Migración de una aplicación para usar conexiones sin contraseña con Azure Event Hubs

Las solicitudes de aplicación a servicios de Azure se deben autenticar mediante configuraciones como claves de acceso de cuenta o conexiones sin contraseña. Sin embargo, debe priorizar las conexiones sin contraseña en las aplicaciones siempre que sea posible. Los métodos de autenticación tradicionales que usan contraseñas o claves secretas crean riesgos y complicaciones de seguridad. Visite el centro de Conexiones sin contraseña para servicios de Azure para obtener más información sobre las ventajas de pasar a conexiones sin contraseña.

El siguiente tutorial explica cómo migrar una aplicación existente para conectarse mediante conexiones sin contraseña. Estos mismos pasos de migración deben aplicarse si usa claves de acceso, cadenas de conexión u otro enfoque basado en secretos.

Configuración del entorno de desarrollo local

Las conexiones sin contraseña se pueden configurar para que funcionen en entornos locales y hospedados en Azure. En esta sección, aplicará configuraciones para permitir que los usuarios individuales se autentiquen en Azure Event Hubs para el desarrollo local.

Asignar roles de usuario

Al desarrollar localmente, asegúrese de que la cuenta de usuario que accede a Azure Event Hubs tenga los permisos correctos. Necesitará los roles Receptor de datos de Azure Event Hubs y Remitente de datos de Azure Event Hubs para leer y escribir datos de mensajes. Para asignarse este rol a sí mismo, necesitará que se le asigne el rol Administrador de acceso de usuario u otro rol que incluya la acción Microsoft.Authorization/roleAssignments/write. Puede asignar roles RBAC de Azure a un usuario mediante Azure Portal, la CLI de Azure o Azure PowerShell. Puede obtener más información sobre los ámbitos disponibles para las asignaciones de roles en la página de información general del ámbito.

En el ejemplo siguiente, se asignan los roles Remitente de datos de Azure Event Hubs y Receptor de datos de Azure Event Hubs a la cuenta de usuario. Estos roles conceden acceso de lectura y escritura a los mensajes del centro de eventos.

Azure Portal

1. En Azure Portal, busque el centro de eventos mediante la barra de búsqueda principal o el panel de navegación izquierdo.

2. En la página de información general del centro de eventos, seleccione Control de acceso (IAM).

3. En la página Control de acceso (IAM), seleccione la pestaña Asignación de roles.

4. Seleccione + Agregar en el menú superior y, a continuación, Agregar asignación de roles en el menú desplegable resultante.

   

5. Puede usar el cuadro de búsqueda para filtrar los resultados por el rol deseado. En este ejemplo, busque Remitente de datos de Azure Event Hubs y seleccione el resultado coincidente. Elija Siguiente.

6. En la pestaña Asignar acceso a, seleccione Usuario, grupo o entidad de servicio y, a continuación, elija + Seleccionar miembros.

7. En el cuadro de diálogo, busque el nombre de usuario de Microsoft Entra (normalmente su dirección de correo electrónico de user@domain) y, a continuación, elija Seleccionar en la parte inferior del cuadro de diálogo.

8. Seleccione Revisar y asignar para ir a la página final y, a continuación, de nuevo Revisar y asignar para completar el proceso.

9. Repita estos pasos para el rol Receptor de datos de Azure Event Hubs para permitir que la cuenta envíe y reciba mensajes.

CLI de Azure

Para asignar un rol en el nivel de recurso mediante la CLI de Azure, primero debe recuperar el Id. de recurso mediante el comando az eventhubs eventhub show. Puede filtrar las propiedades de salida mediante el parámetro --query.

az eventhubs eventhub show \
    --resource-group '<your-resource-group-name>' \
    --namespace-name '<your-event-hubs-namespace>' \
    --name '<your-event-hub-name>' \
    --query id

Copie la salida Id del comando anterior. A continuación, puede asignar roles mediante el comando az role de la CLI de Azure.

az role assignment create --assignee "<user@domain>" \
    --role "Azure Event Hubs Data Receiver" \
    --scope "<your-resource-id>"

az role assignment create --assignee "<user@domain>" \
    --role "Azure Event Hubs Data Sender" \
    --scope "<your-resource-id>"

PowerShell

Para asignar un rol en el nivel de recurso mediante Azure PowerShell, primero debe recuperar el Id. de recurso mediante el comando Get-AzResource.

Get-AzResource -ResourceGroupName "<yourResourceGroupname>" -Name "<yourEventHubsNamespace>"

Copie el valor Id de la salida del comando anterior. A continuación, puede asignar roles mediante el comando New-AzRoleAssignment en PowerShell.

New-AzRoleAssignment -SignInName <user@domain> `
    -RoleDefinitionName "Azure Event Hubs Data Receiver" `
    -Scope <yourEventHubsId>

New-AzRoleAssignment -SignInName <user@domain> `
    -RoleDefinitionName "Azure Event Hubs Data Sender" `
    -Scope <yourEventHubsId>

Importante

En la mayoría de los casos, la asignación de roles tardará un minuto o dos en propagarse en Azure, pero en casos excepcionales puede tardar hasta ocho minutos. Si recibe errores de autenticación al ejecutar por primera vez el código, espere unos instantes e inténtelo de nuevo.

Inicio de sesión en Azure localmente

Para el desarrollo local, asegúrese de que está autenticado con la misma cuenta de Microsoft Entra a la que asignó el rol. Puede autenticarse a través de herramientas de desarrollo populares, como la CLI de Azure o Azure PowerShell. Las herramientas de desarrollo con las que puede autenticarse varían en todos los idiomas.

CLI de Azure

Inicie sesión en Azure a través de la CLI de Azure mediante el siguiente comando:

az login

Visual Studio

Seleccione el botón Iniciar sesión en la parte superior derecha de Visual Studio.

Inicie sesión con la cuenta de Microsoft Entra a la que asignó un rol anteriormente.

Visual Studio Code

Hay que instalar la CLI de Azure para trabajar con DefaultAzureCredential mediante Visual Studio Code.

En el menú principal de Visual Studio Code, vaya a Terminal > Nueva terminal.

Inicie sesión en Azure a través de la CLI de Azure mediante el siguiente comando:

az login

PowerShell

Inicie sesión en Azure mediante PowerShell a través del siguiente comando:

Connect-AzAccount

Actualización del código de la aplicación para usar conexiones sin contraseña

La biblioteca cliente de identidad de Azure, para cada uno de los siguientes ecosistemas, proporcione una clase DefaultAzureCredential que controla la autenticación sin contraseña en Azure:

• .NET
• C++
• Go
• Java
• Node.js
• Python

DefaultAzureCredential admite múltiples métodos de autenticación. El método que se va a usar se determina en tiempo de ejecución. Este enfoque permite que la aplicación use diferentes métodos de autenticación en distintos entornos (local frente a producción) sin implementar código específico del entorno. Consulte los vínculos anteriores para el orden y las ubicaciones en las que DefaultAzureCredential busca las credenciales.

.NET

1. Para usar DefaultAzureCredential en una aplicación .NET, instale el paquete Azure.Identity:

   dotnet add package Azure.Identity
   

2. En la parte superior del archivo, agregue el código siguiente:

   using Azure.Identity;
   

3. Identifique las ubicaciones del código que crean un objeto EventHubProducerClient o EventProcessorClient para conectarse a Azure Event Hubs. Actualice su código para que coincida con el ejemplo siguiente:

   DefaultAzureCredential credential = new();
   var eventHubNamespace = $"https://{namespace}.servicebus.windows.net";
   
   // Event Hubs producer
   EventHubProducerClient producerClient = new(
       eventHubNamespace,
       eventHubName,
       credential);
   
   // Event Hubs processor
   EventProcessorClient processorClient = new(
       storageClient,
       EventHubConsumerClient.DefaultConsumerGroupName,
       eventHubNamespace,
       eventHubName,
       credential);
   

Go

1. Para usar DefaultAzureCredential en una aplicación Go, instale el módulo azidentity:

   go get -u github.com/Azure/azure-sdk-for-go/sdk/azidentity
   

2. En la parte superior del archivo, agregue el código siguiente:

   import (
       "github.com/Azure/azure-sdk-for-go/sdk/azidentity"
   )
   

3. Identifique las ubicaciones del código que crean una instancia ProducerClient o ConsumerClient para conectarse a Azure Event Hubs. Actualice su código para que coincida con el ejemplo siguiente:

   credential, err := azidentity.NewDefaultAzureCredential(nil)
   eventHubNamespace := fmt.Sprintf(
       "https://%s.servicebus.windows.net",
       namespace)
   
   if err != nil {
       // handle error
   }
   
   // Event Hubs producer
   producerClient, err = azeventhubs.NewProducerClient(
       eventHubNamespace,
       eventHubName,
       credential,
       nil)
   
   if err != nil {
       // handle error
   }
   
   // Event Hubs processor
   processorClient, err = azeventhubs.NewConsumerClient(
       eventHubNamespace,
       eventHubName,
       azeventhubs.DefaultConsumerGroup,
       credential,
       nil)
   
   if err != nil {
       // handle error
   }
   

Java

1. Para usar DefaultAzureCredential en una aplicación Java, instale el paquete azure-identity mediante uno de los métodos siguientes:

   1. Inclusión del archivo BOM.
   2. Inclusión de una dependencia directas.

2. En la parte superior del archivo, agregue el código siguiente:

   import com.azure.identity.DefaultAzureCredentialBuilder;
   

3. Identifique las ubicaciones del código que crean un objeto EventHubProducerClient o EventProcessorClient para conectarse a Azure Event Hubs. Actualice su código para que coincida con el ejemplo siguiente:

   DefaultAzureCredential credential = new DefaultAzureCredentialBuilder()
       .build();
   String eventHubNamespace = "https://" + namespace + ".servicebus.windows.net";
   
   // Event Hubs producer
   EventHubProducerClient producerClient = new EventHubClientBuilder()
       .credential(eventHubNamespace, eventHubName, credential)
       .buildProducerClient();
   
   // Event Hubs processor
   EventProcessorClient processorClient = new EventProcessorClientBuilder()
       .consumerGroup(consumerGroupName)
       .credential(eventHubNamespace, eventHubName, credential)
       .checkpointStore(new SampleCheckpointStore())
       .processEvent(eventContext -> {
           System.out.println(
               "Partition ID = " +
               eventContext.getPartitionContext().getPartitionId() +
               " and sequence number of event = " +
               eventContext.getEventData().getSequenceNumber());
       })
       .processError(errorContext -> {
           System.out.println(
               "Error occurred while processing events " +
               errorContext.getThrowable().getMessage());
       })
       .buildEventProcessorClient();
   

Node.js

1. Para usar DefaultAzureCredential en una aplicación Node.js, instale el paquete @azure/identity:

   npm install --save @azure/identity
   

2. En la parte superior del archivo, agregue el código siguiente:

   import { DefaultAzureCredential } from "@azure/identity";
   

3. Identifique las ubicaciones del código que crean un objeto EventHubProducerClient o EventHubConsumerClient para conectarse a Azure Event Hubs. Actualice su código para que coincida con el ejemplo siguiente:

   const credential = new DefaultAzureCredential();
   const eventHubNamespace = `https://${namespace}.servicebus.windows.net`;
   
   // Event Hubs producer    
   const producerClient = new EventHubProducerClient(
       eventHubNamespace,
       eventHubName,
       credential);
   
   // Event Hubs processor
   const processorClient = new EventHubConsumerClient(
       consumerGroupName,
       eventHubNamespace,
       eventHubName,
       credential
   );
   

Python

1. Para usar DefaultAzureCredential en una aplicación Python, instale el paquete azure-identity:

   pip install azure-identity
   

2. En la parte superior del archivo, agregue el código siguiente:

   from azure.identity import DefaultAzureCredential
   

3. Identifique las ubicaciones del código que crean un objeto EventHubProducerClient o EventHubConsumerClient para conectarse a Azure Event Hubs. Actualice su código para que coincida con el ejemplo siguiente:

   credential = DefaultAzureCredential()
   event_hub_namespace = "https://%s.servicebus.windows.net" % namespace
   
   # Event Hubs producer
   producer_client = EventHubProducerClient(
       fully_qualified_namespace = event_hub_namespace,
       eventhub_name = event_hub_name,
       credential = credential
   )
   
   # Event Hubs processor
   processor_client = EventHubConsumerClient(
       fully_qualified_namespace = event_hub_namespace,
       eventhub_name = event_hub_name,
       consumer_group = "$Default",
       checkpoint_store = checkpoint_store,
       credential = credential
   )
   

4. Asegúrese de actualizar el espacio de nombres de los centros de eventos en el identificador URI de los objetos EventHubProducerClient o EventProcessorClient. Puede encontrar el nombre del espacio de nombres en la página de información general de Azure Portal.

   

Ejecución de la aplicación de forma local

Después de realizar estos cambios de código, ejecute la aplicación localmente. La nueva configuración debe recoger las credenciales locales, como la CLI de Azure, Visual Studio o IntelliJ. Los roles que asigne al usuario en Azure permitirán a la aplicación conectarse al servicio de Azure localmente.

Configuración del entorno de hospedaje de Azure

Una vez que la aplicación se ha configurado para usar conexiones sin contraseña y se ejecuta localmente, el mismo código se puede autenticar en los servicios de Azure después de implementarla en Azure. En las secciones siguientes, se explica cómo configurar una aplicación implementada para conectarse a Azure Event Hubs mediante una identidad administrada. Las identidades administradas proporcionan una identidad administrada automáticamente en Microsoft Entra ID para que las aplicaciones la utilicen al conectarse a los recursos que admiten la autenticación de Microsoft Entra. Más información sobre las identidades administradas:

• Introducción al inicio de sesión sin contraseña
• Procedimientos recomendados de identidad administrada

Creación de la identidad administrada

Puede crear una identidad administrada asignada por el usuario mediante el Azure Portal o la CLI de Azure. La aplicación usa la identidad para autenticarse en otros servicios.

Azure Portal

1. En la parte superior del Azure Portal, busque Identidades administradas. Seleccione el resultado de Identidades administradas.
2. Seleccione + Crear en la parte superior de la página de información general de Identidades administradas.
3. En la pestaña Datos básicos, escriba los valores siguientes:
   • Suscripción: Seleccione la opción de suscripción que desee.
   • Grupo de recursos: Seleccione el grupo de recursos deseado.
   • Región: seleccione una región cercana a su ubicación.
   • Nombre: Escriba un nombre reconocible para la identidad, como MigrationIdentity.
4. En la parte inferior de la página, seleccione Revisar y crear.
5. Cuando finalicen las comprobaciones de validación, seleccione Crear. Azure crea una nueva identidad asignada por el usuario.

Una vez creado el recurso, seleccione Ir al recurso para ver los detalles de la identidad administrada.

CLI de Azure

Use el comando az identity create para crear una identidad administrada asignada por el usuario:

az identity create --name MigrationIdentity --resource-group <your-resource-group>

Asociación de la identidad administrada a la aplicación web

Debe configurar la aplicación web para usar la identidad administrada que ha creado. Asigne la identidad a la aplicación mediante el Azure Portal o la CLI de Azure.

Azure Portal

Complete los pasos siguientes en el Azure Portal para asociar una identidad a la aplicación. Estos mismos pasos se aplican a los siguientes servicios de Azure:

• Azure Spring Apps
• Azure Container Apps
• Máquinas virtuales de Azure
• Azure Kubernetes Service

1. Vaya a la página de información general de la aplicación web.

2. En el menú de navegación de la izquierda, seleccione Identidad.

3. En la página Identidad, cambie a la pestaña Asignado por el usuario.

4. Seleccione + Agregar para abrir el control flotante Agregar identidad administrada asignada por el usuario.

5. Seleccione la suscripción que usó anteriormente para crear la identidad.

6. Busque MigrationIdentity por nombre y selecciónelo en los resultados de la búsqueda.

7. Seleccione Agregar para asociar la identidad a la aplicación.

   

CLI de Azure

Use los siguientes comandos de la CLI de Azure para asociar una identidad a la aplicación:

Recupere el id. de la identidad administrada que creó mediante el comando az identity show. Copie el valor de salida que se usará en el paso siguiente.

az identity show --name MigrationIdentity -g <your-identity-resource-group-name> --query id

Azure App Service

Puede asignar una identidad administrada a una instancia de Azure App Service con el comando az webapp identity assign.

az webapp identity assign \
    --resource-group <resource-group-name> \
    --name <webapp-name>
    --identities <managed-identity-id>

Azure Spring Apps

Puede asignar una identidad administrada a una instancia de Azure Spring Apps con el comando az spring app identity assign.

az spring app identity assign \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --service <service-name>
    --user-assigned <managed-identity-id>

Azure Container Apps

Puede asignar una identidad administrada a una máquina virtual con el comando az containerapp identity assign.

az containerapp identity assign \
    --resource-group <resource-group-name> \
    --name <app-name>
    --user-assigned <managed-identity-id>

Máquinas virtuales de Azure

Puede asignar una identidad administrada a una máquina virtual con el comando az vm identity assign.

az vm identity assign \
    --resource-group <resource-group-name> \
    --name <virtual-machine-name>
    --identities <managed-identity-id>

Azure Kubernetes Service

Puede asignar una identidad administrada a una instancia de Azure Kubernetes Service (AKS) con el comando az aks update.

az aks update \
    --resource-group <resource-group-name> \
    --name <cluster-name> \
    --enable-managed-identity \
    --assign-identity <managed-identity-id> \
    --assign-kubelet-identity <managed-identity-id>

Conector de servicio

Puede usar un conector de servicio para crear una conexión entre un entorno de hospedaje de proceso de Azure y un servicio de destino mediante la CLI de Azure. Los comandos de la CLI de Service Connector asignan automáticamente el rol adecuado a la identidad. Puede obtener más información sobre el conector de servicio y los escenarios que se admiten en la página de información general.

1. Recupere el id. de cliente de la identidad administrada que creó mediante el comando az identity show. Copie el valor para su uso posterior.

   az identity show \
       --name MigrationIdentity \
       --resource-group <your-resource-group> \
       --query clientId
   

2. Use el comando de la CLI adecuado para establecer la conexión de servicio:

   Azure App Service

   Si usa un Azure App Service, use el comando az webapp connection:

   az webapp connection create eventhub \
       --resource-group <resource-group-name> \
       --name <webapp-name> \
       --target-resource-group <target-resource-group-name> \
       --account <target-event-hub-namespace> \
       --user-identity "client-id=<your-identity-client-id>" "subs-id=<your-subscription-id>"
   

   Azure Spring Apps

   Si usa Azure Spring Apps, use el comando az spring-cloud connection:

   az spring-cloud connection create eventhub \
       --resource-group <resource-group-name> \
       --service <service-instance-name> \
       --app <app-name> \
       --deployment <deployment-name> \
       --target-resource-group <target-resource-group> \
       --account <target-event-hub-namespace> \
       --user-identity "client-id=<your-identity-client-id>" "subs-id=<your-subscription-id>"
   

   Azure Container Apps

   Si usa Azure Container Apps, use el comando az containerapp connection:

   az containerapp connection create eventhub \
       --resource-group <resource-group-name> \
       --name <containerapp-name> \
       --target-resource-group <target-resource-group> \
       --account <target-event-hub-namespace> \
       --user-identity "client-id=<your-identity-client-id>" "subs-id=<your-subscription-id>"
   

Asignación de roles a la identidad administrada

A continuación, debe conceder permisos a la identidad administrada que ha creado para acceder al centro de eventos. Conceda permisos mediante la asignación de un rol a la identidad administrada, tal como hizo con el usuario de desarrollo local.

Azure Portal

1. Vaya a la página de información general del centro de eventos y seleccione Control de acceso (IAM) en el panel de navegación izquierdo.

2. Elija Agregar asignación de roles

   

3. En el cuadro de búsqueda Rol, busque Remitente de datos de Azure Event Hubs, que es un rol común que se usa para administrar las operaciones de datos para colas. Puede asignar cualquier rol que sea adecuado para el caso de uso. Seleccione el remitente de datos de Azure Event Hubs en la lista y elija Siguiente.

4. En la pantalla Agregar asignación de roles, en la opción Asignar acceso a, seleccione Identidad administrada. A continuación, elija +Seleccionar miembros.

5. En el control flotante, busque la identidad administrada que creó por nombre y selecciónela en los resultados. Elija Seleccionar para cerrar el menú del control flotante.

   

6. Seleccione Siguiente un par de veces hasta que pueda seleccionar Revisar y asignar para finalizar la asignación de roles.

7. Repita estos pasos para el rol Receptor de datos de Azure Event Hubs.

CLI de Azure

Para asignar un rol en el nivel de recurso mediante la CLI de Azure, primero debe recuperar el Id. de recurso mediante el comando az eventhubs eventhub show show. Puede filtrar las propiedades de salida mediante el parámetro --query.

az eventhubs eventhub show \
    --resource-group '<your-resource-group-name>' \
    --namespace-name '<your-event-hubs-namespace>' \
    --name '<your-event-hub-name>' \
    --query id

Copie el id. de salida del comando anterior. A continuación, puede asignar roles mediante el comando az role assignment de la CLI de Azure.

az role assignment create --assignee "<user@domain>" \
    --role "Azure Event Hubs Data Receiver" \
    --scope "<your-resource-id>"

az role assignment create --assignee "<user@domain>" \
    --role "Azure Event Hubs Data Sender" \
    --scope "<your-resource-id>"

Conector de servicio

Si ha conectado los servicios por medio de Service Connector, no es necesario realizar este paso. Las configuraciones de rol necesarias se controlaron por usted cuando ejecutó los comandos de la CLI de Service Connector.

Actualización del código de la aplicación

Debe configurar el código de la aplicación para buscar la identidad administrada específica que creó cuando se implemente en Azure. En algunos escenarios, establecer explícitamente la identidad administrada para la aplicación también impide que otras identidades del entorno se detecten y usen automáticamente.

1. En la página de información general de la identidad administrada, copie el valor del id. de cliente en el Portapapeles.

2. Aplique los siguientes cambios específicos de idioma:

   .NET

   Cree un objeto DefaultAzureCredentialOptions y páselo a DefaultAzureCredential. Establezca la propiedad ManagedIdentityClientId en el identificador de cliente.

   DefaultAzureCredential credential = new(
       new DefaultAzureCredentialOptions
       {
           ManagedIdentityClientId = managedIdentityClientId
       });
   

   Go

   Establezca la variable de entorno AZURE_CLIENT_ID en el identificador de cliente de identidad administrada. DefaultAzureCredential lee esta variable de entorno.

   Java

   Llame al método managedIdentityClientId. Pásele el identificador de cliente.

   DefaultAzureCredential credential = new DefaultAzureCredentialBuilder()
       .managedIdentityClientId(managedIdentityClientId)
       .build();
   

   Node.js

   Cree un objeto DefaultAzureCredentialClientIdOptions con su propiedad managedIdentityClientId establecida en el identificador de cliente. Pase ese objeto al constructor DefaultAzureCredential.

   const credential = new DefaultAzureCredential({
     managedIdentityClientId
   });
   

   Python

   Establezca el parámetro managed_identity_client_id del constructor DefaultAzureCredential en el identificador de cliente.

   credential = DefaultAzureCredential(
       managed_identity_client_id = managed_identity_client_id
   )
   

3. Vuelva a implementar el código en Azure después de realizar este cambio para que se apliquen las actualizaciones de configuración.

Prueba de la aplicación

Después de implementar el código actualizado, vaya a la aplicación hospedada en el explorador. La aplicación debe poder conectarse al centro de eventos correctamente. Tenga en cuenta que las asignaciones de roles pueden tardar varios minutos en propagarse a través del entorno de Azure. Ahora la aplicación está configurada para ejecutarse localmente y en un entorno de producción sin que los desarrolladores tengan que administrar los secretos en la propia aplicación.

Pasos siguientes

En este tutorial, ha aprendido a migrar una aplicación a conexiones sin contraseña.

Puede leer los siguientes recursos para explorar los conceptos que se describen en este artículo con más detalle:

• Conexiones sin contraseña para servicios de Azure
• Para obtener más información sobre .NET, consulte Introducción a .NET en 10 minutos.