Migrieren einer Anwendung zur Verwendung kennwortloser Verbindungen mit Azure Service Bus

Anwendungsanforderungen an Azure Service Bus müssen mithilfe von Kontozugriffsschlüsseln oder kennwortlosen Verbindungen authentifiziert werden. Sie sollten jedoch kennwortlose Verbindungen in Ihren Anwendungen priorisieren, wenn möglich. In diesem Tutorial wird erläutert, wie Sie von herkömmlichen Authentifizierungsmethoden zu sichereren, kennwortlosen Verbindungen migrieren.

Sicherheitsrisiken im Zusammenhang mit Zugriffsschlüsseln

Das folgende Codebeispiel zeigt, wie Sie mithilfe einer Verbindungszeichenfolge, die einen Zugriffsschlüssel enthält, eine Verbindung mit Azure Service Bus herstellen. Wenn Sie eine Service Bus-Instanz erstellen, generiert Azure diese Schlüssel und Verbindungszeichenfolgen automatisch. Viele Entwickler neigen zu dieser Lösung, weil sie in der Vergangenheit bereits mit ähnlichen Optionen gearbeitet haben. Wenn Ihre Anwendung derzeit Verbindungszeichenfolgen verwendet, sollten Sie die Migration zu kennwortlosen Verbindungen anhand der in diesem Dokument beschriebenen Schritte in Betracht ziehen.

.NET

await using ServiceBusClient client = new("<CONNECTION-STRING>");

Go

client, err := azservicebus.NewClientFromConnectionString(
    "<CONNECTION-STRING>",
    nil)

if err != nil {
    // handle error
}

Java

JMS:

ConnectionFactory factory = new ServiceBusJmsConnectionFactory(
    "<CONNECTION-STRING>",
    new ServiceBusJmsConnectionFactorySettings());

Empfängerclient:

ServiceBusReceiverClient receiver = new ServiceBusClientBuilder()
    .connectionString("<CONNECTION-STRING>")
    .receiver()
    .topicName("<TOPIC-NAME>")
    .subscriptionName("<SUBSCRIPTION-NAME>")
    .buildClient();

Absenderclient:

ServiceBusSenderClient client = new ServiceBusClientBuilder()
    .connectionString("<CONNECTION-STRING>")
    .sender()
    .queueName("<QUEUE-NAME>")
    .buildClient();

Node.js

const client = new ServiceBusClient("<CONNECTION-STRING>");

Python

client = ServiceBusClient(
    fully_qualified_namespace = "<CONNECTION-STRING>"
)

Verbindungszeichenfolgen sollten mit Bedacht verwendet werden. Entwickler müssen darauf achten, dass die Schlüssel nicht an einem unsicheren Ort offengelegt werden. Jeder Benutzer, der Zugriff auf den Schlüssel erhält, kann sich authentifizieren. Wenn ein Kontoschlüssel beispielsweise versehentlich in die Quellcodeverwaltung eingecheckt, über eine unsichere E-Mail gesendet, in den falschen Chat eingefügt oder von jemandem angezeigt wird, der nicht über diese Berechtigung verfügen sollte, besteht die Gefahr, dass ein böswilliger Benutzer auf die Anwendung zugreifen kann. Erwägen Sie stattdessen, Ihre Anwendung so zu aktualisieren, dass kennwortlose Verbindungen verwendet werden.

Migrieren zu kennwortlosen Verbindungen

Viele Azure-Dienste unterstützen kennwortlose Verbindungen über Microsoft Entra ID und RBAC (Role Based Access Control, rollenbasierte Zugriffssteuerung). Diese Techniken bieten robuste Sicherheitsfunktionen und können mit DefaultAzureCredential aus den Azure Identity-Clientbibliotheken implementiert werden.

Wichtig

Einige Sprachen müssen DefaultAzureCredential explizit in ihrem Code implementieren, während andere Sprachen DefaultAzureCredential intern durch zugrunde liegende Plug-Ins oder Treiber nutzen.

DefaultAzureCredential unterstützt mehrere Authentifizierungsmethoden und bestimmt automatisch, welche Methode zur Laufzeit verwendet werden soll. Mit diesem Ansatz kann Ihre App unterschiedliche Authentifizierungsmethoden in verschiedenen Umgebungen (lokale Entwicklung gegenüber Produktion) verwenden, ohne umgebungsspezifischen Code zu implementieren.

Die Reihenfolge und die Speicherorte, an denen DefaultAzureCredential nach Anmeldeinformationen sucht, sind in der Azure Identity-Bibliotheksübersicht zu finden und unterscheiden sich je nach Sprache. Wenn Sie beispielsweise lokal mit .NET arbeiten, führt DefaultAzureCredential im Allgemeinen eine Authentifizierung mit dem Konto durch, das der Entwickler für die Anmeldung bei Visual Studio, Azure CLI oder Azure PowerShell verwendet hat. Wenn die App in Azure bereitgestellt wird, ermittelt und verwendet DefaultAzureCredential automatisch die verwaltete Identität des zugeordneten Hostingdiensts, z. B. Azure App Service. Für diesen Übergang sind keine Änderungen am Code erforderlich.

Hinweis

Eine verwaltete Identität bietet eine Sicherheitsidentität zur Darstellung einer App oder eines Diensts. Da die Identität von der Azure-Plattform verwaltet wird, müssen Sie keine Geheimnisse bereitstellen oder rotieren. Weitere Informationen zu verwalteten Identitäten finden Sie in der Übersichtsdokumentation.

Im folgenden Codebeispiel wird veranschaulicht, wie Sie sich über kennwortlose Verbindungen mit Service Bus verbinden. Im nächsten Abschnitt wird ausführlicher beschrieben, wie Sie für einen bestimmten Dienst zu diesem Setup migrieren.

Eine .NET-Anwendung kann eine Instanz von DefaultAzureCredential an den Konstruktor einer Dienstclientklasse übergeben. DefaultAzureCredential erkennt automatisch die Anmeldeinformationen, die in dieser Umgebung verfügbar sind.

client = new ServiceBusClient(
    "<NAMESPACE-NAME>.servicebus.windows.net",
    new DefaultAzureCredential());

Schritte zum Migrieren einer App zur Verwendung von kennwortloser Authentifizierung

In den folgenden Schritten wird erläutert, wie Sie eine vorhandene Anwendung migrieren, um kennwortlose Verbindungen anstelle einer schlüsselbasierten Lösung zu verwenden. Sie konfigurieren zunächst eine lokale Entwicklungsumgebung und wenden diese Konzepte dann auf eine Azure App-Hostingumgebung an. Die gleichen Migrationsschritte gelten auch für die direkte Verwendung von Zugriffsschlüsseln oder für die Verwendung von Verbindungszeichenfolgen.

Konfigurieren von Rollen und Benutzern für Authentifizierung bei lokaler Entwicklung

Stellen Sie bei der lokalen Entwicklung sicher, dass das Benutzerkonto für den Zugriff auf Service Bus über die richtigen Berechtigungen verfügt. In diesem Beispiel verwenden Sie die Rolle Azure Service Bus-Datenbesitzer, um Daten zu senden und zu empfangen, aber es stehen auch differenziertere Rollen zur Verfügung. Um sich selbst diese Rolle zuweisen zu können, benötigen Sie die Rolle Benutzerzugriffsadministrator oder eine andere Rolle, die die Aktion Microsoft.Authorization/roleAssignments/write enthält. Sie können einem Benutzer Azure RBAC-Rollen über das Azure-Portal, die Azure CLI oder mit Azure PowerShell zuweisen. Weitere Informationen zu den verfügbaren Bereichen für Rollenzuweisungen finden Sie auf der Seite Bereichsübersicht.

In diesem Szenario weisen Sie Ihrem Benutzerkonto Berechtigungen für einen bestimmten Service Bus-Namespace zu, um das Prinzip der geringsten Rechte zu befolgen. Auf diese Weise erhalten Benutzer nur die erforderlichen Mindestberechtigungen, und es entstehen sicherere Produktionsumgebungen.

Im folgenden Beispiel wird Ihrem Benutzerkonto die Rolle Azure Service Bus-Datenbesitzer zugewiesen, mit der Sie Daten senden und empfangen können.

Wichtig

In den meisten Fällen dauert es eine oder zwei Minute(n), bis die Rollenzuweisung in Azure weitergegeben wird. In seltenen Fällen kann es aber bis zu acht Minuten dauern. Wenn bei der ersten Ausführung Ihres Codes Authentifizierungsfehler auftreten, warten Sie einige Momente, und versuchen Sie es dann erneut.

Azure portal

1. Navigieren Sie im Azure-Portal zu Ihrem Service Bus-Namespace. Verwenden Sie dazu entweder die Hauptsuchleiste oder die linke Navigationsleiste.

2. Wählen Sie auf der Übersichtsseite für Service Bus im linken Menü die Option Zugriffssteuerung (IAM) aus.

3. Wählen Sie auf der Seite Zugriffssteuerung (IAM) die Registerkarte Rollenzuweisungen aus.

4. Wählen Sie im oberen Menü + Hinzufügen und aus dem dann angezeigten Dropdownmenü die Option Rollenzuweisung hinzufügen aus.

   

5. Über das Suchfeld können Sie die Ergebnisse für die gewünschte Rolle filtern. Suchen Sie für dieses Beispiel nach Azure Service Bus-Datenbesitzer, wählen Sie das entsprechende Ergebnis und dann Weiter aus.

6. Wählen Sie unter Zugriff zuweisen zu die Option Benutzer, Gruppe oder Dienstprinzipal und dann die Option + Mitglieder auswählen aus.

7. Suchen Sie im Dialogfeld nach Ihrem Microsoft Entra-Benutzernamen (normalerweise Ihre E-Mail-Adresse benutzer@domäne), und wählen Sie unten im Dialogfeld Auswählen aus.

8. Wählen Sie Überprüfen und zuweisen aus, um zur letzten Seite zu gelangen, und wählen Sie erneut Überprüfen und zuweisen aus, um den Vorgang abzuschließen.

Azure-Befehlszeilenschnittstelle

Um eine Rolle auf Ressourcenebene über die Azure CLI zuweisen zu können, müssen Sie zuerst die Ressourcen-ID mithilfe des Befehls az servicesbus namespace show abrufen. Sie können die Ausgabeeigenschaften mithilfe des Parameters --query filtern.

az servicebus namespace show --resource-group '<your-resource-group-name>' --name '<your-service-bus-namespace>' --query id

Kopieren Sie die Ausgabe-ID aus dem vorhergehenden Befehl. Dann können Sie Rollen mithilfe des Befehls az role der Azure CLI zuweisen.

az role assignment create --assignee "<user@domain>" \
    --role "Azure Service Bus Data Owner" \
    --scope "<your-resource-id>"

PowerShell

Um eine Rolle auf Ressourcenebene mithilfe von Azure PowerShell zuweisen zu können, müssen Sie zuerst die Ressourcen-ID mithilfe des Befehls Get-AzResource abrufen.

Get-AzResource -ResourceGroupName "<yourResourceGroupname>" -Name "<yourServiceBusName>"

Kopieren Sie den ID-Wert aus der vorhergehenden Befehlsausgabe. Sie können dann Rollen mithilfe des Befehls New-AzRoleAssignment in PowerShell zuweisen.

New-AzRoleAssignment -SignInName <user@domain> `
    -RoleDefinitionName "Azure Service Bus Data Owner" `
    -Scope <yourServiceBusId>

Anmelden und Migrieren des App-Codes zur Verwendung kennwortloser Verbindungen

Stellen Sie für die lokale Entwicklung sicher, dass Sie mit demselben Microsoft Entra-Konto authentifiziert sind, dem Sie die Rolle für den Service Bus-Namespace zugewiesen haben. Sie können sich über die Azure CLI, Visual Studio, Azure PowerShell oder andere Tools wie IntelliJ authentifizieren.

Stellen Sie für die lokale Entwicklung sicher, dass Sie mit demselben Microsoft Entra-Konto authentifiziert sind, dem Sie die Rolle zugewiesen haben. Sie können sich über gängige Entwicklungstools wie die Azure-Befehlszeilenschnittstelle (CLI) oder Azure PowerShell authentifizieren. Die Entwicklungstools, mit denen Sie sich authentifizieren können, variieren je nach Sprache.

Azure-Befehlszeilenschnittstelle

Melden Sie sich mit dem folgenden Befehl über die Azure-Befehlszeilenschnittstelle bei Azure an:

az login

Visual Studio

Wählen Sie oben rechts in Visual Studio die Schaltfläche Anmelden aus.

Melden Sie sich mit dem Microsoft Entra-Konto an, dem Sie zuvor eine Rolle zugewiesen haben.

Visual Studio Code

Sie müssen die Azure CLI installieren, um mit DefaultAzureCredential über Visual Studio Code arbeiten zu können.

Navigieren Sie im Hauptmenü von Visual Studio Code zu Terminal > Neues Terminal.

Melden Sie sich mit dem folgenden Befehl über die Azure-Befehlszeilenschnittstelle bei Azure an:

az login

PowerShell

Melden Sie sich mithilfe von PowerShell über den folgenden Befehl bei Azure an:

Connect-AzAccount

Als Nächstes aktualisieren Sie Ihren, um kennwortlose Verbindungen zu verwenden.

.NET

1. Um in einer .NET-Anwendung DefaultAzureCredential zu verwenden, installieren Sie das Azure.Identity-Paket:

   dotnet add package Azure.Identity
   

2. Fügen Sie am Anfang der Datei den folgenden Code hinzu:

   using Azure.Identity;
   

3. Ermitteln Sie den Code, der ein ServiceBusClient-Objekt zur Verbindungsherstellung mit Azure Service Bus erstellt. Aktualisieren Sie Ihren Code wie im folgenden Beispiel gezeigt:

    var serviceBusNamespace = $"https://{namespace}.servicebus.windows.net";
    ServiceBusClient client = new(
        serviceBusNamespace,
        new DefaultAzureCredential());
   

Go

1. Um in einer Go-Anwendung DefaultAzureCredential zu verwenden, installieren Sie das azidentity-Modul:

   go get -u github.com/Azure/azure-sdk-for-go/sdk/azidentity
   

2. Fügen Sie am Anfang der Datei den folgenden Code hinzu:

   import (
       "github.com/Azure/azure-sdk-for-go/sdk/azidentity"
   )
   

3. Identifizieren Sie die Stellen in Ihrem Code, an denen eine Client-Instanz erstellt wird, um eine Verbindung mit Azure Service Bus herzustellen. Aktualisieren Sie Ihren Code wie im folgenden Beispiel gezeigt:

   credential, err := azidentity.NewDefaultAzureCredential(nil)
   
   if err != nil {
       // handle error
   }
   
   serviceBusNamespace := fmt.Sprintf(
       "https://%s.servicebus.windows.net",
       namespace)
   client, err := azservicebus.NewClient(serviceBusNamespace, credential, nil)
   
   if err != nil {
       // handle error
   }
   

Java

1. So verwenden Sie den DefaultAzureCredential:

   • Fügen Sie einer JMS-Anwendung mindestens Version 1.0.0 des Pakets azure-servicebus-jms hinzu:

     <dependency>
         <groupId>com.microsoft.azure</groupId>
         <artifactId>azure-servicebus-jms</artifactId>
         <version>1.0.0</version>
     </dependency>
     

   • Installieren Sie in einer Java-Anwendung das azure-identity-Paket über einen der folgenden Ansätze:

     • Schließen Sie die BOM-Datei ein.
     • Schließen Sie eine direkte Abhängigkeiten ein.

2. Fügen Sie am Anfang der Datei den folgenden Code hinzu:

   import com.azure.identity.DefaultAzureCredentialBuilder;
   

3. Aktualisieren Sie den Code, der eine Verbindung mit Azure Service Bus herstellt:

   • Ermitteln Sie in einer JMS-Anwendung den Code, der ein ServiceBusJmsConnectionFactory-Objekt zur Verbindungsherstellung mit Azure Service Bus erstellt. Aktualisieren Sie Ihren Code wie im folgenden Beispiel gezeigt:

      DefaultAzureCredential credential = new DefaultAzureCredentialBuilder()
          .build();
      String serviceBusNamespace = 
          "https://" + namespace + ".servicebus.windows.net";
     
      ConnectionFactory factory = new ServiceBusJmsConnectionFactory(
          credential,
          serviceBusNamespace,
          new ServiceBusJmsConnectionFactorySettings());
     

   • Ermitteln Sie in einer Java-Anwendung den Code, der ein Clientobjekt für den Service Bus-Absender- oder -Empfänger erstellt, um eine Verbindung mit Azure Service Bus herzustellen. Aktualisieren Sie Ihren Code wie in einem folgenden Beispielen:

     Empfängerclient:

     DefaultAzureCredential credential = new DefaultAzureCredentialBuilder()
         .build();
     String serviceBusNamespace = 
         "https://" + namespace + ".servicebus.windows.net";
     
     ServiceBusReceiverClient receiver = new ServiceBusClientBuilder()
         .credential(serviceBusNamespace, credential)
         .receiver()
         .topicName("<TOPIC-NAME>")
         .subscriptionName("<SUBSCRIPTION-NAME>")
         .buildClient();
     

     Absenderclient:

     DefaultAzureCredential credential = new DefaultAzureCredentialBuilder()
         .build();
     String serviceBusNamespace = 
         "https://" + namespace + ".servicebus.windows.net";
     
     ServiceBusSenderClient client = new ServiceBusClientBuilder()
         .credential(serviceBusNamespace, credential)
         .sender()
         .queueName("<QUEUE-NAME>")
         .buildClient();
     

Node.js

1. Um in einer Node.js-Anwendung DefaultAzureCredential zu verwenden, installieren Sie das @azure/identity-Paket:

   npm install --save @azure/identity
   

2. Fügen Sie am Anfang der Datei den folgenden Code hinzu:

   const { DefaultAzureCredential } = require("@azure/identity");
   

3. Ermitteln Sie den Code, der ein ServiceBusClient-Objekt zur Verbindungsherstellung mit Azure Service Bus erstellt. Aktualisieren Sie Ihren Code wie im folgenden Beispiel gezeigt:

   const credential = new DefaultAzureCredential();
   const serviceBusNamespace = `https://${namespace}.servicebus.windows.net`;    
   
   const client = new ServiceBusClient(
     serviceBusNamespace,
     credential
   );
   

Python

1. Um in einer Python-Anwendung DefaultAzureCredential zu verwenden, installieren Sie das azure-identity-Paket:

   pip install azure-identity
   

2. Fügen Sie am Anfang der Datei den folgenden Code hinzu:

   from azure.identity import DefaultAzureCredential
   

3. Ermitteln Sie den Code, der ein ServiceBusClient-Objekt zur Verbindungsherstellung mit Azure Service Bus erstellt. Aktualisieren Sie Ihren Code wie im folgenden Beispiel gezeigt:

   credential = DefaultAzureCredential()
   service_bus_namespace = "https://%s.servicebus.windows.net" % namespace
   
   client = ServiceBusClient(
       fully_qualified_namespace = service_bus_namespace,
       credential = credential
   )
   

Lokales Ausführen der App

Führen Sie die Anwendung lokal aus, nachdem Sie diese Codeänderungen vorgenommen haben. Die neue Konfiguration sollte Ihre lokalen Anmeldeinformationen abrufen, z. B. mit der Azure CLI, mit Visual Studio oder IntelliJ. Die Rollen, die Sie Ihrem lokalen Entwicklerbenutzer in Azure zugewiesen haben, ermöglichen es Ihrer App, eine lokale Verbindung mit dem Azure-Dienst herzustellen.

Konfigurieren der Azure-Hostingumgebung

Sobald Ihre Anwendung für die Verwendung kennwortloser Verbindungen konfiguriert ist und lokal ausgeführt wird, kann sich derselbe Code nach der Bereitstellung in Azure bei Azure-Diensten authentifizieren. Beispielsweise kann eine Anwendung, die in einer Azure App Service-Instanz bereitgestellt wird, für die eine verwaltete Identität aktiviert ist, eine Verbindung mit Azure Service Bus herstellen.

Erstellen der verwalteten Identität mithilfe des Azure-Portals

Die folgenden Schritte zeigen, wie Sie eine systemseitig zugewiesene verwaltete Identität für verschiedene Webhostingdienste erstellen. Die verwaltete Identität kann mithilfe der zuvor eingerichteten App-Konfigurationen auf sichere Weise eine Verbindung mit anderen Azure-Diensten herstellen.

Dienstconnector

Einige App-Hostingumgebungen unterstützen den Dienstconnector, mit dem Sie Azure-Computedienste mit anderen Sicherungsdiensten verbinden können. Der Dienstconnector konfiguriert automatisch Netzwerkeinstellungen und Verbindungsinformationen. Weitere Informationen zum Dienstconnector und zu den unterstützten Szenarien finden Sie aufder Übersichtsseite.

Die folgenden Computedienste werden derzeit unterstützt:

• Azure App Service
• Azure Spring Cloud
• Azure Container Apps (Vorschau)

Im Rahmen dieses Migrationsleitfadens verwenden Sie App Service, aber die Schritte für Azure Spring Apps und Azure Container Apps sind ähnlich.

Hinweis

Azure Spring Apps unterstützt derzeit nur den Dienstconnector mit Verbindungszeichenfolgen.

1. Wählen Sie auf der Hauptübersichtsseite Ihrer App Service-Instanz den Dienstconnector auf der linken Navigationsleiste aus.

2. Wählen Sie im oberen Menü + Erstellen aus. Der Bereich Verbindung erstellen wird geöffnet. Geben Sie die folgenden Werte ein:

   • Diensttyp: Wählen Sie Service Bus aus.
   • Abonnement: Wählen Sie das Abonnement aus, das Sie verwenden möchten.
   • Verbindungsname: Geben Sie einen Namen für Ihre Verbindung ein, z. B. connector_appservice_servicebus.
   • Clienttyp: Lassen Sie den Standardwert ausgewählt, oder wählen Sie den jeweiligen Client aus, den Sie verwenden möchten.

   Wählen Sie Weiter: Authentifizierung aus.

3. Stellen Sie sicher, dass Systemseitig zugewiesene verwaltete Identität (empfohlen) ausgewählt ist, und wählen Sie dann Weiter: Netzwerk aus.

4. Lassen Sie die Standardwerte ausgewählt, und wählen Sie dann Weiter: Überprüfen und erstellen aus.

5. Nachdem Azure Ihre Einstellungen überprüft hat, wählen Sie Erstellen aus.

Der Dienstconnector erstellt automatisch eine systemseitig zugewiesene verwaltete Identität für den App-Dienst. Der Connector weist der verwalteten Identität außerdem die Rolle Azure Service Bus-Datenbesitzer für die ausgewählte Service Bus-Instanz zu.

Azure App Service

1. Wählen Sie auf der Hauptübersichtsseite Ihrer Azure App Service-Instanz Identität auf der linken Navigationsleiste aus.

2. Stellen Sie auf der Registerkarte " Systemseitig zugewiesen sicher, dass das Feld Status auf Ein festgelegt ist. Eine systemseitig zugewiesene Identität wird von Azure intern verwaltet und führt administrative Aufgaben für Sie aus. Die Details und IDs der Identität werden in Ihrem Code nie offengelegt.

   

Azure Spring Apps

1. Wählen Sie auf der Hauptübersichtsseite Ihrer Azure Spring Apps-Instanz Identität auf der linken Navigationsleiste aus.

2. Stellen Sie auf der Registerkarte " Systemseitig zugewiesen sicher, dass das Feld Status auf Ein festgelegt ist. Eine systemseitig zugewiesene Identität wird von Azure intern verwaltet und führt administrative Aufgaben für Sie aus. Die Details und IDs der Identität werden in Ihrem Code nie offengelegt.

   

Azure Container Apps

1. Wählen Sie auf der Hauptübersichtsseite Ihrer Azure Container Apps-Instanz Identität auf der linken Navigationsleiste aus.

2. Stellen Sie auf der Registerkarte " Systemseitig zugewiesen sicher, dass das Feld Status auf Ein festgelegt ist. Eine systemseitig zugewiesene Identität wird von Azure intern verwaltet und führt administrative Aufgaben für Sie aus. Die Details und IDs der Identität werden in Ihrem Code nie offengelegt.

   

Dokumentation zu virtuellen Computern

1. Wählen Sie auf der Hauptübersichtsseite Ihres virtuellen Computers Identität auf der linken Navigationsleiste aus.

2. Stellen Sie auf der Registerkarte " Systemseitig zugewiesen sicher, dass das Feld Status auf Ein festgelegt ist. Eine systemseitig zugewiesene Identität wird von Azure intern verwaltet und führt administrative Aufgaben für Sie aus. Die Details und IDs der Identität werden in Ihrem Code nie offengelegt.

   

Alternativ können Sie eine verwaltete Identität für eine Azure-Hostingumgebung auch über die Azure CLI aktivieren.

Dienstconnector

Sie können den Dienstconnector verwenden, um eine Verbindung zwischen einer Azure-Computehostingumgebung und einem Zieldienst mithilfe der Azure CLI herzustellen. Die CLI verarbeitet automatisch das Erstellen einer verwalteten Identität und weist die richtige Rolle zu, wie in den Portalanweisungen erläutert.

Wenn Sie eine Azure App Service-Instanz nutzen, verwenden Sie den az webapp connection-Befehl:

az webapp connection create servicebus \
    --resource-group <resource-group-name> \
    --name <webapp-name> \
    --target-resource-group <target-resource-group-name> \
    --namespace <target-service-bus-namespace> \
    --system-identity

Wenn Sie Azure Spring Apps nutzen, verwenden Sie den az spring connection-Befehl:

az spring connection create servicebus \
    --resource-group <resource-group-name> \
    --service <service-instance-name> \
    --app <app-name> \
    --deployment <deployment-name> \
    --target-resource-group <target-resource-group> \
    --namespace <target-service-bus-namespace> \
    --system-identity

Wenn Sie Azure Container Apps nutzen, verwenden Sie den az containerapp connection-Befehl:

az containerapp connection create servicebus \
    --resource-group <resource-group-name> \
    --name <webapp-name> \
    --target-resource-group <target-resource-group-name> \
    --namespace <target-service-bus-namespace> \
    --system-identity

Azure App Service

Sie können einer Azure App Service-Instanz mit dem Befehl az webapp identity assign eine verwaltete Identität zuweisen.

az webapp identity assign \
    --resource-group <resource-group-name> \
    --name <webapp-name>

Azure Spring Apps

Sie können einer Azure Spring Apps-Instanz mit dem Befehl az spring app identity assign eine verwaltete Identität zuweisen.

az spring app identity assign \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --service <service-name>

Azure Container Apps

Sie können einer Azure Container Apps-Instanz mit dem Befehl az container app identity assign eine verwaltete Identität zuweisen.

az containerapp identity assign \
    --resource-group <resource-group-name> \
    --name <app-name>

Dokumentation zu virtuellen Computern

Sie können einem virtuellen Computer mit dem Befehl az vm identity assign eine verwaltete Identität zuweisen.

az vm identity assign \
    --resource-group <resource-group-name> \
    --name <virtual-machine-name>

Azure Kubernetes Service

Sie können einer Azure Kubernetes Service-Instanz mit dem Befehl az aks update eine verwaltete Identität zuweisen.

az aks update \
    --resource-group <resource-group-name> \
    --name <virtual-machine-name> \
    --enable-managed-identity

Zuweisen einer Rolle zur verwalteten Identität

Als Nächstes müssen Sie der verwalteten Identität, die Sie für den Service Bus-Zugriff erstellt haben, Berechtigungen erteilen. Sie können der verwalteten Identität zu diesem Zweck eine Rolle zuweisen, genau wie bei Ihrem lokalen Entwicklungsbenutzer.

Dienstconnector

Wenn Sie Ihre Dienste mit dem Dienstconnector verbunden haben, müssen Sie diesen Schritt nicht ausführen. Die erforderlichen Konfigurationen wurden für Sie ausgeführt:

• Wenn Sie beim Erstellen der Verbindung eine verwaltete Identität ausgewählt haben, wurde eine systemseitig zugewiesene verwaltete Identität für Ihre App erstellt und dieser die Rolle Azure Service Bus-Datenbesitzer für die Service Bus-Instanz zugewiesen.

• Wenn Sie Verbindungszeichenfolgenoption ausgewählt haben, wurde die Verbindungszeichenfolge als App-Umgebungsvariable hinzugefügt.

Azure portal

1. Navigieren Sie zu Ihrer Service Bus-Übersichtsseite, und wählen Sie auf der linken Navigationsleiste Zugriffssteuerung (IAM) aus.

2. Wählen Sie die OptionRollenzuweisung hinzufügen aus.

   

3. Suchen Sie im Suchfeld Rolle nach Azure Service Bus-Datenbesitzer. Dies ist eine Rolle, die häufig zum Verwalten von Datenvorgängen für Blobs verwendet wird. Sie können jede Rolle zuweisen, die für Ihren Anwendungsfall geeignet ist. Wählen Sie in der Liste den Eintrag Azure Service Bus-Datenbesitzer und dann Weiter aus.

4. Wählen Sie auf dem Bildschirm Rollenzuweisung hinzufügen für die Option Zugriff zuweisen zu die Option Verwaltete Identität aus. Wählen Sie dann + Mitglieder auswählen aus.

5. Suchen Sie im Flyout nach der verwalteten Identität, die Sie erstellt haben, indem Sie den Namen Ihres App-Diensts eingeben. Wählen Sie die systemseitig zugewiesene Identität aus, und wählen Sie dann Auswählen aus, um das Flyoutmenü zu schließen.

   

6. Wählen Sie mehrmals Weiter aus, bis Sie Überprüfen und zuweisen auswählen können, um die Rollenzuweisung abzuschließen.

Azure-Befehlszeilenschnittstelle

Um eine Rolle auf Ressourcenebene über die Azure CLI zuweisen zu können, müssen Sie zuerst die Ressourcen-ID mithilfe des Befehls az servicebus show abrufen. Sie können die Ausgabeeigenschaften mithilfe des Parameters --query filtern.

az servicebus show \
    --resource-group '<your-resource-group-name>' \
    --name '<your-service-bus-namespace>' \
    --query id

Kopieren Sie die Ausgabe-ID aus dem vorherigen Befehl. Anschließend können Sie Rollen mithilfe des Befehls az role der Azure CLI zuweisen.

az role assignment create \
    --assignee "<your-username>" \
    --role "Azure Service Bus Data Owner" \
    --scope "<your-resource-id>"

Testen der App

Nachdem Sie diese Codeänderungen vorgenommen haben, navigieren Sie im Browser zu Ihrer gehosteten Anwendung. Ihre App sollte die Verbindung mit der Service Bus-Instanz erfolgreich herstellen können. Denken Sie daran, dass es einige Minuten dauern kann, bis die Rollenzuweisungen in der Azure-Umgebung weitergegeben werden. Ihre Anwendung ist jetzt so konfiguriert, dass sie lokal und in einer Produktionsumgebung ausgeführt werden kann, ohne dass die Entwickler Geheimnisse in der Anwendung selbst verwalten müssen.

Nächste Schritte

In diesem Tutorial haben Sie gelernt, wie Sie eine Anwendung zu kennwortlosen Verbindungen migrieren.