Konfigurieren kennwortloser Datenbankverbindungen für Java-Apps auf Oracle WebLogic Server-Instanzen

In diesem Artikel erfahren Sie, wie Sie kennwortlose Datenbankverbindungen für Java-Apps auf Oracle WebLogic Server mit dem Azure-Portal konfigurieren.

In dieser Anleitung führen Sie die folgenden Aufgaben durch:

• Bereitstellen von Datenbankressourcen mit Azure CLI.
• Aktivieren des Microsoft Entra-Administrators in der Datenbank.
• Bereitstellen einer vom Benutzer zugewiesenen verwalteten Identität und Erstellen eines Datenbankbenutzers für diese Identität.
• Konfigurieren einer kennwortlosen Datenbankverbindung in Oracle WebLogic mit dem Azure-Portal.
• Überprüfen der Datenbankverbindung.

Die Angebote unterstützen kennwortlose Verbindungen für PostgreSQL-, MySQL- und Azure SQL-Datenbanken.

Voraussetzungen

• Ein Azure-Abonnement. Wenn Sie kein Azure-Abonnement besitzen, erstellen Sie ein kostenloses Konto, bevor Sie beginnen.

• Verwenden Sie Azure Cloud Shell mit der Bash-Umgebung. Stellen Sie sicher, dass die Azure CLI Version 2.43.0 oder höher ist.

  

• Wenn Sie möchten, können Sie die Azure CLI 2.43.0 oder höher installieren, um Azure CLI-Befehle auszuführen.

  • Wenn Sie eine lokale Installation verwenden, melden Sie sich mithilfe des Befehls az login bei der Azure CLI an. Führen Sie die in Ihrem Terminal angezeigten Schritte aus, um den Authentifizierungsprozess abzuschließen. Informationen zu anderen Anmeldeoptionen finden Sie unter Anmelden mit der Azure CLI.
  • Installieren Sie die Azure CLI-Erweiterungen bei der ersten Verwendung, wenn Sie dazu aufgefordert werden. Weitere Informationen zu Erweiterungen finden Sie unter Verwenden von Erweiterungen mit der Azure CLI.
  • Führen Sie az version aus, um die installierte Version und die abhängigen Bibliotheken zu ermitteln. Führen Sie az upgrade aus, um das Upgrade auf die aktuelle Version durchzuführen.

• Stellen Sie sicher, dass die Azure-Identität, die Sie zum Anmelden und Durcharbeiten dieses Artikels verwenden, im aktuellen Abonnement entweder über die Rolle Besitzer oder über die Rollen Mitwirkender und Benutzerzugriffsadministrator verfügt. Eine Übersicht über Azure-Rollen finden Sie unter Was ist die rollenbasierte Zugriffssteuerung in Azure (Azure Role-Based Access Control, Azure RBAC)? Ausführliche Informationen zu den für das Oracle WebLogic Marketplace-Angebot erforderlichen spezifischen Rollen finden Sie unter Integrierte Azure-Rollen.

Erstellen einer Ressourcengruppe

Erstellen Sie mit az group create eine Ressourcengruppe. Da Ressourcengruppen innerhalb eines Abonnements eindeutig sein müssen, wählen Sie einen eindeutigen Namen aus. Eine einfache Möglichkeit, eindeutige Namen zu haben, besteht darin, eine Kombination aus Ihren Initialen, dem heutigen Datum und einer Kennung zu verwenden. Beispiel: abc1228rg. In diesem Beispiel wird eine Ressourcengruppe mit dem Namen abc1228rg am Standort eastus erstellt:

export RESOURCE_GROUP_NAME="abc1228rg"
az group create \
    --name ${RESOURCE_GROUP_NAME} \
    --location eastus

Erstellen eines Datenbankservers und einer Datenbank

MySQL – Flexible Server

Erstellen Sie mithilfe des Befehls az mysql flexible-server create einen flexiblen Server. In diesem Beispiel wird ein flexibler Server mit dem Namen mysql20221201 mit dem Administratorbenutzer azureuser und dem Administratorkennwort Secret123456 erstellt. Ersetzen Sie das Kennwort durch Ihr eigenes. Weitere Informationen finden Sie unter Schnellstart: Verwenden einer Azure Database for MySQL Flexible Server mithilfe der Azure CLI.

export MYSQL_NAME="mysql20221201"
export MYSQL_ADMIN_USER="azureuser"
export MYSQL_ADMIN_PASSWORD="Secret123456"

az mysql flexible-server create \
    --resource-group $RESOURCE_GROUP_NAME \
    --name $MYSQL_NAME \
    --location eastus \
    --admin-user $MYSQL_ADMIN_USER \
    --admin-password $MYSQL_ADMIN_PASSWORD \
    --public-access 0.0.0.0 \
    --tier Burstable \
    --sku-name Standard_B1ms

Erstellen Sie eine Datenbank mit az mysql flexible-server db create.

export DATABASE_NAME="contoso"

# create mysql database
az mysql flexible-server db create \
    --resource-group $RESOURCE_GROUP_NAME \
    --server-name $MYSQL_NAME \
    --database-name $DATABASE_NAME

Wenn der Befehl abgeschlossen wurde, sollte Ihnen eine Ausgabe ähnlich dem folgenden Beispiel angezeigt werden:

Creating database with utf8 charset and utf8_general_ci collation
{
  "charset": "utf8",
  "collation": "utf8_general_ci",
  "id": "/subscriptions/contoso-hashcode/resourceGroups/abc1228rg/providers/Microsoft.DBforMySQL/flexibleServers/mysql20221201/databases/contoso",
  "name": "contoso",
  "resourceGroup": "abc1228rg",
  "systemData": null,
  "type": "Microsoft.DBforMySQL/flexibleServers/databases"
}

PostgreSQL – Flexible Server

Erstellen Sie mithilfe des Befehls az postgres flexible-server create einen flexiblen Server. In diesem Beispiel wird ein flexibler Server mit dem Namen postgresql20221223 mit dem Administratorbenutzer azureuser und dem Administratorkennwort Secret123456 erstellt. Ersetzen Sie das Kennwort durch Ihr eigenes. Weitere Informationen finden Sie unter Schnellstart: Verwenden einer Azure Database for PostgreSQL Flexible Server mithilfe der Azure CLI.

export POSTGRESQL_NAME="postgresql20221223"
export POSTGRESQL_ADMIN_USER="azureuser"
export POSTGRESQL_ADMIN_PASSWORD="Secret123456"

az postgres flexible-server create \
    --resource-group $RESOURCE_GROUP_NAME \
    --name $POSTGRESQL_NAME \
    --location eastus \
    --admin-user $POSTGRESQL_ADMIN_USER \
    --admin-password $POSTGRESQL_ADMIN_PASSWORD \
    --version 14 \
    --public-access 0.0.0.0 \
    --tier Burstable \
    --sku-name Standard_B1ms

Erstellen Sie eine Datenbank mit az postgres flexible-server db create.

export DATABASE_NAME="contoso"

# create postgresql database
az postgres flexible-server db create \
    --resource-group $RESOURCE_GROUP_NAME \
    --server-name $POSTGRESQL_NAME \
    --database-name $DATABASE_NAME

Azure SQL-Datenbank

Erstellen Sie einen Server mit dem Befehl az sql server create. In diesem Beispiel wird ein Server mit dem Namen myazuresql20130213 mit dem Administratorbenutzer azureuser und dem Administratorkennwort Secret123456 erstellt. Ersetzen Sie das Kennwort durch Ihr eigenes. Weitere Informationen finden Sie unter Quickstart: Erstellen einer Einzeldatenbank – Azure SQL-Datenbank.

export AZURESQL_SERVER_NAME="myazuresql20130213"
export AZURESQL_ADMIN_USER="azureuser"
export AZURESQL_ADMIN_PASSWORD="Secret123456"

az sql server create \
    --resource-group $RESOURCE_GROUP_NAME \
    --name $AZURESQL_SERVER_NAME \
    --location eastus \
    --admin-user $AZURESQL_ADMIN_USER \
    --admin-password $AZURESQL_ADMIN_PASSWORD

Erstellen Sie mit dem Befehl az sql db create eine Datenbank auf der serverlosen Computeebene.

export DATABASE_NAME="mysingledatabase20230213"

az sql db create \
    --resource-group $RESOURCE_GROUP_NAME \
    --server $AZURESQL_SERVER_NAME \
    --name $DATABASE_NAME \
    --sample-name AdventureWorksLT \
    --edition GeneralPurpose \
    --compute-model Serverless \
    --family Gen5 \
    --capacity 2

Konfigurieren eines Microsoft Entra Administrators für Ihre Datenbank

Nachdem Sie die Datenbank erstellt haben, müssen Sie sie darauf vorbereiten, kennwortlose Verbindungen zu unterstützen. Für eine kennwortlose Verbindung ist eine Kombination aus verwalteten Identitäten für Azure-Ressourcen und die Microsoft Entra-Authentifizierung erforderlich. Eine Übersicht über verwaltete Identitäten für Azure-Ressourcen finden Sie unter Was sind verwaltete Identitäten für Azure-Ressourcen?

MySQL – Flexible Server

Informationen dazu, wie MySQL Flexible Server mit verwalteten Identitäten interagiert, finden Sie unter Verwenden der Microsoft Entra ID für die Authentifizierung mit MySQL.

Im folgenden Beispiel wird der aktuelle Azure CLI-Benutzer als Microsoft Entra-Administratorkonto konfiguriert. Um die Azure-Authentifizierung zu aktivieren, ist es erforderlich, MySQL Flexible Server eine Identität zuzuweisen.

Erstellen Sie zunächst eine verwaltete Identität mit az identity create, und weisen Sie die Identität dem MySQL-Server mit az mysql flexible-server identity assign zu.

export MYSQL_UMI_NAME="id-mysql-aad-20221205"

# create a User Assigned Managed Identity for MySQL to be used for AAD authentication
az identity create \
    --resource-group $RESOURCE_GROUP_NAME \
    --name $MYSQL_UMI_NAME

## assign the identity to the MySQL server
az mysql flexible-server identity assign \
    --resource-group $RESOURCE_GROUP_NAME \
    --server-name $MYSQL_NAME \
    --identity $MYSQL_UMI_NAME

Legen Sie dann den aktuellen Azure CLI-Benutzer als Microsoft Entra-Administratorkonto mit az mysql flexible-server ad-admin create fest.

export CURRENT_USER=$(az account show --query user.name --output tsv)
export CURRENT_USER_OBJECTID=$(az ad signed-in-user show --query id --output tsv)

az mysql flexible-server ad-admin create \
    --resource-group $RESOURCE_GROUP_NAME \
    --server-name $MYSQL_NAME \
    --object-id $CURRENT_USER_OBJECTID \
    --display-name $CURRENT_USER \
    --identity $MYSQL_UMI_NAME

PostgreSQL – Flexible Server

Informationen dazu, wie PostgreSQL Flexible Server mit verwalteten Identitäten interagiert, finden Sie unter Verwenden der Microsoft Entra ID für die Authentifizierung mit Azure Database for PostgreSQL – Flexible Server. In den nächsten Befehlen wird PowerShell verwendet. Wenn Sie die Module Az und Azure AD noch nicht installiert haben, installieren Sie sie jetzt.

Um das Az-Modul zu installieren, befolgen Sie die Schritte unter Installieren des Azure Az PowerShell-Moduls.

Um das AzureAD-Modul zu installieren, befolgen Sie die Schritte unter AzureAD.

Melden Sie sich bei Azure an, und rufen Sie Ihre Mandanten-ID mit dem folgenden Befehl ab:

Connect-AzAccount

Wenn Sie sich bei einem bestimmten Mandanten anmelden möchten, verwenden Sie stattdessen diesen Befehl.

Connect-AzAccount -Tenant <your-tenant-name>.onmicrosoft.com

In beiden Fällen werden Sie an einen Browser weitergeleitet, um die Anmeldung abzuschließen. Ihr TenantId sollte, wie im folgenden Beispiel dargestellt, mit unkenntlich gemachten Daten angezeigt werden.

Account                       SubscriptionName       TenantId                             Environment
-------                       ----------------       --------                             -----------
passwordless-user@contoso.com Contoso subscription   XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX Your Cloud

Verwenden Sie den folgenden Befehl, um Azure Database for PostgreSQL - Flexible Server Service Principal Lesezugriff zu gewähren und so Graph-API-Token für Microsoft Entra-Validierungsaufgaben anzufordern. Dieser Vorgang verwendet PowerShell-Befehle. Geben Sie die Mandanten-ID ein, die Sie aus dem vorherigen Befehl abgerufen haben. Weitere Informationen finden Sie unter Verwenden der Microsoft Entra-Authentifizierung mit Azure Database for PostgreSQL – Flexible Server .

Connect-AzureAD -TenantId <your-tenant-ID>

Eine erfolgreiche Ausgabe ähnelt dem folgenden Beispiel:

Account                       Environment TenantId                             TenantDomain                       AccountType
-------                       ----------- --------                             ------------                       -----------
passwordless-user@contoso.com AzureCloud  XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX <your-tenant-name>.onmicrosoft.com User

Stellen Sie sicher, dass Ihr Azure-Mandant über den Dienstprinzipal für Azure Database for PostgreSQL Flexible Server verfügt. Sie müssen diese Aktion nur einmal pro Azure-Mandanten vornehmen. Überprüfen Sie zunächst, ob der Dienstprinzipal in Ihrem Mandanten vorhanden ist, indem Sie den folgenden Befehl verwenden. Der spezifische ObjectId-Wert gilt für den Azure Database for PostgreSQL Flexible Server-Dienstprinzipal.

Get-AzureADServicePrincipal -ObjectId 0049e2e2-fcea-4bc4-af90-bdb29a9bbe98

Wenn der Dienstprinzipal vorhanden ist, wird die folgende Ausgabe angezeigt.

ObjectId                             AppId                                DisplayName
--------                             -----                                -----------
0049e2e2-fcea-4bc4-af90-bdb29a9bbe98 5657e26c-cc92-45d9-bc47-9da6cfdb4ed9 Azure OSSRDBMS PostgreSQL Flexible Server

Andernfalls müssen Sie den Dienstprinzipal mit dem folgenden Befehl erstellen. Der spezifische AppId-Wert gilt für den Azure Database for PostgreSQL Flexible Server.

New-AzureADServicePrincipal -AppId 5657e26c-cc92-45d9-bc47-9da6cfdb4ed9

Führen Sie die folgenden Schritte aus, um die Konfiguration im Azure-Portal fortzusetzen.

1. Melden Sie sich über Ihren Browser beim Azure-Portal an. Suchen Sie nach postgresql20221223, und wählen Sie es dann aus.
2. Wählen Sie im Abschnitt Sicherheit die Option Authentifizierung und dann PostgreSQL- und Microsoft Entra-Authentifizierung aus.
3. Wählen Sie Speichern und dann Fortfahren aus. Die Bereitstellung kann einige Minuten in Anspruch nehmen. Warten Sie auf den Abschluss der Bereitstellung, bevor Sie fortfahren.
4. Gehen Sie zurück zur Ressource postgresql20221223, und wählen Sie dann im Abschnitt Sicherheit erneut Authentifizierung aus.
5. Ihnen wird Microsoft Entra-Administratoren (Microsoft Entra Admins) auf der Seite angezeigt. Wählen Sie Microsoft Entra-Administratoren hinzufügen, dann das Konto, das Sie aktuell im Azure-Portal verwenden und schließlich Auswählen aus.
6. Wählen Sie Speichern. Es dauert mehrere Sekunden, um den Microsoft Entra-Administrator zu erstellen, wie im folgenden Screenshot gezeigt.

Azure SQL-Datenbank

Informationen dazu, wie Azure SQL Server mit verwalteten Identitäten interagiert, finden Sie unter Herstellen einer Verbindung mit der Microsoft Entra-Authentifizierung.

Im folgenden Beispiel wird ein Microsoft Entra-Administratorkonto über das Portal auf Azure SQL Server konfiguriert.

1. Öffnen Sie im Azure-Portal die Azure SQL-Serverinstanz myazuresql20130213.
2. Wählen Sie Einstellungen und dann Microsoft Entra ID aus. Wählen Sie auf der Seite Microsoft Entra ID die Option Administrator festlegen aus.
3. Suchen Sie auf der Seite Administrator hinzufügen nach einem Benutzer, wählen Sie den Benutzer oder die Gruppe aus, den bzw. die Sie als Administrator festlegen möchten, und wählen Sie dann Auswählen aus.
4. Wählen Sie oben auf der Seite Microsoft Entra ID die Option Speichern aus. Für Microsoft Entra-Benutzer und -Gruppen wird die Objekt-ID neben dem Administratornamen angezeigt.
5. Der Vorgang zum Ändern des Administrators kann einige Minuten in Anspruch nehmen. Anschließend wird der neue Administrator im Feld Microsoft Entra ID angezeigt.

Erstellen einer benutzerseitig zugewiesenen verwalteten Identität

Erstellen Sie als Nächstes in Azure CLI eine Identität in Ihrem Abonnement, indem Sie den Befehl az identity create verwenden. Sie verwenden diese verwaltete Identität, um eine Verbindung mit Ihrer Datenbank herzustellen.

az identity create \
    --resource-group ${RESOURCE_GROUP_NAME} \
    --name myManagedIdentity

Um die Identität in den folgenden Schritten zu konfigurieren, verwenden Sie den Befehl az identity show, um die Client-ID der Identität in einer Shell-Variablen zu speichern.

# Get client ID of the user-assigned identity
export CLIENT_ID=$(az identity show \
    --resource-group ${RESOURCE_GROUP_NAME} \
    --name myManagedIdentity \
    --query clientId \
    --output tsv)

Erstellen eines Datenbankbenutzers für Ihre verwaltete Identität

MySQL – Flexible Server

Stellen Sie nun eine Verbindung als Microsoft Entra-Administratorbenutzer mit Ihrer MySQL-Datenbank her, und erstellen Sie einen MySQL-Benutzer für Ihre verwaltete Identität.

Zunächst müssen Sie eine Firewallregel erstellen, um von Ihrem CLI-Client aus auf den MySQL-Server zuzugreifen. Führen Sie die folgenden Befehle aus, um Ihre aktuelle IP-Adresse abzurufen.

export MY_IP=$(curl http://whatismyip.akamai.com)

Wenn Sie auf dem Windows Subsystem for Linux (WSL) mit aktiviertem VPN arbeiten, gibt der folgende Befehl möglicherweise eine falsche IPv4-Adresse zurück. Eine Möglichkeit zum Abrufen Ihrer IPv4-Adresse besteht darin, whatismyipaddress.com aufzurufen. Legen Sie in jedem Fall die Umgebungsvariable MY_IP als IPv4-Adresse fest, aus der Sie eine Verbindung mit der Datenbank herstellen möchten.

Erstellen Sie eine temporäre Firewallregel mit dem Befehl az mysql flexible-server firewall-rule create.

az mysql flexible-server firewall-rule create \
    --resource-group $RESOURCE_GROUP_NAME \
    --name $MYSQL_NAME \
    --rule-name AllowCurrentMachineToConnect \
    --start-ip-address ${MY_IP} \
    --end-ip-address ${MY_IP}

Bereiten Sie dann eine .sql-Datei vor, um einen Datenbankbenutzer für die verwaltete Identität zu erstellen. Im folgenden Beispiel wird ein Benutzer mit dem Anmeldenamen identity-contoso hinzugefügt und dem Benutzer werden Berechtigungen zum Zugriff auf die Datenbank contoso gewährt.

export IDENTITY_LOGIN_NAME="identity-contoso"

cat <<EOF >createuser.sql
SET aad_auth_validate_oids_in_tenant = OFF;
DROP USER IF EXISTS '${IDENTITY_LOGIN_NAME}'@'%';
CREATE AADUSER '${IDENTITY_LOGIN_NAME}' IDENTIFIED BY '${CLIENT_ID}';
GRANT ALL PRIVILEGES ON ${DATABASE_NAME}.* TO '${IDENTITY_LOGIN_NAME}'@'%';
FLUSH privileges;
EOF

Führen Sie die .sql-Datei mit dem Befehl az mysql flexible-server execute aus. Sie können Ihr Zugriffstoken mit dem Befehl az account get-access-token abrufen.

export RDBMS_ACCESS_TOKEN=$(az account get-access-token \
    --resource-type oss-rdbms \
    --query accessToken \
    --output tsv) 

az mysql flexible-server execute \
    --name ${MYSQL_NAME} \
    --admin-user ${CURRENT_USER} \
    --admin-password ${RDBMS_ACCESS_TOKEN} \
    --file-path "createuser.sql"

Möglicherweise werden Sie aufgefordert, die rdbms-connect-Erweiterung zu installieren, wie in der folgenden Ausgabe dargestellt. Drücken Sie y, um fortzufahren. Wenn Sie nicht mit dem root-Benutzer arbeiten, müssen Sie das Benutzerkennwort eingeben.

The command requires the extension rdbms-connect. Do you want to install it now? The command will continue to run after the extension is installed. (Y/n): y
Run 'az config set extension.use_dynamic_install=yes_without_prompt' to allow installing extensions without prompt.
This extension depends on gcc, libpq-dev, python3-dev and they will be installed first.
[sudo] password for user:

Wenn die .sql-Datei erfolgreich ausgeführt wird, finden Sie die Ausgabe, die dem folgenden Beispiel ähnelt:

Running *.sql* file 'createuser.sql'...
Successfully executed the file.
Closed the connection to mysql20221201

Die verwaltete Identität myManagedIdentity hat jetzt Zugriff auf die Datenbank, wenn sie mit dem Benutzernamen identity-contoso authentifiziert wird.

Wenn Sie nicht mehr über diese IP-Adresse auf den Server zugreifen möchten, können Sie die Firewallregel mit dem folgenden Befehl entfernen.

az mysql flexible-server firewall-rule delete \
    --resource-group $RESOURCE_GROUP_NAME \
    --name $MYSQL_NAME \
    --rule-name AllowCurrentMachineToConnect \
    --yes

Verwenden Sie schließlich den folgenden Befehl, um die Verbindungszeichenfolge abzurufen, die Sie im nächsten Abschnitt verwenden.

export CONNECTION_STRING="jdbc:mysql://${MYSQL_NAME}.mysql.database.azure.com:3306/${DATABASE_NAME}?useSSL=true"
echo ${CONNECTION_STRING}

PostgreSQL – Flexible Server

Stellen Sie nun eine Verbindung als Microsoft Entra-Administratorbenutzer mit Ihrer PostgreSQL -Datenbank her, und erstellen Sie einen PostgreSQL-Benutzer für Ihre verwaltete Identität.

In diesem Beispiel wird Azure Cloud Shell verwendet, um eine Verbindung mit der Datenbank herzustellen. Verwenden Sie die folgenden Schritte, um einen Datenbankbenutzer zu erstellen.

1. Melden Sie sich über Ihren Browser beim Azure-Portal an. Suchen Sie nach postgresql20221223, und öffnen Sie den Datenbankserver.

2. Wählen Sie Übersicht aus. Suchen Sie die Schaltfläche Verbinden. Wählen Sie Verbinden und dann die postgres-Datenbank aus. Stellen Sie sicher, dass Sie das richtige Datenbank verwenden. Wenn die Datenbank verbunden ist, wird die Azure Cloud Shell angezeigt.

3. Geben Sie den folgenden Befehl ein, um einen Benutzer für Ihre verwaltete Identität myManagedIdentity zu erstellen:

   select * from pgaadauth_create_principal('myManagedIdentity', false, false);
   

   Sie finden eine Meldung mit dem Text Created role for "myManagedIdentity", der bedeutet, dass der Benutzer erfolgreich erstellt wird.

4. Führen Sie alle Microsoft Entra-Benutzer unter Verwendung des folgenden Befehls auf:

   select * from pgaadauth_list_principals(false);
   

5. Verwenden Sie die folgenden Befehle, um myManagedIdentity Zugriff auf Ihre Datenbank contoso zu gewähren:

   GRANT ALL PRIVILEGES ON DATABASE "contoso" TO "myManagedIdentity";
   GRANT ALL PRIVILEGES ON ALL TABLES IN SCHEMA public TO "myManagedIdentity";
   GRANT ALL PRIVILEGES ON ALL SEQUENCES IN SCHEMA public TO "myManagedIdentity";
   

   Die Ausgabe entspricht in etwa dem folgenden Inhalt.

   psql 'host=postgresql20221223.postgres.database.azure.com port=5432 dbname=postgres user=test@contoso.com password='$(az account get-access-token --resource-type oss-rdbms --output tsv --query accessToken)' sslmode=require'
   psql (14.5)
   SSL connection (protocol: TLSv1.3, cipher: TLS_AES_256_GCM_SHA384, bits: 256, compression: off)
   Type "help" for help.
   
   postgres=> select * from pgaadauth_create_principal('myManagedIdentity', false, false);
       pgaadauth_create_principal
   --------------------------------------
   Created role for "myManagedIdentity"
   (1 row)
   
   postgres=> select * from pgaadauth_list_principals(false);
       rolname       | principaltype |               objectid               |               tenantid               | ismfa | isadmin
   ------------------+---------------+--------------------------------------+--------------------------------------+-------+---------
   test@contoso.com  | user          | XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX | XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX |     0 |       1
   myManagedIdentity | service       | XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX | XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX |     0 |       0
   (2 rows)
   postgres=> GRANT ALL PRIVILEGES ON DATABASE "contoso" TO "myManagedIdentity";
   WARNING:  no privileges were granted for "contoso"
   GRANT
   postgres=> GRANT ALL PRIVILEGES ON ALL TABLES IN SCHEMA public TO "myManagedIdentity";
   GRANT
   postgres=> GRANT ALL PRIVILEGES ON ALL SEQUENCES IN SCHEMA public TO "myManagedIdentity";
   GRANT
   postgres=>
   

6. Schließen Sie das Azure Cloud Shell-Fenster.

7. Kehren Sie abschließend in der von Ihnen verwendeten Azure CLI-Shell mit dem folgenden Befehl zurück, um die Verbindungszeichenfolge abzurufen, die Sie im nächsten Abschnitt verwenden.

   export CONNECTION_STRING="jdbc:postgresql://${POSTGRESQL_NAME}.postgres.database.azure.com:5432/${DATABASE_NAME}?sslmode=require"
   echo ${CONNECTION_STRING}
   

Azure SQL-Datenbank

Stellen Sie nun eine Verbindung als Microsoft Entra-Administratorbenutzer mit Ihrer Azure SQL-Datenbank aus dem Azure-Portal her, und erstellen Sie einen Benutzer für Ihre verwaltete Identität.

Erstellen Sie zunächst eine Firewallregel für den Zugriff auf den Azure SQL-Server über das Portal, wie in den folgenden Schritten gezeigt.

1. Öffnen Sie im Azure-Portal die Azure SQL-Serverinstanz myazuresql20130213.
2. Wählen Sie Sicherheit und dann Netzwerk aus.
3. Wählen Sie unter Firewallregeln die Option Ihre Client-IPv4-Adresse hinzufügen aus.
4. Aktivieren Sie unter Ausnahmen das Kontrollkästchen Azure-Diensten und -Ressourcen den Zugriff auf diesen Server gestatten.
5. Wählen Sie Speichern.

Nachdem die Firewallregel erstellt wurde, können Sie über das Portal auf den Azure SQL-Server zugreifen. Verwenden Sie die folgenden Schritte, um einen Datenbankbenutzer zu erstellen.

1. Wählen Sie Einstellungen und dann SQL-Datenbanken aus. Wählen Sie mysingledatabase20230213 aus.

2. Wählen Sie Abfrage-Editor aus. Suchen Sie auf der Seite Willkommen beim SQL Database-Abfrage-Editor unter Active Directory-Authentifizierung nach einer Nachricht wie „Angemeldet als user@contoso.com“.

3. Wählen Sie Fortfahren alsuser@contoso.com aus, wobei user Ihr AD-Administratorkontoname ist.

4. Führen Sie nach der Anmeldung beim Query 1-Editor die folgenden Befehle aus, um einen Datenbankbenutzer für die verwaltet Identität myManagedIdentity auszuführen.

   CREATE USER "myManagedIdentity" FROM EXTERNAL PROVIDER
   ALTER ROLE db_datareader ADD MEMBER "myManagedIdentity";
   ALTER ROLE db_datawriter ADD MEMBER "myManagedIdentity";
   ALTER ROLE db_ddladmin ADD MEMBER "myManagedIdentity";
   GO
   

5. Wählen Sie im Query 1-Editor die Option Ausführen aus, um die SQL-Befehle auszuführen.

6. Wenn die Befehle erfolgreich abgeschlossen wurden, finden Sie eine Nachricht mit der Meldung „Abfrage erfolgreich: Betroffene Zeilen: 0“.

Verwenden Sie schließlich den folgenden Befehl, um die Verbindungszeichenfolge abzurufen, die Sie im nächsten Abschnitt verwenden.

export CONNECTION_STRING="jdbc:sqlserver://myazuresql20130213.database.windows.net:1433;database=mysingledatabase20230213;encrypt=true;trustServerCertificate=false;hostNameInCertificate=*.database.windows.net;loginTimeout=30;"
echo ${CONNECTION_STRING}

Konfigurieren einer kennwortlosen Datenbankverbindung für Oracle WebLogic Server auf Azure-VMs

In diesem Abschnitt erfahren Sie, wie Sie die kennwortlose Datenquellenverbindung mithilfe des Azure Marketplace-Angebotes für Oracle WebLogic Server konfigurieren.

Beginnen Sie zunächst mit der Bereitstellung eines Angebots. Im folgenden Angebot werden kennwortlose Datenbankverbindungen unterstützt:

• Oracle WebLogic Server auf Azure Kubernetes Service (AKS)
  • Schnellstart
• Oracle WebLogic Server-Cluster auf VMs
  • Schnellstart
• Oracle WebLogic Server mit Verwaltungsserver auf VMs
  • Schnellstart
• Dynamischer Oracle WebLogic Server-Cluster auf VMs
  • Schnellstart

Füllen Sie die erforderlichen Informationen im Abschnitt Grundlagen und anderen Bereichen aus, wenn Sie die Features aktivieren möchten. Wenn Sie den Bereich Datenbank erreiche, füllen Sie die kennwortlose Konfiguration wie in den folgenden Schritten dargestellt aus.

MySQL – Flexible Server

1. Wählen Sie unter Mit Datenbank verbinden? die Option Ja aus.
2. Öffnen Sie unter Verbindungseinstellungen für Datenbanktyp auswählen das Dropdownmenü, und wählen Sie dann MySQL (mit Unterstützung für die kennwortlose Verbindung) aus.
3. Geben Sie für JNDI-Name testpasswordless oder Ihren erwarteten Wert ein.
4. Geben Sie für DataSource-Verbindungszeichenfolge die Verbindungszeichenfolge ein, die Sie im letzten Abschnitt erhalten haben.
5. Geben Sie für Datenbankbenutzername den Datenbankbenutzernamen für Ihre verwaltete Identität (den Wert von ${IDENTITY_LOGIN_NAME}) ein. In diesem Beispiel lautet der Wert identity-contoso.
6. Wählen Sie Kennwortlose Datenquellenverbindung verwenden aus.
7. Wählen Sie für Vom Benutzer zugewiesene verwaltete Identität die verwaltete Identität aus, die Sie zuvor erstellt haben. In diesem Beispiel lautet ihr Name myManagedIdentity.

Der Abschnitt Verbindungseinstellungen sollte wie der folgende Screenshot aussehen, der Oracle WebLogic Server-Cluster auf VMs als Beispiel verwendet.

PostgreSQL – Flexible Server

1. Wählen Sie unter Mit Datenbank verbinden? die Option Ja aus.
2. Öffnen Sie unter Verbindungseinstellungen für Datenbanktyp auswählen das Dropdownmenü, und wählen Sie Azure Database for PostgreSQL (mit Unterstützung für kennwortlose Verbindung) aus.
3. Geben Sie für JNDI-Name testpasswordless oder Ihren erwarteten Wert ein.
4. Geben Sie für DataSource-Verbindungszeichenfolge die Verbindungszeichenfolge ein, die Sie im letzten Abschnitt erhalten haben.
5. Geben Sie für Datenbankbenutzername Ihren verwalteten Identitätsnamen ein. In diesem Beispiel lautet der Wert myManagedIdentity.
6. Wählen Sie Kennwortlose Datenquellenverbindung verwenden aus.
7. Wählen Sie für Vom Benutzer zugewiesene verwaltete Identität die verwaltete Identität aus, die Sie im vorherigen Schritt erstellt haben. In diesem Beispiel lautet ihr Name myManagedIdentity.
8. Wählen Sie Hinzufügen.

Der Abschnitt Verbindungseinstellungen sollte wie der folgende Screenshot aussehen, der Oracle WebLogic Server-Cluster auf VMs als Beispiel verwendet.

Azure SQL-Datenbank

1. Wählen Sie unter Mit Datenbank verbinden? die Option Ja aus.
2. Öffnen Sie unter Verbindungseinstellungen für Datenbanktyp auswählen das Dropdownmenü, und wählen Sie dann Azure SQL (mit Unterstützung für die kennwortlose Verbindung) aus.
3. Geben Sie für JNDI-Name testpasswordless oder Ihren erwarteten Wert ein.
4. Geben Sie für DataSource-Verbindungszeichenfolge die Verbindungszeichenfolge ein, die Sie im letzten Abschnitt erhalten haben.
5. Wählen Sie Kennwortlose Datenquellenverbindung verwenden aus.
6. Wählen Sie für Vom Benutzer zugewiesene verwaltete Identität die verwaltete Identität aus, die Sie im vorherigen Schritt erstellt haben. In diesem Beispiel lautet ihr Name myManagedIdentity.
7. Wählen Sie Hinzufügen.

Der Abschnitt Verbindungseinstellungen sollte wie der folgende Screenshot aussehen, der Oracle WebLogic Server-Cluster auf VMs als Beispiel verwendet.

Sie haben nun die Konfiguration der kennwortlosen Verbindung abgeschlossen. Sie können das Ausfüllen der folgenden Bereiche fortsetzen oder Überprüfen + erstellen und dann Erstellen auswählen, um das Angebot bereitzustellen.

Überprüfen der Datenbankverbindung

Die Datenbankverbindung ist erfolgreich konfiguriert, wenn die Bereitstellung ohne Fehler abgeschlossen ist.

Betrachten Sie Oracle WebLogic Server-Cluster auf VMs nach Abschluss der Bereitstellung weiterhin als Beispiel. Befolgen Sie diese Schritte im Azure-Portal, um die Administratorkonsolen-URL zu finden.

1. Suchen Sie die Ressourcengruppe, in der Sie WLS bereitgestellt haben.
2. Wählen Sie unter Einstellungen die Option Bereitstellungen aus.
3. Wählen Sie die Bereitstellung mit der längsten Dauer aus. Diese Bereitstellung sollte am Ende der Liste stehen.
4. Klicken Sie auf Ausgaben.
5. Die URL der WebLogic Administration Console ist der Wert der adminConsoleUrl-Ausgabe.
6. Kopieren Sie den Wert der Ausgabevariable adminConsoleUrl.
7. Fügen Sie den Wert in die Adressleiste des Browsers ein, und drücken Sie die Eingabetaste, um die Anmeldeseite der WebLogic Administration Console zu öffnen.

Gehen Sie wie folgt vor, um die Datenbankverbindung zu überprüfen.

1. Melden Sie sich bei der WebLogic Administration Console mit dem Benutzernamen und dem Kennwort an, das Sie im Bereich Grundlagen angegeben haben.

2. Wählen Sie unter der Domänenstruktur die Optionen Services, Datenquellen und dann testpasswordless aus.

3. Wählen Sie die Registerkarte Überwachung aus, auf der der Status der Datenquelle Wird ausgeführt lautet, wie im folgenden Screenshot angezeigt.

   MySQL – Flexible Server

   

   PostgreSQL – Flexible Server

   

   Azure SQL-Datenbank

   

4. Wählen Sie die Registerkarte Testen und dann das Optionsfeld neben dem gewünschten Server aus.

5. Wählen Sie Datenquelle testen aus. Ihnen sollte eine Nachricht angezeigt werden, die auf einen erfolgreichen Test hinweist, wie im folgenden Screenshot dargestellt.

   

Bereinigen von Ressourcen

Wenn Sie diese Ressourcen nicht mehr benötigen, können Sie sie löschen, indem Sie die folgenden Befehle ausführen:

az group delete --name ${RESOURCE_GROUP_NAME}
az group delete --name <resource-group-name-that-deploys-the-offer>

Nächste Schritte

Weitere Informationen zum Ausführen von WLS in AKS oder auf virtuellen Computern finden Sie unter folgenden Links:

Erkunden von WebLogic Server in AKS

Erkunden von WebLogic Server auf Azure Virtual Machines

Beispiele für kennwortlose Verbindungen für Java-Apps