Migrieren einer .NET-Anwendung zur Verwendung von kennwortlosen Verbindungen mit Azure SQL-Datenbank

Gilt für:Azure SQL-Datenbank

Anwendungsanforderungen an Azure SQL-Datenbank müssen authentifiziert werden. Obwohl es mehrere Optionen für die Authentifizierung bei Azure SQL-Datenbank gibt, sollten Sie nach Möglichkeit kennwortlose Verbindungen in Ihren Anwendungen priorisieren. Traditionelle Authentifizierungsmethoden, die Kennwörter oder geheime Schlüsseln verwenden, sind mit Sicherheitsrisiken und Komplikationen verbunden. Besuchen Sie den Hub für kennwortlose Verbindungen für Azure-Dienste, um mehr über die Vorteile der Umstellung auf kennwortlose Verbindungen zu erfahren. Im folgenden Tutorial wird erklärt, wie eine bestehende Anwendung zur Verbindungsherstellung mit Azure SQL-Datenbank migriert werden kann, um kennwortlose Verbindungen anstelle einer Lösung mit Benutzername und Kennwort zu verwenden.

Konfigurieren der Azure SQL-Datenbank

Kennwortlose Verbindungen verwenden die Microsoft Entra-Authentifizierung für die Verbindung zu Azure-Diensten, einschließlich Azure SQL Database. Mit der Microsoft Entra-Authentifizierung können Sie Identitäten an einem zentralen Ort verwalten und so die Rechteverwaltung vereinfachen. Weitere Informationen finden Sie unter Konfigurieren der Microsoft Entra-Authentifizierung in einer Azure SQL-Datenbank.

• Übersicht zur Microsoft Entra-Authentifizierung
• Konfigurieren der Microsoft Entra-Authentifizierung

Stellen Sie für diesen Migrationsleitfaden sicher, dass Ihrer Instanz von Azure SQL-Datenbank ein*e Azure AD-Administrator*in zugewiesen ist.

1. Navigieren Sie zur Microsoft EntraSeite Ihres logischen Servers.

2. Wählen Sie Administrator festlegen aus, um den Bereich Microsoft Entra ID zu öffnen.

3. Suchen Sie im Flyout-Menü Microsoft Entra ID nach dem Benutzer, den Sie als Administrator zuweisen möchten.

4. Wählen Sie den Benutzer bzw. die Benutzerin und dann Auswählen aus.

   

Konfigurieren Ihrer lokalen Entwicklungsumgebung

Kennwortlose Verbindungen können so konfiguriert werden, dass sie sowohl für lokale als auch für in Azure gehostete Umgebungen funktionieren. In diesem Abschnitt wenden Sie Konfigurationen an, damit sich einzelne Benutzer*innen bei Azure SQL-Datenbank für die lokale Entwicklung authentifizieren können.

Anmelden bei Azure

Stellen Sie bei der lokalen Entwicklung sicher, dass Sie mit demselben Azure AD-Konto angemeldet sind, das Sie für den Zugriff auf Azure SQL-Datenbank verwenden möchten. Sie können sich über gängige Entwicklungstools wie die Azure-Befehlszeilenschnittstelle (CLI) oder Azure PowerShell authentifizieren. Die Entwicklungstools, mit denen Sie sich authentifizieren können, variieren je nach Sprache.

Azure-Befehlszeilenschnittstelle

Melden Sie sich mit dem folgenden Befehl über die Azure-Befehlszeilenschnittstelle bei Azure an:

az login

Visual Studio

Wählen Sie oben rechts in Visual Studio die Schaltfläche Anmelden aus.

Melden Sie sich mit dem Azure AD-Konto an, dem Sie zuvor eine Rolle zugewiesen haben.

Visual Studio Code

Sie müssen die Azure CLI installieren, um mit DefaultAzureCredential über Visual Studio Code arbeiten zu können.

Navigieren Sie im Hauptmenü von Visual Studio Code zu Terminal > Neues Terminal.

Melden Sie sich mit dem folgenden Befehl über die Azure-Befehlszeilenschnittstelle bei Azure an:

az login

PowerShell

Melden Sie sich mithilfe von PowerShell über den folgenden Befehl bei Azure an:

Connect-AzAccount

Erstellen von Datenbankbenutzer*innen und Zuweisen von Rollen

Erstellen Sie einen Benutzer bzw. eine Benutzerin in Azure SQL-Datenbank. Der Benutzer bzw. die Benutzerin sollte dem Azure-Konto entsprechen, das Sie für die lokale Anmeldung über Entwicklungstools wie Visual Studio oder IntelliJ verwendet haben.

1. Navigieren Sie im Azure-Portal zu Ihrer SQL-Datenbank-Instanz, und wählen Sie Abfrage-Editor (Vorschau) aus.

2. Wählen Sie auf der rechten Seite des Bildschirms Weiter als <your-username> aus, um sich mit Ihrem Konto bei der Datenbank anzumelden.

3. Führen Sie in der Abfrage-Editor-Ansicht die folgenden T-SQL-Befehle aus:

   CREATE USER [user@domain] FROM EXTERNAL PROVIDER;
   ALTER ROLE db_datareader ADD MEMBER [user@domain];
   ALTER ROLE db_datawriter ADD MEMBER [user@domain];
   ALTER ROLE db_ddladmin ADD MEMBER [user@domain];
   GO
   

   

   Durch das Ausführen dieser Befehle wird dem angegebenen Konto die Rolle SQL-DB-Mitwirkender zugewiesen. Diese Rolle erlaubt es der Identität, die Daten und das Schema Ihrer Datenbank zu lesen, zu schreiben und zu ändern. Weitere Informationen zu den zugewiesenen Rollen finden Sie unter Feste Datenbankrollen.

Aktualisieren der lokalen Verbindungskonfiguration

Vorhandener Anwendungscode, der über die Bibliothek Microsoft.Data.SqlClient oder Entity Framework Core eine Verbindung mit Azure SQL-Datenbank herstellt, funktioniert weiterhin mit kennwortlosen Verbindungen. Sie müssen Ihre Datenbankverbindungszeichenfolge jedoch so aktualisieren, dass das kennwortlose Format verwendet wird. Der folgende Code funktioniert beispielsweise sowohl mit SQL-Authentifizierung als auch mit kennwortlosen Verbindungen:

string connectionString = app.Configuration.GetConnectionString("AZURE_SQL_CONNECTIONSTRING")!;

using var conn = new SqlConnection(connectionString);
conn.Open();

var command = new SqlCommand("SELECT * FROM Persons", conn);
using SqlDataReader reader = command.ExecuteReader();

So aktualisieren Sie die Verbindungszeichenfolge (AZURE_SQL_CONNECTIONSTRING), auf die verwiesen wird, um das kennwortlose Format für Verbindungszeichenfolgen zu verwenden:

1. Suchen Sie Ihre Verbindungszeichenfolge. Bei der lokalen Entwicklung mit .NET-Anwendungen wird diese in der Regel an einem der folgenden Orte gespeichert:

   • Konfigurationsdatei appsettings.json für Ihr Projekt
   • Konfigurationsdatei launchsettings.json für Visual Studio-Projekte
   • Variablen für das lokale System oder Containerumgebungen

2. Ersetzen Sie den Wert der Verbindungszeichenfolge durch das folgende kennwortlose Format. Ersetzen Sie die Platzhalter <database-server-name> und <database-name> durch Ihre eigenen Werte:

   Server=tcp:<database-server-name>.database.windows.net,1433;Initial Catalog=<database-name>;
   Encrypt=True;TrustServerCertificate=False;Connection Timeout=30;Authentication="Active Directory Default";
   

Testen der App

Führen Sie Ihre App lokal aus, und überprüfen Sie, ob die Verbindungen mit Azure SQL-Datenbank wie erwartet funktionieren. Denken Sie daran, dass es einige Minuten dauern kann, bis die Azure-Benutzer*innen und -Rollen in der Azure-Umgebung weitergegeben werden. Ihre Anwendung ist jetzt so konfiguriert, dass sie lokal ausgeführt werden kann, ohne dass Entwickler*innen Geheimnisse in der Anwendung selbst verwalten müssen.

Konfigurieren der Azure-Hostingumgebung

Sobald Ihre App für die lokale Verwendung kennwortloser Verbindungen konfiguriert ist, kann sich derselbe Code nach der Bereitstellung in Azure bei Azure SQL-Datenbank authentifizieren. In den folgenden Abschnitten wird erläutert, wie Sie eine bereitgestellte Anwendung so konfigurieren, dass sie mithilfe einer verwalteten Identität eine Verbindung mit Azure SQL-Datenbank herstellt. Verwaltete Identitäten bieten eine automatisch verwaltete Identität in Microsoft Entra ID (früher Azure Active Directory), die Anwendungen verwenden können, wenn sie sich mit Ressourcen verbinden, die die Microsoft Entra-Authentifizierung unterstützen. Weitere Informationen zu verwalteten Identitäten:

• Kennwortlose Verbindungen für Azure-Dienste
• Empfehlungen zu bewährten Methoden für verwaltete Identitäten

Erstellen Sie die verwaltete Identität

Erstellen Sie eine benutzerseitig zugewiesene verwaltete Identität über das Azure-Portal oder mithilfe der Azure CLI. Ihre Anwendung verwendet die Identität zur Identifizierung bei anderen Diensten.

Azure portal

1. Suchen Sie oben im Azure-Portal nach Verwaltete Identitäten. Wählen Sie das Ergebnis Verwaltete Identitäten aus.
2. Wählen Sie oben auf der Übersichtsseite Verwaltete Identitäten die Option + Erstellen aus.
3. Geben Sie auf der Registerkarte Grundlagen die folgenden Werte ein:
   • Abonnement: Wählen Sie Ihr gewünschtes Abonnement aus.
   • Ressourcengruppe: Wählen Sie die gewünschte Ressourcengruppe aus.
   • Region: Wählen Sie eine Region in Ihrer Nähe aus.
   • Name: Geben Sie einen erkennbaren Namen für Ihre Identität ein, z. B. MigrationIdentity.
4. Wählen Sie am unteren Rand der Seite die Option Bewerten + erstellen aus.
5. Wenn die Überprüfungen abgeschlossen sind, wählen Sie Erstellen aus. Azure erstellt eine neue benutzerseitig zugewiesene Identität.

Nachdem die Ressource erstellt wurde, wählen Sie Zu Ressource wechseln aus, um die Details der verwalteten Identität anzuzeigen.

Azure-Befehlszeilenschnittstelle

Verwenden Sie den Befehl az identity create zum Erstellen einer benutzerseitig zugewiesenen verwalteten Identität:

az identity create --name MigrationIdentity --resource-group <resource-group>

Zuordnen der verwalteten Identität zu Ihrer Web-App

Konfigurieren Sie Ihre Web-App so, dass sie die von Ihnen erstellte benutzerseitig zugewiesene verwaltete Identität verwendet.

Azure portal

Führen Sie im Azure-Portal die folgenden Schritte aus, um Ihrer App die benutzerseitig zugewiesene verwaltete Identität zuzuordnen. Dieselben Schritte gelten für die folgenden Azure-Dienste:

• Azure Spring Apps
• Azure Container Apps
• Virtuelle Azure-Computer
• Azure Kubernetes Service
• Navigieren Sie zur Übersichtsseite Ihrer Web-App.

1. Wählen Sie im linken Navigationsbereich Identität aus.

2. Wechseln Sie auf der Seite Identität zur Registerkarte Benutzerseitig zugewiesen.

3. Wählen Sie + Hinzufügen aus, um das Flyout Benutzerseitig zugewiesene verwaltete Identität hinzufügen zu öffnen.

4. Wählen Sie das Abonnement aus, das Sie vorher zum Erstellen der Identität verwendet haben.

5. Suchen Sie anhand des Namens nach der MigrationIdentity, und wählen Sie sie aus den Suchergebnissen aus.

6. Wählen Sie Hinzufügen aus, um die Identität Ihrer App zuzuordnen.

   

Azure-Befehlszeilenschnittstelle

Verwenden Sie die folgenden Azure CLI-Befehle, um Ihrer App eine Identität zuzuordnen:

Rufen Sie die vollqualifizierte Ressourcen-ID der verwalteten Identität ab, die Sie mit dem Befehl az identity show erstellt haben. Kopieren Sie den Ausgabewert zur Verwendung im nächsten Schritt.

az identity show --name MigrationIdentity -g <your-identity-resource-group-name> --query id

Azure App Service

Sie können einer Azure App Service-Instanz mit dem Befehl az webapp identity assign eine verwaltete Identität zuweisen. Der Parameter --identities benötigt die vollqualifizierte Ressourcen-ID der verwalteten Identität, die Sie im vorherigen Schritt abgerufen haben. Eine vollqualifizierte Ressourcen-ID beginnt mit „/subscriptions/{subscriptionId}“ oder „/providers/{resourceProviderNamespace}/“.

az webapp identity assign \
    --resource-group <resource-group-name> \
    --name <webapp-name> \
    --identities <managed-identity-id>

Wenn Sie mit Git Bash arbeiten, achten Sie bei der Verwendung vollqualifizierter Ressourcen-IDs auf Pfadkonvertierungen. Um die Pfadkonvertierung zu deaktivieren, fügen Sie am Anfang Ihres Befehls MSYS_NO_PATHCONV=1 hinzu. Weitere Informationen finden Sie unter Automatische Übersetzung von Ressourcen-IDs.

Azure Spring Apps

Sie können einer Azure Spring Apps-Instanz mit dem Befehl az spring app identity assign eine verwaltete Identität zuweisen.

az spring app identity assign \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --service <service-name> \
    --user-assigned <managed-identity-id>

Azure Container Apps

Sie können einem virtuellen Computer mit dem Befehl az vm containerapp identity assign eine verwaltete Identität zuweisen.

az containerapp identity assign \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --user-assigned <managed-identity-id>

Azure Virtual Machines

Sie können einem virtuellen Computer mit dem Befehl az vm identity assign eine verwaltete Identität zuweisen.

az vm identity assign \
    --resource-group <resource-group-name> \
    --name <virtual-machine-name> \
    --identities <managed-identity-id>

Azure Kubernetes Service

Sie können einer Azure Kubernetes Service-Instanz mit dem Befehl az aks update eine verwaltete Identität zuweisen.

az aks update \
    --resource-group <resource-group-name> \
    --name <cluster-name> \
    --enable-managed-identity \
    --assign-identity <managed-identity-id> \
    --assign-kubelet-identity <managed-identity-id>

Dienstconnector

Sie können den Dienstconnector verwenden, um eine Verbindung zwischen einer Azure-Computehostingumgebung und einem Zieldienst mithilfe der Azure CLI herzustellen. Die CLI-Befehle des Dienstconnectors weisen Ihrer Identität automatisch die richtige Rolle zu. Weitere Informationen zum Dienstconnector und zu den unterstützten Szenarien finden Sie aufder Übersichtsseite.

1. Rufen Sie die Client-ID der verwalteten Identität ab, die Sie mit dem Befehl az identity show erstellt haben. Kopieren Sie den Wert zur späteren Verwendung.

   az identity show --name MigrationIdentity --resource-group <resource-group> --query clientId
   

2. Verwenden Sie den entsprechenden CLI-Befehl zum Herstellen der Dienstverbindung:

   Azure App Service

   Wenn Sie einen Azure App Service nutzen, verwenden Sie den Befehl az webapp connection:

   az webapp connection create storage-blob \
       --resource-group <resource-group-name> \
       --name <webapp-name> \
       --target-resource-group <target-resource-group-name> \
       --account <target-storage-account-name> \
       --user-identity "client-id=<your-identity-client-id>" "subs-id=<your-subscription-id>"
   

   Azure Spring Apps

   Wenn Sie Azure Spring Apps nutzen, verwenden Sie den Befehl az spring-cloud connection:

   az spring-cloud connection create storage-blob \
       --resource-group <resource-group-name> \
       --service <service-instance-name> \
       --app <app-name> \
       --deployment <deployment-name> \
       --target-resource-group <target-resource-group> \
       --account <target-storage-account-name> \
       --user-identity "client-id=<your-identity-client-id>" "subs-id=<your-subscription-id>"
   

   Azure Container Apps

   Wenn Sie Azure Container Apps nutzen, verwenden Sie den Befehl az containerapp connection:

   az containerapp connection create storage-blob \
       --resource-group <resource-group-name> \
       --name <containerapp-name> \
       --target-resource-group <target-resource-group-name> \
       --account <target-storage-account-name> \
       --user-identity "client-id=<your-identity-client-id>" "subs-id=<your-subscription-id>"
   

Erstellen von Datenbankbenutzer*innen für die Identität und Zuweisen von Rollen

Erstellen Sie einen SQL-Datenbank-Benutzer bzw. eine SQL-Datenbank-Benutzerin, der bzw. die der benutzerseitig zugewiesenen verwalteten Identität zugeordnet ist. Weisen Sie dem Benutzer bzw. der Benutzerin die erforderlichen SQL-Rollen zu, damit Ihre App die Daten und das Schema Ihrer Datenbank lesen, schreiben und ändern kann.

1. Navigieren Sie im Azure-Portal zu Ihrer SQL-Datenbank-Instanz, und wählen Sie Abfrage-Editor (Vorschau) aus.

2. Wählen Sie auf der rechten Seite des Bildschirms Weiter als <username> aus, um sich mit Ihrem Konto bei der Datenbank anzumelden.

3. Führen Sie in der Abfrage-Editor-Ansicht die folgenden T-SQL-Befehle aus:

   CREATE USER [user-assigned-identity-name] FROM EXTERNAL PROVIDER;
   ALTER ROLE db_datareader ADD MEMBER [user-assigned-identity-name];
   ALTER ROLE db_datawriter ADD MEMBER [user-assigned-identity-name];
   ALTER ROLE db_ddladmin ADD MEMBER [user-assigned-identity-name];
   GO
   

   

   Wenn Sie diese Befehle ausführen, wird der benutzerseitig zugewiesenen verwalteten Identität die Rolle SQL-DB-Mitwirkender zugewiesen. Diese Rolle erlaubt es der Identität, die Daten und das Schema Ihrer Datenbank zu lesen, zu schreiben und zu ändern.

---

Wichtig

Gehen Sie beim Zuweisen von Datenbankbenutzerrollen in Produktionsumgebungen von Unternehmen vorsichtig vor. In diesen Szenarien sollte die App nicht alle Vorgänge mit einer einzelnen Identität mit erhöhten Rechten ausführen. Versuchen Sie, das Prinzip der geringsten Rechte zu implementieren, indem Sie mehrere Identitäten mit bestimmten Berechtigungen für bestimmte Aufgaben konfigurieren.

Weitere Informationen zum Konfigurieren von Datenbankrollen und der Sicherheit finden Sie in den folgenden Ressourcen:

• Tutorial: Schützen einer Datenbank in Azure SQL-Datenbank
• Autorisieren des Datenbankzugriffs für SQL-Datenbank

Aktualisieren der Verbindungszeichenfolge

Aktualisieren Sie Ihre Azure-App-Konfiguration, um das Zeichenfolgenformat für kennwortlose Verbindungen zu verwenden. Verbindungszeichenfolgen werden in der Regel als Umgebungsvariablen in Ihrer App-Hostingumgebung gespeichert. Die folgenden Anweisungen konzentrieren sich auf App Service, aber andere Azure-Hostingdienste bieten ähnliche Konfigurationen.

1. Navigieren Sie zur Konfigurationsseite Ihrer App Service-Instanz, und suchen Sie die Verbindungszeichenfolge für Azure SQL-Datenbank.

2. Wählen Sie das Bearbeitungssymbol aus, und aktualisieren Sie den Wert der Verbindungszeichenfolge so, dass er dem folgenden Format entspricht. Ersetzen Sie die Platzhalter <database-server-name> und <database-name> durch die Werte Ihres eigenen Diensts.

   Server=tcp:<database-server-name>.database.windows.net,1433;Initial Catalog=<database-name>;
   Encrypt=True;TrustServerCertificate=False;Connection Timeout=30;Authentication="Active Directory Default";
   

3. Speichern Sie Ihre Änderungen, und starten Sie die Anwendung neu, falls dies nicht automatisch geschieht.

Testen der App

Testen Sie Ihre App, um sicherzustellen, dass noch alles funktioniert. Es kann einige Minuten dauern, bis alle Änderungen in Ihrer Azure-Umgebung weitergegeben werden.

Nächste Schritte

In diesem Tutorial haben Sie gelernt, wie Sie eine Anwendung zu kennwortlosen Verbindungen migrieren.

Sie können die folgenden Ressourcen lesen, um die in diesem Artikel erläuterten Konzepte ausführlicher zu erkunden:

• Kennwortlose Verbindungen für Azure-Dienste
• Empfehlungen zu bewährten Methoden für verwaltete Identitäten
• Tutorial: Schützen einer Datenbank in Azure SQL-Datenbank
• Autorisieren des Datenbankzugriffs für SQL-Datenbank