحث عن سلسلة الاتصال المسماة MyDbConnection واستبدل قيمتها connectionString بـ "server=tcp:<server-name>.database.windows.net;database=<db-name>;". استبدل <server-name> و<db-name> باسم الخادم واسم قاعدة البيانات. يتم استخدام سلسلة الاتصال هذه بواسطة الدالة الإنشائية الافتراضية في Models/MyDbContext.cs.

هذا كل شيء تحتاج إليه للاتصال بقاعدة بيانات SQL. عند تتبع الأخطاء في Visual Studio، تستخدم التعليمات البرمجية مستخدم Microsoft Entra الذي قمت بتكوينه في 2. إعداد بيئة التطوير الخاصة بك. ستقوم بإعداد قاعدة بيانات SQL لاحقًا للسماح بالاتصال من الهوية المدارة لتطبيق App Service.
اكتب Ctrl+F5 لتشغيل التطبيق مرة أخرى. يتصل الآن نفس تطبيق CRUD في المستعرض الخاص بك بقاعدة بيانات Azure SQL مباشرة، باستخدام مصادقة Microsoft Entra. يتيح لك هذا الإعداد تشغيل عمليات ترحيل قاعدة البيانات من Visual Studio.

4. استخدام اتصال هوية مُدار

بعد ذلك، يمكنك تكوين التطبيق "App Service" للاتصال بقاعدة بيانات SQL مع هوية مدارة معينة من قبل النظام.

إشعار

بينما التعليمات في هذا المقطع هي للهوية المعينة من قبل النظام، يمكن استخدام هوية معينة من قبل المستخدم بنفس السهولة. لكي تفعل ذلك. ستحتاج إلى التغيير az webapp identity assign command لتعيين الهوية المطلوبة التي عينها المستخدم. ثم عند إنشاء المستخدم SQL تأكد من استخدام اسم مورد الهوية المعين من قبل المستخدم بدلاً من اسم الموقع.

تفعيل الهوية المدارة في التطبيق

لتمكين هوية مدارة لتطبيق Azure، استخدم أمر تعيين هوية تطبيق ويب az في Cloud Shell. في الأمر التالي، استبدل <app-name>.

az webapp identity assign --resource-group myResourceGroup --name <app-name>

إشعار

لتمكين الهوية المُدارة لـ فتحة توزيع، أضِف --slot <slot-name>واستخدم اسم الفتحة في <slot-name>.

فيما يلي مثال على الإخراج:

{
  "additionalProperties": {},
  "principalId": "21dfa71c-9e6f-4d17-9e90-1d28801c9735",
  "tenantId": "72f988bf-86f1-41af-91ab-2d7cd011db47",
  "type": "SystemAssigned"
}

تعيين أذونات للهوية المدارة

إشعار

إذا أردت، يمكنك إضافة الهوية إلى مجموعة Microsoft Entra، ثم منح قاعدة بيانات SQL حق الوصول إلى مجموعة Microsoft Entra بدلا من الهوية. على سبيل المثال، تضيف الأوامر التالية الهوية المُدارة من الخطوة السابقة إلى مجموعة جديدة تُسمى myAzureSQLDBAccessGroup:

$groupid=(az ad group create --display-name myAzureSQLDBAccessGroup --mail-nickname myAzureSQLDBAccessGroup --query objectId --output tsv)
$msiobjectid=(az webapp identity show --resource-group myResourceGroup --name <app-name> --query principalId --output tsv)
az ad group member add --group $groupid --member-id $msiobjectid
az ad group member list -g $groupid

في Cloud Shell، قم بتسجيل الدخول إلى قاعدة بيانات SQL باستخدام الأمر SQLCMD. استبدل <اسم> الخادم باسم الخادم، <واسم> db باسم قاعدة البيانات الذي يستخدمه تطبيقك، واسم <مستخدم> aad وكلمة< مرور> aad ببيانات اعتماد مستخدم Microsoft Entra.
```
sqlcmd -S <server-name>.database.windows.net -d <db-name> -U <aad-user-name> -P "<aad-password>" -G -l 30
```
في موجه SQL لقاعدة البيانات التي تريدها، قم بتشغيل الأوامر التالية لمنح الحد الأدنى من الأذونات التي يحتاجها تطبيقك. على سبيل المثال،
```
CREATE USER [<identity-name>] FROM EXTERNAL PROVIDER;
ALTER ROLE db_datareader ADD MEMBER [<identity-name>];
ALTER ROLE db_datawriter ADD MEMBER [<identity-name>];
ALTER ROLE db_ddladmin ADD MEMBER [<identity-name>];
GO
```
<اسم> الهوية هو اسم الهوية المدارة في معرف Microsoft Entra. إذا تم تعيين النظام للهوية، يكون الاسم دائمًا هو نفس اسم تطبيق App Service. بالنسبة إلى فتحة التوزيع، يكون اسم الهوية المخصصة للنظام هو <app-name>/slots/<slot-name>. لمنح أذونات لمجموعة Microsoft Entra، استخدم اسم عرض المجموعة بدلا من ذلك (على سبيل المثال، myAzureSQLDBAccessGroup).
اكتب EXIT للعودة إلى مطالبة Cloud Shell.

إشعار

الخدمات الخلفية للهويات المُدارة أيضاً تحتفظ بذاكرة تخزين للرمز المميز الذي يحدث الرمز المميز للمورد الهدف فقط عند انتهاء صلاحيته. إذا ارتكبت خطأ في تكوين أذونات قاعدة بيانات SQL وتحاول تعديل الأذونات بعد محاولة الحصول على رمز مميز مع التطبيق الخاص بك، فلن تحصل فعليًا على رمز مميز جديد مع الأذونات المحدثة حتى تنتهي صلاحية الرمز المميز المخزن مؤقتًا.

إشعار

معرف Microsoft Entra والهويات المدارة غير مدعومة ل SQL Server المحلي.

تعديل سلسلة الاتصال

تذكر أن نفس التغييرات التي أجريتها في Web.config أو appsettings.json تعمل مع الهوية المدارة، لذلك فإن الشيء الوحيد الذي يجب إجراؤه هو إزالة سلسلة الاتصال الموجودة في App Service، والتي أنشئها Visual Studio لتوزيع تطبيقك في المرة الأولى. استخدم الأمر التالي، ولكن استبدل <app-name> باسم التطبيق الخاص بك.

az webapp config connection-string delete --resource-group myResourceGroup --name <app-name> --setting-names MyDbConnection

5. انشر التغييرات

كل ما تبقى الآن هو نشر التغييرات التي أجريتها على Azure.

ASP.NET
ASP.NET Core

إذا كنت قادمًا من البرنامج التعليمي: إنشاء تطبيق ASP.NET في Azure مع قاعدة بيانات SQL، فبادر بنشر تغييراتك في Visual Studio. في مستكشف الحلول، انقر بزر الماوس الأيمن فوق مشروع DotNetAppSqlDb وحدد Publish.
في صفحة النشر، حدد Publish.

هام

تأكد من عدم تطابق اسم خدمة التطبيق مع أي App Registrations موجودة. سيؤدي ذلك إلى تعارضات بالمعرف الرئيسي.

إذا كنت قادمًا من البرنامج التعليمي: إنشاء ASP.NET Core وقاعدة SQL التطبيق في Azure App Service، فانشر التغييرات باستخدام Git، مع الأوامر التالية:

git commit -am "configure managed identity"
git push azure main

عندما تعرض صفحة الويب الجديدة قائمة المهام، يتصل تطبيقك بقاعدة البيانات باستخدام الهوية المدارة.

تطبيق Azure بعد عمليات الترحيل الأولى من التعليمات البرمجية

يجب أن تكون قادرًا الآن على تحرير قائمة المهام كما كان من قبل.

تنظيف الموارد

في الخطوات السابقة، أنشأت موارد Azure في إحدى مجموعات الموارد. إذا لم تتوقع احتياجك لهذه الموارد في المستقبل، فاحذف مجموعة الموارد من خلال تشغيل الأمر التالي في Cloud Shell: