Konfigurieren kennwortloser Datenbankverbindungen für Java-Apps auf Oracle WebLogic Server-Instanzen

In diesem Artikel erfahren Sie, wie Sie kennwortlose Datenbankverbindungen für Java-Apps auf Oracle WebLogic Server mit dem Azure-Portal konfigurieren.

In diesem Leitfaden führen Sie die folgenden Aufgaben aus:

• Bereitstellen von Datenbankressourcen mithilfe der Azure CLI.
• Aktivieren Sie den Microsoft Entra-Administrator in der Datenbank.
• Stellen Sie eine vom Benutzer zugewiesene verwaltete Identität bereit, und erstellen Sie einen Datenbankbenutzer dafür.
• Konfigurieren Sie eine kennwortlose Datenbankverbindung in Oracle WebLogic mit dem Azure-Portal.
• Überprüfen Sie die Datenbankverbindung.

Die Angebote unterstützen kennwortlose Verbindungen für PostgreSQL-, MySQL- und Azure SQL-Datenbanken.

Voraussetzungen

• Wenn Sie kein Azure-Abonnement besitzen, erstellen Sie ein kostenloses Konto, bevor Sie beginnen.

• Verwenden Sie Azure Cloud Shell mithilfe der Bash-Umgebung. Stellen Sie sicher, dass die Azure CLI-Version 2.43.0 oder höher ist.

  

• Installieren Sie bei Bedarf die Azure CLI 2.43.0 oder höher, um Azure CLI-Befehle auszuführen.

  • Wenn Sie eine lokale Installation verwenden, melden Sie sich mithilfe des Befehls az login bei der Azure CLI an. Führen Sie die in Ihrem Terminal angezeigten Schritte aus, um den Authentifizierungsprozess abzuschließen. Weitere Anmeldeoptionen finden Sie unter Anmelden mit Azure CLI .
  • Installieren Sie die Azure CLI-Erweiterungen bei der ersten Verwendung, wenn Sie dazu aufgefordert werden. Weitere Informationen zu Erweiterungen finden Sie unter Verwenden von Erweiterungen mit der Azure CLI.
  • Führen Sie az version aus, um die installierte Version und die abhängigen Bibliotheken zu ermitteln. Führen Sie az upgrade aus, um das Upgrade auf die aktuelle Version durchzuführen.

• Stellen Sie sicher, dass die Azure-Identität, die Sie zum Anmelden und Durcharbeiten dieses Artikels verwenden, im aktuellen Abonnement entweder über die Rolle Besitzer oder über die Rollen Mitwirkender und Benutzerzugriffsadministrator verfügt. Eine Übersicht über Azure-Rollen finden Sie unter Was ist die rollenbasierte Zugriffssteuerung (Azure RBAC)? Ausführliche Informationen zu den spezifischen Rollen, die vom Oracle WebLogic Marketplace-Angebot benötigt werden, finden Sie in den integrierten Azure-Rollen.

Erstellen einer Ressourcengruppe

Erstellen Sie mit az group create eine Ressourcengruppe. Da Ressourcengruppen innerhalb eines Abonnements eindeutig sein müssen, wählen Sie einen eindeutigen Namen aus. Eine einfache Möglichkeit, eindeutige Namen zu haben, besteht darin, eine Kombination aus Ihren Initialen, dem heutigen Datum und einer Kennung zu verwenden. Beispiel: abc1228rg. In diesem Beispiel wird eine Ressourcengruppe erstellt, die eastus am Speicherort benannt istabc1228rg:

export RESOURCE_GROUP_NAME="abc1228rg"
az group create \
    --name ${RESOURCE_GROUP_NAME} \
    --location eastus

Erstellen eines Datenbankservers und einer Datenbank

MySQL Flexible Server

Erstellen Sie mithilfe des Befehls az mysql flexible-server create einen flexiblen Server. In diesem Beispiel wird ein flexibler Server mit mysql20221201 Administratorbenutzer azureuser - und Administratorkennwort Secret123456erstellt. Ersetzen Sie das Kennwort durch Ihre. Weitere Informationen finden Sie unter Erstellen einer Azure-Datenbank für MySQL Flexible Server mit Azure CLI.

export MYSQL_NAME="mysql20221201"
export MYSQL_ADMIN_USER="azureuser"
export MYSQL_ADMIN_PASSWORD="Secret123456"

az mysql flexible-server create \
    --resource-group $RESOURCE_GROUP_NAME \
    --name $MYSQL_NAME \
    --location eastus \
    --admin-user $MYSQL_ADMIN_USER \
    --admin-password $MYSQL_ADMIN_PASSWORD \
    --public-access 0.0.0.0 \
    --tier Burstable \
    --sku-name Standard_B1ms

Erstellen Sie eine Datenbank mit az mysql flexible-server db create.

export DATABASE_NAME="contoso"

# create mysql database
az mysql flexible-server db create \
    --resource-group $RESOURCE_GROUP_NAME \
    --server-name $MYSQL_NAME \
    --database-name $DATABASE_NAME

Wenn der Befehl abgeschlossen ist, sollte die Ausgabe ähnlich dem folgenden Beispiel angezeigt werden:

Creating database with utf8 charset and utf8_general_ci collation
{
  "charset": "utf8",
  "collation": "utf8_general_ci",
  "id": "/subscriptions/contoso-hashcode/resourceGroups/abc1228rg/providers/Microsoft.DBforMySQL/flexibleServers/mysql20221201/databases/contoso",
  "name": "contoso",
  "resourceGroup": "abc1228rg",
  "systemData": null,
  "type": "Microsoft.DBforMySQL/flexibleServers/databases"
}

PostgreSQL Flexible Server

Erstellen Sie einen flexiblen Server mit dem befehl "az postgres flexible-server create ". In diesem Beispiel wird ein flexibler Server mit postgresql20221223 Administratorbenutzer azureuser - und Administratorkennwort Secret123456erstellt. Ersetzen Sie das Kennwort durch Ihre. Weitere Informationen finden Sie unter Create an Azure Database for PostgreSQL Flexible Server using Azure CLI.

export POSTGRESQL_NAME="postgresql20221223"
export POSTGRESQL_ADMIN_USER="azureuser"
export POSTGRESQL_ADMIN_PASSWORD="Secret123456"

az postgres flexible-server create \
    --resource-group $RESOURCE_GROUP_NAME \
    --name $POSTGRESQL_NAME \
    --location eastus \
    --admin-user $POSTGRESQL_ADMIN_USER \
    --admin-password $POSTGRESQL_ADMIN_PASSWORD \
    --version 14 \
    --public-access 0.0.0.0 \
    --tier Burstable \
    --sku-name Standard_B1ms

Erstellen Sie eine Datenbank mit az postgres flexible-server db create.

export DATABASE_NAME="contoso"

# create postgresql database
az postgres flexible-server db create \
    --resource-group $RESOURCE_GROUP_NAME \
    --server-name $POSTGRESQL_NAME \
    --database-name $DATABASE_NAME

Azure SQL-Datenbank

Erstellen Sie einen Server mit dem Befehl az sql server create. In diesem Beispiel wird ein Server mit Administratorbenutzerazureuser- und Administratorkennwort Secret123456erstelltmyazuresql20130213. Ersetzen Sie das Kennwort durch Ihre. Weitere Informationen finden Sie in der Schnellstartanleitung: Erstellen einer einzelnen Datenbank – Azure SQL-Datenbank.

export AZURESQL_SERVER_NAME="myazuresql20130213"
export AZURESQL_ADMIN_USER="azureuser"
export AZURESQL_ADMIN_PASSWORD="Secret123456"

az sql server create \
    --resource-group $RESOURCE_GROUP_NAME \
    --name $AZURESQL_SERVER_NAME \
    --location eastus \
    --admin-user $AZURESQL_ADMIN_USER \
    --admin-password $AZURESQL_ADMIN_PASSWORD

Erstellen Sie mit dem Befehl az sql db create eine Datenbank auf der serverlosen Computeebene.

export DATABASE_NAME="mysingledatabase20230213"

az sql db create \
    --resource-group $RESOURCE_GROUP_NAME \
    --server $AZURESQL_SERVER_NAME \
    --name $DATABASE_NAME \
    --sample-name AdventureWorksLT \
    --edition GeneralPurpose \
    --compute-model Serverless \
    --family Gen5 \
    --capacity 2

Konfigurieren eines Microsoft Entra-Administrators für Ihre Datenbank

Nachdem Sie die Datenbank erstellt haben, müssen Sie sie bereit machen, kennwortlose Verbindungen zu unterstützen. Für eine kennwortlose Verbindung ist eine Kombination aus verwalteten Identitäten für Azure-Ressourcen und die Microsoft Entra-Authentifizierung erforderlich. Eine Übersicht über verwaltete Identitäten für Azure-Ressourcen finden Sie unter Was sind verwaltete Identitäten für Azure-Ressourcen?

MySQL Flexible Server

Informationen dazu, wie MySQL Flexible Server mit verwalteten Identitäten interagiert, finden Sie unter Verwenden der Microsoft Entra-ID für die Authentifizierung mit MySQL.

Im folgenden Beispiel wird der aktuelle Azure CLI-Benutzer als Microsoft Entra-Administratorkonto konfiguriert. Um die Azure-Authentifizierung zu aktivieren, ist es erforderlich, mySQL Flexible Server eine Identität zuzuweisen.

Erstellen Sie zunächst eine verwaltete Identität mit az identity create and assign the identity to MySQL server with az mysql flexible-server identity assign.

export MYSQL_UMI_NAME="id-mysql-aad-20221205"

# create a User Assigned Managed Identity for MySQL to be used for AAD authentication
az identity create \
    --resource-group $RESOURCE_GROUP_NAME \
    --name $MYSQL_UMI_NAME

## assign the identity to the MySQL server
az mysql flexible-server identity assign \
    --resource-group $RESOURCE_GROUP_NAME \
    --server-name $MYSQL_NAME \
    --identity $MYSQL_UMI_NAME

Legen Sie dann den aktuellen Azure CLI-Benutzer als Microsoft Entra-Administratorkonto fest, und erstellen Sie az mysql flexible-server ad-admin.

export CURRENT_USER=$(az account show --query user.name --output tsv)
export CURRENT_USER_OBJECTID=$(az ad signed-in-user show --query id --output tsv)

az mysql flexible-server ad-admin create \
    --resource-group $RESOURCE_GROUP_NAME \
    --server-name $MYSQL_NAME \
    --object-id $CURRENT_USER_OBJECTID \
    --display-name $CURRENT_USER \
    --identity $MYSQL_UMI_NAME

PostgreSQL Flexible Server

Informationen dazu, wie PostgreSQL Flexible Server mit verwalteten Identitäten interagiert, finden Sie unter Verwenden der Microsoft Entra-ID für die Authentifizierung mit Azure Database for PostgreSQL – Flexible Server. In den nächsten Befehlen wird PowerShell verwendet. Wenn Sie die Module Azure AD noch nicht installiert habenAz, installieren Sie sie jetzt.

Führen Sie zum Installieren des Az Moduls die Schritte unter Installieren des Azure Az PowerShell-Moduls aus.

Führen Sie zum Installieren des Moduls AzureAD die Schritte unter AzureAD aus.

Melden Sie sich bei Azure an, und rufen Sie Ihre Mandanten-ID mit dem folgenden Befehl ab:

Connect-AzAccount

Wenn Sie sich bei einem bestimmten Mandanten anmelden möchten, verwenden Sie stattdessen diesen Befehl.

Connect-AzAccount -Tenant <your-tenant-name>.onmicrosoft.com

In beiden Fällen werden Sie an einen Browser weitergeleitet, um die Anmeldung abzuschließen. Sie TenantId sollten ausgegeben werden, wie im folgenden Beispiel dargestellt mit redacted Data.

Account                       SubscriptionName       TenantId                             Environment
-------                       ----------------       --------                             -----------
passwordless-user@contoso.com Contoso subscription   XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX Your Cloud

Verwenden Sie den folgenden Befehl, um Ihrem Mandanten Lesezugriff zu gewähren Azure Database for PostgreSQL - Flexible Server Service Principal , um Graph-API-Token für Microsoft Entra-Validierungsaufgaben anzufordern. Dieser Vorgang verwendet PowerShell-Befehle. Geben Sie die Mandanten-ID ein, die Sie aus dem vorherigen Befehl abgerufen haben. Weitere Informationen finden Sie unter Verwenden der Microsoft Entra-Authentifizierung mit Azure Database for PostgreSQL – Flexible Server.

Connect-AzureAD -TenantId <your-tenant-ID>

Eine erfolgreiche Ausgabe ähnelt dem folgenden Beispiel:

Account                       Environment TenantId                             TenantDomain                       AccountType
-------                       ----------- --------                             ------------                       -----------
passwordless-user@contoso.com AzureCloud  XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX <your-tenant-name>.onmicrosoft.com User

Stellen Sie sicher, dass Ihr Azure-Mandant über den Dienstprinzipal für Azure Database for PostgreSQL Flexible Server verfügt. Sie müssen diese Aktion nur einmal pro Azure-Mandant ausführen. Überprüfen Sie zunächst mithilfe des folgenden Befehls, ob der Dienstprinzipal in Ihrem Mandanten vorhanden ist. Der spezifische ObjectId Wert gilt für die Azure-Datenbank für Den Flexible Server-Dienstprinzipal für PostgreSQL.

Get-AzureADServicePrincipal -ObjectId 0049e2e2-fcea-4bc4-af90-bdb29a9bbe98

Wenn der Dienstprinzipal vorhanden ist, wird die folgende Ausgabe angezeigt.

ObjectId                             AppId                                DisplayName
--------                             -----                                -----------
0049e2e2-fcea-4bc4-af90-bdb29a9bbe98 5657e26c-cc92-45d9-bc47-9da6cfdb4ed9 Azure OSSRDBMS PostgreSQL Flexible Server

Andernfalls müssen Sie den Dienstprinzipal mit dem folgenden Befehl erstellen. Der spezifische AppId Wert ist für die Azure-Datenbank für PostgreSQL Flexible Server.

New-AzureADServicePrincipal -AppId 5657e26c-cc92-45d9-bc47-9da6cfdb4ed9

Führen Sie die folgenden Schritte aus, um die Konfiguration im Azure-Portal fortzusetzen.

1. Melden Sie sich über Ihren Browser beim Azure-Portal an. postgresql20221223 Suchen Sie danach, und wählen Sie sie aus.
2. Wählen Sie im Abschnitt "Sicherheit " die Option "Authentifizierung" und dann "PostgreSQL" und "Microsoft Entra-Authentifizierung" aus.
3. Wählen Sie " Speichern" und dann " Fortfahren" aus. Die Bereitstellung dauert mehrere Minuten bis zum Abschluss. Warten Sie auf den Abschluss der Bereitstellung, bevor Sie fortfahren.
4. Wechseln Sie zurück zur Ressourcepostgresql20221223, und wählen Sie dann im Abschnitt "Sicherheit" die Option "Authentifizierung" erneut aus.
5. Microsoft Entra-Administratoren (Microsoft Entra Admins) werden auf der Seite angezeigt. Wählen Sie "Microsoft Entra-Administratoren hinzufügen", wählen Sie das Konto aus, das Sie derzeit in der Azure-Portal verwenden, und wählen Sie dann "Auswählen" aus.
6. Wählen Sie Speichern. Es dauert mehrere Sekunden, um den Microsoft Entra-Administrator zu erstellen, wie im folgenden Screenshot gezeigt.

Azure SQL-Datenbank

Informationen dazu, wie Azure SQL Server mit verwalteten Identitäten interagiert, finden Sie unter Verbinden verwendung der Microsoft Entra-Authentifizierung.

Im folgenden Beispiel wird ein Microsoft Entra-Administratorkonto über das Portal auf Azure SQL Server konfiguriert.

1. Öffnen Sie im Azure-Portal die Azure SQL Server-Instanzmyazuresql20130213.

2. Wählen Sie Einstellungen und dann Microsoft Entra ID aus. Wählen Sie auf der Seite "Microsoft Entra ID " die Option "Administrator festlegen" aus.

   

3. Suchen Sie auf der Seite "Administrator hinzufügen" nach einem Benutzer, wählen Sie den Benutzer oder die Gruppe aus, der ein Administrator sein soll, und wählen Sie dann "Auswählen" aus.

4. Wählen Sie oben auf der Microsoft Entra-ID-Seite " Speichern" aus. Für Microsoft Entra-Benutzer und -Gruppen wird die Objekt-ID neben dem Administratornamen angezeigt.

5. Der Vorgang zum Ändern des Administrators kann einige Minuten in Anspruch nehmen. Anschließend wird der neue Administrator im Feld "Microsoft Entra-ID " angezeigt.

Erstellen einer benutzerseitig zugewiesenen verwalteten Identität

Erstellen Sie als Nächstes in Azure CLI mithilfe des Befehls "az identity create " eine Identität in Ihrem Abonnement. Sie verwenden diese verwaltete Identität, um eine Verbindung mit Ihrer Datenbank herzustellen.

az identity create \
    --resource-group ${RESOURCE_GROUP_NAME} \
    --name myManagedIdentity

Um die Identität in den folgenden Schritten zu konfigurieren, verwenden Sie den Befehl az identity show , um die Client-ID der Identität in einer Shellvariable zu speichern.

# Get client ID of the user-assigned identity
export CLIENT_ID=$(az identity show \
    --resource-group ${RESOURCE_GROUP_NAME} \
    --name myManagedIdentity \
    --query clientId \
    --output tsv)

Erstellen eines Datenbankbenutzers für Ihre verwaltete Identität

MySQL Flexible Server

Stellen Sie nun eine Verbindung als Microsoft Entra-Administratorbenutzer mit Ihrer MySQL-Datenbank her, und erstellen Sie einen MySQL-Benutzer für Ihre verwaltete Identität.

Zunächst müssen Sie eine Firewallregel erstellen, um von Ihrem CLI-Client aus auf den MySQL-Server zuzugreifen. Führen Sie die folgenden Befehle aus, um Ihre aktuelle IP-Adresse abzurufen.

export MY_IP=$(curl http://whatismyip.akamai.com)

Wenn Sie an Windows-Subsystem für Linux (WSL) mit aktivierter VPN-Funktion arbeiten, gibt der folgende Befehl möglicherweise eine falsche IPv4-Adresse zurück. Eine Möglichkeit zum Abrufen Ihrer IPv4-Adresse ist der Besuch von whatismyipaddress.com. Legen Sie in jedem Fall die Umgebungsvariable MY_IP als IPv4-Adresse fest, aus der Sie eine Verbindung mit der Datenbank herstellen möchten.

Erstellen Sie eine temporäre Firewallregel mit az mysql flexible-server firewall-rule erstellen.

az mysql flexible-server firewall-rule create \
    --resource-group $RESOURCE_GROUP_NAME \
    --name $MYSQL_NAME \
    --rule-name AllowCurrentMachineToConnect \
    --start-ip-address ${MY_IP} \
    --end-ip-address ${MY_IP}

Bereiten Sie dann eine .sql Datei vor, um einen Datenbankbenutzer für die verwaltete Identität zu erstellen. Im folgenden Beispiel wird ein Benutzer mit Anmeldenamen identity-contoso hinzugefügt und dem Benutzer Berechtigungen für den Zugriff auf die Datenbank contosogewährt.

export IDENTITY_LOGIN_NAME="identity-contoso"

cat <<EOF >createuser.sql
SET aad_auth_validate_oids_in_tenant = OFF;
DROP USER IF EXISTS '${IDENTITY_LOGIN_NAME}'@'%';
CREATE AADUSER '${IDENTITY_LOGIN_NAME}' IDENTIFIED BY '${CLIENT_ID}';
GRANT ALL PRIVILEGES ON ${DATABASE_NAME}.* TO '${IDENTITY_LOGIN_NAME}'@'%';
FLUSH privileges;
EOF

Führen Sie die .sql Datei mit dem Befehl az mysql flexible-server execute aus. Sie können Ihr Zugriffstoken mit dem Befehl az account get-access-token abrufen.

export RDBMS_ACCESS_TOKEN=$(az account get-access-token \
    --resource-type oss-rdbms \
    --query accessToken \
    --output tsv) 

az mysql flexible-server execute \
    --name ${MYSQL_NAME} \
    --admin-user ${CURRENT_USER} \
    --admin-password ${RDBMS_ACCESS_TOKEN} \
    --file-path "createuser.sql"

Möglicherweise werden Sie aufgefordert, die rdbms-connect Erweiterung zu installieren, wie in der folgenden Ausgabe gezeigt. Drücken Sie y , um fortzufahren. Wenn Sie nicht mit dem root Benutzer arbeiten, müssen Sie das Benutzerkennwort eingeben.

The command requires the extension rdbms-connect. Do you want to install it now? The command will continue to run after the extension is installed. (Y/n): y
Run 'az config set extension.use_dynamic_install=yes_without_prompt' to allow installing extensions without prompt.
This extension depends on gcc, libpq-dev, python3-dev and they will be installed first.
[sudo] password for user:

Wenn die .sql Datei erfolgreich ausgeführt wird, finden Sie die Ausgabe, die dem folgenden Beispiel ähnelt:

Running *.sql* file 'createuser.sql'...
Successfully executed the file.
Closed the connection to mysql20221201

Die verwaltete Identität myManagedIdentity hat jetzt Zugriff auf die Datenbank, wenn sie mit dem Benutzernamen identity-contosoauthentifiziert wird.

Wenn Sie nicht mehr über diese IP-Adresse auf den Server zugreifen möchten, können Sie die Firewallregel mit dem folgenden Befehl entfernen.

az mysql flexible-server firewall-rule delete \
    --resource-group $RESOURCE_GROUP_NAME \
    --name $MYSQL_NAME \
    --rule-name AllowCurrentMachineToConnect \
    --yes

Verwenden Sie schließlich den folgenden Befehl, um die Verbindungszeichenfolge abzurufen, die Sie im nächsten Abschnitt verwenden.

export CONNECTION_STRING="jdbc:mysql://${MYSQL_NAME}.mysql.database.azure.com:3306/${DATABASE_NAME}?useSSL=true"
echo ${CONNECTION_STRING}

PostgreSQL Flexible Server

Stellen Sie nun eine Verbindung als Microsoft Entra-Administratorbenutzer mit Ihrer PostgreSQL-Datenbank her, und erstellen Sie einen PostgreSQL-Benutzer für Ihre verwaltete Identität.

In diesem Beispiel wird Azure Cloud Shell verwendet, um eine Verbindung mit der Datenbank herzustellen. Führen Sie die folgenden Schritte aus, um einen Datenbankbenutzer zu erstellen.

1. Melden Sie sich über Ihren Browser beim Azure-Portal an. postgresql20221223 Suchen und öffnen Sie den Datenbankserver.

2. Wählen Sie Übersicht aus. Suchen Sie die Schaltfläche Verbinden. Wählen Sie Verbinden und dann die postgres Datenbank aus. Stellen Sie sicher, dass Sie die richtige Datenbank verwenden. Wenn die Datenbank verbunden ist, wird die Azure Cloud Shell angezeigt.

3. Geben Sie den folgenden Befehl ein, um einen Benutzer für Ihre verwaltete Identität myManagedIdentityzu erstellen:

   select * from pgaadauth_create_principal('myManagedIdentity', false, false);
   

   Sie finden eine Meldung, die besagt Created role for "myManagedIdentity", dass der Benutzer erfolgreich erstellt wird.

4. Auflisten aller Microsoft Entra-Benutzer mithilfe des folgenden Befehls:

   select * from pgaadauth_list_principals(false);
   

5. Verwenden Sie die folgenden Befehle, um Zugriff auf Ihre Datenbank contosozu gewährenmyManagedIdentity:

   GRANT ALL PRIVILEGES ON DATABASE "contoso" TO "myManagedIdentity";
   GRANT ALL PRIVILEGES ON ALL TABLES IN SCHEMA public TO "myManagedIdentity";
   GRANT ALL PRIVILEGES ON ALL SEQUENCES IN SCHEMA public TO "myManagedIdentity";
   

   Die Ausgabe ähnelt dem folgenden Inhalt.

   psql 'host=postgresql20221223.postgres.database.azure.com port=5432 dbname=postgres user=test@contoso.com password='$(az account get-access-token --resource-type oss-rdbms --output tsv --query accessToken)' sslmode=require'
   psql (14.5)
   SSL connection (protocol: TLSv1.3, cipher: TLS_AES_256_GCM_SHA384, bits: 256, compression: off)
   Type "help" for help.
   
   postgres=> select * from pgaadauth_create_principal('myManagedIdentity', false, false);
       pgaadauth_create_principal
   --------------------------------------
   Created role for "myManagedIdentity"
   (1 row)
   
   postgres=> select * from pgaadauth_list_principals(false);
       rolname       | principaltype |               objectid               |               tenantid               | ismfa | isadmin
   ------------------+---------------+--------------------------------------+--------------------------------------+-------+---------
   test@contoso.com  | user          | XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX | XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX |     0 |       1
   myManagedIdentity | service       | XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX | XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX |     0 |       0
   (2 rows)
   postgres=> GRANT ALL PRIVILEGES ON DATABASE "contoso" TO "myManagedIdentity";
   WARNING:  no privileges were granted for "contoso"
   GRANT
   postgres=> GRANT ALL PRIVILEGES ON ALL TABLES IN SCHEMA public TO "myManagedIdentity";
   GRANT
   postgres=> GRANT ALL PRIVILEGES ON ALL SEQUENCES IN SCHEMA public TO "myManagedIdentity";
   GRANT
   postgres=>
   

6. Schließen Sie das Azure Cloud Shell-Fenster.

7. Verwenden Sie schließlich wieder in der verwendeten Azure CLI-Shell den folgenden Befehl, um die Verbindungszeichenfolge abzurufen, die Sie im nächsten Abschnitt verwenden.

   export CONNECTION_STRING="jdbc:postgresql://${POSTGRESQL_NAME}.postgres.database.azure.com:5432/${DATABASE_NAME}?sslmode=require"
   echo ${CONNECTION_STRING}
   

Azure SQL-Datenbank

Stellen Sie nun eine Verbindung als Microsoft Entra-Administratorbenutzer mit Ihrer Azure SQL-Datenbank aus dem Azure-Portal her, und erstellen Sie einen Benutzer für Ihre verwaltete Identität.

Erstellen Sie zunächst eine Firewallregel für den Zugriff auf den Azure SQL-Server über das Portal, wie in den folgenden Schritten gezeigt.

1. Öffnen Sie im Azure-Portal die Azure SQL Server-Instanzmyazuresql20130213.
2. Wählen Sie "Sicherheit" und dann "Netzwerk" aus.
3. Wählen Sie unter Firewallregeln die Option "IPV4-Clientadresse hinzufügen" aus.
4. Wählen Sie unter "Ausnahmen" die Option "Azure-Dienste und -Ressourcen zulassen" aus, um auf diesen Server zuzugreifen.
5. Wählen Sie Speichern.

Nachdem die Firewallregel erstellt wurde, können Sie über das Portal auf den Azure SQL-Server zugreifen. Führen Sie die folgenden Schritte aus, um einen Datenbankbenutzer zu erstellen.

1. Wählen Sie Einstellungen und dann SQL-Datenbanken aus. Wählen Sie mysingledatabase20230213 aus.

2. Wählen Sie den Abfrage-Editor aus. Suchen Sie auf der Seite "Willkommen bei SQL-Datenbank Abfrage-Editor" unter active Directory-Authentifizierung eine Meldung wie "Angemeldet alsuser@contoso.com".

3. Wählen Sie "Weiter" aus user@contoso.com, wobei user ihr AD-Administratorkontoname angegeben ist.

4. Führen Sie nach der Anmeldung im Abfrage 1-Editor die folgenden Befehle aus, um einen Datenbankbenutzer für verwaltete Identität myManagedIdentityzu erstellen.

   CREATE USER "myManagedIdentity" FROM EXTERNAL PROVIDER
   ALTER ROLE db_datareader ADD MEMBER "myManagedIdentity";
   ALTER ROLE db_datawriter ADD MEMBER "myManagedIdentity";
   ALTER ROLE db_ddladmin ADD MEMBER "myManagedIdentity";
   GO
   

5. Wählen Sie im Abfrage 1-Editor "Ausführen" aus, um die SQL-Befehle auszuführen.

6. Wenn die Befehle erfolgreich abgeschlossen wurden, finden Sie eine Meldung mit der Meldung "Abfrage erfolgreich: Betroffene Zeilen: 0".

Verwenden Sie schließlich den folgenden Befehl, um die Verbindungszeichenfolge abzurufen, die Sie im nächsten Abschnitt verwenden.

export CONNECTION_STRING="jdbc:sqlserver://myazuresql20130213.database.windows.net:1433;database=mysingledatabase20230213;encrypt=true;trustServerCertificate=false;hostNameInCertificate=*.database.windows.net;loginTimeout=30;"
echo ${CONNECTION_STRING}

Konfigurieren einer kennwortlosen Datenbankverbindung für Oracle WebLogic Server auf Azure-VMs

In diesem Abschnitt erfahren Sie, wie Sie die kennwortlose Datenquellenverbindung mithilfe des Azure Marketplace-Angebotes für Oracle WebLogic Server konfigurieren.

Beginnen Sie zunächst mit der Bereitstellung eines Angebots. Im Folgenden werden kennwortlose Datenbankverbindungen unterstützt:

• Oracle WebLogic Server auf Azure Kubernetes Service
  • Schnellstart
• Oracle WebLogic Server Cluster auf VMs
  • Schnellstart
• Oracle WebLogic Server mit Admin Server auf VMs
  • Schnellstart
• Oracle WebLogic Server Dynamic Cluster on VMs
  • Schnellstart

Füllen Sie die erforderlichen Informationen im Bereich "Grundlagen " und anderen Bereichen aus, wenn Sie die Features aktivieren möchten. Wenn Sie den Datenbankbereich erreichen, füllen Sie die kennwortlose Konfiguration aus, wie in den folgenden Schritten gezeigt.

MySQL Flexible Server

1. Wählen Sie "Ja" aus, um Verbinden zur Datenbank zu verwenden.
2. Öffnen Sie unter Verbinden ion-Einstellungen für "Datenbanktyp auswählen" das Dropdownmenü, und wählen Sie dann MySQL (mit Unterstützung für kennwortlose Verbindung) aus.
3. Für JNDI-Name geben Sie testpasswordless oder den erwarteten Wert ein.
4. Geben Sie für DataSource-Verbinden ion-Zeichenfolge die Verbindungszeichenfolge ein, die Sie im letzten Abschnitt abgerufen haben.
5. Geben Sie für den Datenbankbenutzernamen den Datenbankbenutzernamen Ihrer verwalteten Identität (den Wert von ${IDENTITY_LOGIN_NAME}) ein. In diesem Beispiel lautet der Wert identity-contoso.
6. Wählen Sie "Kennwortlose Datenquellenverbindung verwenden" aus.
7. Wählen Sie für vom Benutzer zugewiesene verwaltete Identität die zuvor erstellte verwaltete Identität aus. In diesem Beispiel lautet myManagedIdentityder Name .

Der Abschnitt Verbinden ion-Einstellungen sollte wie der folgende Screenshot aussehen, der Oracle WebLogic Server Cluster auf VMs als Beispiel verwendet.

PostgreSQL Flexible Server

1. Wählen Sie "Ja" aus, um Verbinden zur Datenbank zu verwenden.
2. Öffnen Sie unter Verbinden ion-Einstellungen für "Datenbanktyp auswählen" das Dropdownmenü, und wählen Sie dann Azure-Datenbank für PostgreSQL (mit Unterstützung für kennwortlose Verbindung) aus.
3. Für JNDI-Name geben Sie testpasswordless oder den erwarteten Wert ein.
4. Geben Sie für dataSource Verbinden ion String die Verbindungszeichenfolge ein, die Sie im letzten Abschnitt erhalten haben.
5. Geben Sie für den Benutzernamen der Datenbank Ihren Namen der verwalteten Identität ein. In diesem Beispiel lautet der Wert myManagedIdentity.
6. Wählen Sie "Kennwortlose Datenquellenverbindung verwenden" aus.
7. Wählen Sie für vom Benutzer zugewiesene verwaltete Identität die verwaltete Identität aus, die Sie im vorherigen Schritt erstellt haben. In diesem Beispiel lautet myManagedIdentityder Name .
8. Wählen Sie Hinzufügen aus.

Der Abschnitt Verbinden ion-Einstellungen sollte wie der folgende Screenshot aussehen, der Oracle WebLogic Server Cluster auf VMs als Beispiel verwendet.

Azure SQL-Datenbank

1. Wählen Sie "Ja" aus, um Verbinden zur Datenbank zu verwenden.
2. Öffnen Sie unter Verbinden ion-Einstellungen für "Datenbanktyp auswählen" das Dropdownmenü, und wählen Sie dann Azure SQL (mit Unterstützung für kennwortlose Verbindung) aus.
3. Für JNDI-Name geben Sie testpasswordless oder den erwarteten Wert ein.
4. Geben Sie für dataSource Verbinden ion String die Verbindungszeichenfolge ein, die Sie im letzten Abschnitt erhalten haben.
5. Wählen Sie "Kennwortlose Datenquellenverbindung verwenden" aus.
6. Wählen Sie für vom Benutzer zugewiesene verwaltete Identität die verwaltete Identität aus, die Sie im vorherigen Schritt erstellt haben. In diesem Beispiel lautet myManagedIdentityder Name .
7. Wählen Sie Hinzufügen aus.

Der Abschnitt Verbinden ion-Einstellungen sollte wie der folgende Screenshot aussehen, der Oracle WebLogic Server Cluster auf VMs als Beispiel verwendet.

Sie haben nun die Konfiguration der kennwortlosen Verbindung abgeschlossen. Sie können weiterhin die folgenden Bereiche ausfüllen oder "Überprüfen+ erstellen" und dann "Erstellen" auswählen, um das Angebot bereitzustellen.

Überprüfen der Datenbankverbindung

Die Datenbankverbindung ist erfolgreich konfiguriert, wenn die Bereitstellung ohne Fehler abgeschlossen ist.

Führen Sie nach Abschluss der Bereitstellung weiterhin Oracle WebLogic Server Cluster auf VMs aus, und führen Sie die folgenden Schritte im Azure-Portal aus, um die Administratorkonsolen-URL zu finden.

1. Suchen Sie die Ressourcengruppe, in der Sie WLS bereitgestellt haben.
2. Wählen Sie unter Einstellungen die Option Bereitstellungen aus.
3. Wählen Sie die Bereitstellung mit der längsten Dauer aus. Diese Bereitstellung sollte am Ende der Liste stehen.
4. Klicken Sie auf Ausgaben.
5. Die URL der WebLogic-Verwaltungskonsole ist der Wert der adminConsoleUrl-Ausgabe .
6. Kopieren Sie den Wert der Ausgabevariablen adminConsoleUrl.
7. Fügen Sie den Wert in die Adressleiste des Browsers ein, und drücken Sie die EINGABETASTE , um die Anmeldeseite der WebLogic-Verwaltungskonsole zu öffnen.

Führen Sie die folgenden Schritte aus, um die Datenbankverbindung zu überprüfen.

1. Melden Sie sich mit dem Benutzernamen und kennwort, den Sie im Bereich "Grundlagen " angegeben haben, bei der WebLogic-Verwaltungskonsole an.

2. Wählen Sie unter "Do Standard Structure" die Option "Dienste", "Datenquellen" und dann "Testpasswordless" aus.

3. Wählen Sie die Registerkarte "Überwachung" aus, auf der der Status der Datenquelle ausgeführt wird, wie im folgenden Screenshot gezeigt.

   MySQL Flexible Server

   

   PostgreSQL Flexible Server

   

   Azure SQL-Datenbank

   

4. Wählen Sie die Registerkarte "Testen " und dann das Optionsfeld neben dem gewünschten Server aus.

5. Wählen Sie Datenquelle testen aus. Es sollte eine Meldung angezeigt werden, die einen erfolgreichen Test angibt, wie im folgenden Screenshot gezeigt.

   

Bereinigen von Ressourcen

Wenn Sie diese Ressourcen nicht benötigen, können Sie sie löschen, indem Sie die folgenden Befehle ausführen:

az group delete --name ${RESOURCE_GROUP_NAME}
az group delete --name <resource-group-name-that-deploys-the-offer>

Nächste Schritte

Weitere Informationen zum Ausführen von WLS in AKS oder auf virtuellen Computern finden Sie unter folgenden Links:

WLS in AKS

WLS auf virtuellen Computern

Beispiele für kennwortlose Verbinden ions für Java-Apps