Tutoriel : Connexion à des bases de données Azure à partir d’App Service sans secrets à l’aide d’une identité managée

App Service offre un service d’hébergement web hautement évolutif appliquant des mises à jour correctives automatiques dans Azure. Il offre également une identité managée pour votre application. Il s’agit d’une solution clé en main permettant de sécuriser l’accès à des bases de données Azure :

• Azure SQL Database
• Azure Database pour MySQL
• Base de données Azure pour PostgreSQL

Remarque

Ce tutoriel ne contient pas de conseils sur Azure Cosmos DB, qui prend en charge l’authentification Microsoft Entra différemment. Pour plus d’informations, consultez la documentation Azure Cosmos DB, par exemple, la rubrique Utiliser des identités managées affectées par le système pour accéder aux données Azure Cosmos DB.

Les identités managées dans App Service sécurisent votre application en en éliminant les secrets, par exemple les informations d’identification dans les chaînes de connexion. Ce tutoriel vous montre comment vous connecter aux bases de données mentionnées ci-dessus à partir d’App Service à l’aide d’identités managées.

Contenu :

• Configurer un utilisateur Microsoft Entra en tant qu’administrateur pour votre base de données Azure.
• Vous connecter à votre base de données en tant qu’utilisateur Microsoft Entra.
• Configuration d’une identité managée affectée par le système ou par l’utilisateur pour une application App Service
• Octroi à l’identité managée de l’accès à la base de données
• Connexion à la base de données Azure à partir de votre code (.NET Framework 4.8, .NET 6, Node.js, Python ou Java) à l’aide d’une identité managée
• Vous connecter à la base de données Azure à partir de votre environnement de développement en vous servant de l’utilisateur Microsoft Entra.

Si vous n’avez pas d’abonnement Azure, créez un compte gratuit Azure avant de commencer.

Prérequis

• Créez une application basée sur .NET, Node.js, Python ou Java dans App Service.
• Créez un serveur de base de données avec Azure SQL Database, Azure Database pour MySQL ou Azure Database pour PostgreSQL.
• Vous devez connaître le modèle de connectivité standard (avec nom d’utilisateur et mot de passe) et savoir vous connecter à la base de données de votre choix à partir de votre application App Service.

Préparez votre environnement pour l’interface Azure CLI.

• Utilisez l’environnement Bash dans Azure Cloud Shell. Pour plus d’informations, consultez Démarrage rapide pour Bash dans Azure Cloud Shell.

  

• Si vous préférez exécuter les commandes de référence de l’interface de ligne de commande localement, installez l’interface Azure CLI. Si vous exécutez sur Windows ou macOS, envisagez d’exécuter Azure CLI dans un conteneur Docker. Pour plus d’informations, consultez Guide pratique pour exécuter Azure CLI dans un conteneur Docker.

  • Si vous utilisez une installation locale, connectez-vous à Azure CLI à l’aide de la commande az login. Pour finir le processus d’authentification, suivez les étapes affichées dans votre terminal. Pour connaître les autres options de connexion, consultez Se connecter avec Azure CLI.

  • Lorsque vous y êtes invité, installez l’extension Azure CLI lors de la première utilisation. Pour plus d’informations sur les extensions, consultez Utiliser des extensions avec Azure CLI.

  • Exécutez az version pour rechercher la version et les bibliothèques dépendantes installées. Pour effectuer une mise à niveau vers la dernière version, exécutez az upgrade.

1. Installer l’extension sans mot de passe du Connecteur de services

Installez l’extension sans mot de passe Service Connector pour Azure CLI :

az extension add --name serviceconnector-passwordless --upgrade

2. Créer une connexion sans mot de passe

Créez ensuite une connexion sans mot de passe avec le Connecteur de services.

Conseil

Le Portail Azure peut vous aider à composer les commandes ci-dessous. Dans le Portail Azure, accédez à votre ressource Azure App Service, sélectionnez Connecteur de service dans le menu de gauche, puis Créer. Renseignez le formulaire avec tous les paramètres nécessaires. Azure génère automatiquement la commande de création de la connexion. Vous pouvez la copier pour l’utiliser dans l’interface CLI ou l’exécuter dans Azure Cloud Shell.

Azure SQL Database

La commande Azure CLI suivante utilise un paramètre --client-type.

1. Exécutez éventuellement le az webapp connection create sql -h pour obtenir les types de clients pris en charge.

2. Choisissez un type de client et exécutez la commande correspondante. Remplacez les espaces réservés suivants par vos propres informations.

   Identité managée affectée par l’utilisateur

   az webapp connection create sql \
       --resource-group <group-name> \
       --name <server-name> \
       --target-resource-group <sql-group-name> \
       --server <sql-name> \
       --database <database-name> \
       --user-identity client-id=<client-id> subs-id=<subscription-id> \
       --client-type <client-type>
   

   Identité managée affectée par le système

   az webapp connection create sql \
       --resource-group <group-name> \
       --name <server-name> \
       --target-resource-group <group-name> \
       --server <sql-name> \
       --database <database-name> \
       --system-identity \
       --client-type <client-type>
   

Azure Database pour MySQL

Remarque

Pour le serveur flexible Azure Database pour MySQL, vous devez d’abord configurer manuellement l’authentification Microsoft Entra. Celle-ci nécessite une identité managée affectée par l’utilisateur distincte et des autorisations Microsoft Graph spécifiques. Cette étape ne peut pas être automatisée.

1. Configurer l’authentification Microsoft Entra pour le serveur flexible Azure Database pour MySQL manuellement.

2. Exécutez éventuellement la commande az webapp connection create mysql-flexible -h pour obtenir les types de clients pris en charge.

3. Choisissez un type de client et exécutez la commande correspondante. La commande Azure CLI suivante utilise un paramètre --client-type.

   Identité managée affectée par l’utilisateur

   az webapp connection create mysql-flexible \
       --resource-group <group-name> \
       --name <server-name> \
       --target-resource-group <group-name> \
       --server <mysql-name> \
       --database <database-name> \
       --user-identity client-id=XX subs-id=XX mysql-identity-id=$IDENTITY_RESOURCE_ID \
       --client-type <client-type>
   

   Identité managée affectée par le système

   az webapp connection create mysql-flexible \
   --resource-group <group-name> \
   --name <server-name> \
   --target-resource-group <group-name> \
   --server <mysql-name> \
   --database <database-name> \
   --system-identity mysql-identity-id=$IDENTITY_RESOURCE_ID \
   --client-type <client-type>
   

Base de données Azure pour PostgreSQL

La commande Azure CLI suivante utilise un paramètre --client-type.

1. Exécutez éventuellement la commande az webapp connection create postgres-flexible -h pour obtenir une liste des types de clients pris en charge.

2. Choisissez un type de client et exécutez la commande correspondante.

   Identité managée affectée par l’utilisateur

   az webapp connection create postgres-flexible \
       --resource-group <group-name> \
       --name <server-name> \
       --target-resource-group <group-name> \
       --server <postgresql-name> \
       --database <database-name> \
       --user-identity client-id=XX subs-id=XX \
       --client-type java
   

   Identité managée affectée par le système

   az webapp connection create postgres-flexible \
       --resource-group <group-name> \
       --name <server-name> \
       --target-resource-group <group-name> \
       --server <postgresql-name> \
       --database <database-name> \
       --system-identity \
       --client-type <client-type>
   

3. Accorder l’autorisation de précréer les tables

Ensuite, si vous avez créé des tables et des séquences dans un serveur flexible PostgreSQL avant d’utiliser le connecteur de services, vous devez vous connecter en tant que propriétaire et accorder à <aad-username> l’autorisation créée par le connecteur de services. Le nom d’utilisateur de la chaîne de connexion ou de la configuration définie par le connecteur de service doit ressembler à aad_<connection name>. Si vous utilisez le Portail Azure, sélectionnez le bouton Développer à côté de la colonne Service Type et obtenez la valeur. Si vous utilisez Azure CLI, cochez configurations dans la sortie de la commande CLI.

Ensuite, exécutez la requête pour accorder l’autorisation

az extension add --name rdbms-connect

az postgres flexible-server execute -n <postgres-name> -u <owner-username> -p "<owner-password>" -d <database-name> --querytext "GRANT ALL PRIVILEGES ON ALL TABLES IN SCHEMA public TO \"<aad-username>\";GRANT ALL PRIVILEGES ON ALL SEQUENCES IN SCHEMA public TO \"<aad username>\";"

<owner-username> et <owner-password> est le propriétaire de la table existante qui peut accorder des autorisations à d’autres personnes. <aad-username> est l’utilisateur créé par Service Connector. Remplacez-les par la valeur réelle.

Validez le résultat avec la commande suivante :

az postgres flexible-server execute -n <postgres-name> -u <owner-username> -p "<owner-password>" -d <database-name> --querytext "SELECT distinct(table_name) FROM information_schema.table_privileges WHERE grantee='<aad-username>' AND table_schema='public';" --output table

Cette commande Service Connector effectue les tâches suivantes en arrière-plan :

• Activez l’identité managée affectée par le système ou attribuez une identité d’utilisateur pour l’application <server-name> hébergée par Azure App Service.
• Définissez l’utilisateur actuellement connecté comme administrateur Microsoft Entra.
• Ajoutez un utilisateur de la base de données pour l’identité managée affectée par le système ou l’identité managée affectée par l’utilisateur. Accordez tous les privilèges de la base de données <database-name> à cet utilisateur. Le nom d’utilisateur se trouve dans la chaîne de connexion dans la sortie de commande précédente.
• Définissez les configurations nommées AZURE_MYSQL_CONNECTIONSTRING, AZURE_POSTGRESQL_CONNECTIONSTRING ou AZURE_SQL_CONNECTIONSTRING sur la ressource Azure en fonction du type de base de données.
• Pour App Service, les configurations sont définies dans le panneau Paramètres de l’application.

Si vous rencontrez un problème lors de la création d’une connexion, reportez-vous à Résolution des problèmes pour obtenir de l’aide.

3. Modification du code

Azure SQL Database

.NET

1. Installez des dépendances.

   dotnet add package Microsoft.Data.SqlClient
   

2. Obtenez la chaîne de connexion Azure SQL Database à partir de la variable d’environnement ajoutée par le connecteur de services.

   using Microsoft.Data.SqlClient;
   
   // AZURE_SQL_CONNECTIONSTRING should be one of the following:
   // For system-assigned managed identity:"Server=tcp:<server-name>.database.windows.net;Database=<database-name>;Authentication=Active Directory Default;TrustServerCertificate=True"
   // For user-assigned managed identity: "Server=tcp:<server-name>.database.windows.net;Database=<database-name>;Authentication=Active Directory Default;User Id=<client-id-of-user-assigned-identity>;TrustServerCertificate=True"
   
   string connectionString = 
       Environment.GetEnvironmentVariable("AZURE_SQL_CONNECTIONSTRING")!;
   
   using var connection = new SqlConnection(connectionString);
   connection.Open();
   

   Pour plus d’informations, consultez Utilisation de l’authentification d’identité managée Active Directory.

Java

1. Ajoutez les dépendances suivantes dans votre fichier pom.xml :

   <dependency>
       <groupId>com.azure</groupId>
       <artifactId>azure-identity</artifactId>
       <version>1.4.6</version>
   </dependency>
   <dependency>
       <groupId>com.microsoft.sqlserver</groupId>
       <artifactId>mssql-jdbc</artifactId>
       <version>10.2.0.jre11</version>
   </dependency>
   

2. Obtenez la chaîne de connexion Azure SQL Database à partir de la variable d’environnement ajoutée par le connecteur de services.

   import java.sql.Connection;
   import java.sql.ResultSet;
   import java.sql.Statement;
   
   import com.microsoft.sqlserver.jdbc.SQLServerDataSource;
   
   public class Main {
       public static void main(String[] args) {
           // AZURE_SQL_CONNECTIONSTRING should be one of the following:
           // For system-assigned managed identity: "jdbc:sqlserver://{SQLName}.database.windows.net:1433;databaseName={SQLDbName};authentication=ActiveDirectoryMSI;"
           // For user-assigned managed identity: "jdbc:sqlserver://{SQLName}.database.windows.net:1433;databaseName={SQLDbName};msiClientId={UserAssignedMiClientId};authentication=ActiveDirectoryMSI;"
           String connectionString = System.getenv("AZURE_SQL_CONNECTIONSTRING");
           SQLServerDataSource ds = new SQLServerDataSource();
           ds.setURL(connectionString);
           try (Connection connection = ds.getConnection()) {
               System.out.println("Connected successfully.");
           } catch (SQLException e) {
               e.printStackTrace();
           }
       }
   }
   

Pour plus d’informations, consultez Se connecter à l’aide de l’authentification Microsoft Entra.

Python

1. Installez des dépendances.

   python -m pip install pyodbc
   

2. Obtenez les configurations de connexion Azure SQL Database à partir de la variable d’environnement ajoutée par le connecteur de services. Supprimez les marques de commentaire de la partie de l'extrait de code correspondant au type d'authentification que vous souhaitez utiliser.

   import os;
   import pyodbc
   
   server = os.getenv('AZURE_SQL_SERVER')
   port = os.getenv('AZURE_SQL_PORT')
   database = os.getenv('AZURE_SQL_DATABASE')
   authentication = os.getenv('AZURE_SQL_AUTHENTICATION')  # The value should be 'ActiveDirectoryMsi'
   
   # Uncomment the following lines according to the authentication type.
   # For system-assigned managed identity.
   # connString = f'Driver={{ODBC Driver 18 for SQL Server}};Server={server},{port};Database={database};Authentication={authentication};Encrypt=yes;'
   
   # For user-assigned managed identity.
   # client_id = os.getenv('AZURE_SQL_USER')
   # connString = f'Driver={{ODBC Driver 18 for SQL Server}};Server={server},{port};Database={database};UID={client_id};Authentication={authentication};Encrypt=yes;'
   
   conn = pyodbc.connect(connString)
   

   Comme méthode alternative, vous pouvez également vous connecter à Azure SQL Database à l’aide d’un jeton d’accès. Reportez-vous à Migrer une application Python pour utiliser des connexions sans mot de passe avec Azure SQL Database.

NodeJS

1. Installez des dépendances.

   npm install mssql
   

2. Obtenez les configurations de connexion Azure SQL Database à partir des variables d’environnement ajoutées par le connecteur de services. Supprimez les marques de commentaire de la partie de l'extrait de code correspondant au type d'authentification que vous souhaitez utiliser.

   import sql from 'mssql';
   
   const server = process.env.AZURE_SQL_SERVER;
   const database = process.env.AZURE_SQL_DATABASE;
   const port = parseInt(process.env.AZURE_SQL_PORT);
   const authenticationType = process.env.AZURE_SQL_AUTHENTICATIONTYPE;
   
   // Uncomment the following lines according to the authentication type.
   // For system-assigned managed identity.
   // const config = {
   //     server,
   //     port,
   //     database,
   //     authentication: {
   //         authenticationType
   //     },
   //     options: {
   //        encrypt: true
   //     }
   // };  
   
   // For user-assigned managed identity.
   // const clientId = process.env.AZURE_SQL_CLIENTID;
   // const config = {
   //     server,
   //     port,
   //     database,
   //     authentication: {
   //         type: authenticationType
   //     },
   //     options: {
   //         encrypt: true,
   //         clientId: clientId
   //     }
   // };  
   
   this.poolconnection = await sql.connect(config);
   

Pour plus d’informations, consultez Page d’accueil pour la programmation client sur Microsoft SQL Server. Pour obtenir davantage d’exemples de code, consultez Créer une connexion sans mot de passe à un service de base de données au travers de Service Connector.

Azure Database pour MySQL

La connectivité à Azure Database pour MySQL dans votre code suit le modèle DefaultAzureCredential, pour toutes les piles de langage. DefaultAzureCredential est suffisamment flexible pour s’adapter à l’environnement de développement et à l’environnement Azure. Dans un scénario d’exécution locale, il peut récupérer l’utilisateur Azure connecté à partir de l’environnement de votre choix (Visual Studio, Visual Studio Code, Azure CLI ou Azure PowerShell). En cas d’exécution dans Azure, il récupère l’identité managée. Il est donc possible de disposer d’une connectivité à la base de données au moment du développement et en production. Le modèle est le suivant :

1. Instanciez DefaultAzureCredential à partir de la bibliothèque cliente Azure Identity. Si vous avez activé une identité affectée par l’utilisateur, spécifiez l’ID client de l’identité.
2. Obtenir un jeton d’accès pour Azure Database pour MySQL : https://ossrdbms-aad.database.windows.net/.default.
3. Ajoutez le jeton à votre chaîne de connexion.
4. Ouvrir la connexion.

.NET

Pour .NET, obtenez un jeton d’accès pour l’identité managée à l’aide d’une bibliothèque cliente telle que Azure.Identity. Utilisez ensuite le jeton d’accès comme un mot de passe pour vous connecter à la base de données. Lorsque vous utilisez le code ci-dessous, assurez-vous de supprimer les marques de commentaire de la partie de l’extrait de code correspondant au type d’authentification à utiliser.

using Azure.Core;
using Azure.Identity;
using MySqlConnector;

// Uncomment the following lines according to the authentication type.
// For system-assigned managed identity.
// var credential = new DefaultAzureCredential();

// For user-assigned managed identity.
// var credential = new DefaultAzureCredential(
//     new DefaultAzureCredentialOptions
//     {
//         ManagedIdentityClientId = Environment.GetEnvironmentVariable("AZURE_MYSQL_CLIENTID");
//     });

var tokenRequestContext = new TokenRequestContext(
    new[] { "https://ossrdbms-aad.database.windows.net/.default" });
AccessToken accessToken = await credential.GetTokenAsync(tokenRequestContext);
// Open a connection to the MySQL server using the access token.
string connectionString =
    $"{Environment.GetEnvironmentVariable("AZURE_MYSQL_CONNECTIONSTRING")};Password={accessToken.Token}";

using var connection = new MySqlConnection(connectionString);
Console.WriteLine("Opening connection using access token...");
await connection.OpenAsync();

// do something

Java

1. Ajoutez les dépendances suivantes dans votre fichier pom.xml :

   <dependency>
       <groupId>mysql</groupId>
       <artifactId>mysql-connector-java</artifactId>
       <version>8.0.30</version>
   </dependency>
   <dependency>
       <groupId>com.azure</groupId>
       <artifactId>azure-identity-extensions</artifactId>
       <version>1.1.5</version>
   </dependency>
   

2. Obtenez la chaîne de connexion à partir de la variable d’environnement et ajoutez le nom du plug-in pour vous connecter à la base de données :

   String url = System.getenv("AZURE_MYSQL_CONNECTIONSTRING");  
   String pluginName = "com.azure.identity.extensions.jdbc.mysql.AzureMysqlAuthenticationPlugin";
   Connection connection = DriverManager.getConnection(url + "&defaultAuthenticationPlugin=" +
       pluginName + "&authenticationPlugins=" + pluginName);
   

Pour plus d’informations, consultez l’article Utiliser Java et JDBC avec Azure Database pour MySQL – Serveur flexible.

Python

1. Installez des dépendances.

   pip install azure-identity
   # install Connector/Python https://dev.mysql.com/doc/connector-python/en/connector-python-installation.html
   pip install mysql-connector-python
   

2. Authentifiez-vous à l’aide d’un jeton d’accès de la bibliothèque azure-identity. Obtenez les informations de connexion à partir de la variable d’environnement ajoutée par le Connecteur de services. Lorsque vous utilisez le code ci-dessous, assurez-vous de supprimer les marques de commentaire de la partie de l’extrait de code correspondant au type d’authentification à utiliser.

   from azure.identity import ManagedIdentityCredential, ClientSecretCredential
   import mysql.connector
   import os
   
   # Uncomment the following lines according to the authentication type.
   # For system-assigned managed identity.
   # cred = ManagedIdentityCredential()    
   
   # For user-assigned managed identity.
   # managed_identity_client_id = os.getenv('AZURE_MYSQL_CLIENTID')
   # cred = ManagedIdentityCredential(client_id=managed_identity_client_id)
   
   # acquire token
   accessToken = cred.get_token('https://ossrdbms-aad.database.windows.net/.default')
   
   # open connect to Azure MySQL with the access token.
   host = os.getenv('AZURE_MYSQL_HOST')
   database = os.getenv('AZURE_MYSQL_NAME')
   user = os.getenv('AZURE_MYSQL_USER')
   password = accessToken.token
   
   cnx = mysql.connector.connect(user=user,
                                 password=password,
                                 host=host,
                                 database=database)
   cnx.close()
   
   

NodeJS

1. Installez des dépendances.

   npm install --save @azure/identity
   npm install --save mysql2
   

2. Obtenez un jeton d’accès en utilisant @azure/identity et les informations de la base de données Azure MySQL à partir des variables d’environnement ajoutées par Service Connector. Lorsque vous utilisez le code ci-dessous, assurez-vous de supprimer les marques de commentaire de la partie de l’extrait de code correspondant au type d’authentification à utiliser.

   import { DefaultAzureCredential,ClientSecretCredential } from "@azure/identity";
   
   const mysql = require('mysql2');
   
   // Uncomment the following lines according to the authentication type.
   // for system-assigned managed identity
   // const credential = new DefaultAzureCredential();
   
   // for user-assigned managed identity
   // const clientId = process.env.AZURE_MYSQL_CLIENTID;
   // const credential = new DefaultAzureCredential({
   //    managedIdentityClientId: clientId
   // });
   
   // acquire token
   var accessToken = await credential.getToken('https://ossrdbms-aad.database.windows.net/.default');
   
   const connection = mysql.createConnection({
     host: process.env.AZURE_MYSQL_HOST,
     user: process.env.AZURE_MYSQL_USER,
     password: accessToken.token,
     database: process.env.AZURE_MYSQL_DATABASE,
     port: process.env.AZURE_MYSQL_PORT,
     ssl: process.env.AZURE_MYSQL_SSL
   });
   
   connection.connect((err) => {
     if (err) {
       console.error('Error connecting to MySQL database: ' + err.stack);
       return;
     }
     console.log('Connected to MySQL database');
   });
   

Pour obtenir davantage d’exemples de code, consultez Créer une connexion sans mot de passe à un service de base de données au travers de Service Connector.

Base de données Azure pour PostgreSQL

La connectivité à Azure Database pour PostgreSQL dans votre code suit le modèle DefaultAzureCredential, pour toutes les piles de langage. DefaultAzureCredential est suffisamment flexible pour s’adapter à l’environnement de développement et à l’environnement Azure. Dans un scénario d’exécution locale, il peut récupérer l’utilisateur Azure connecté à partir de l’environnement de votre choix (Visual Studio, Visual Studio Code, Azure CLI ou Azure PowerShell). En cas d’exécution dans Azure, il récupère l’identité managée. Il est donc possible de disposer d’une connectivité à la base de données au moment du développement et en production. Le modèle est le suivant :

1. Instanciez DefaultAzureCredential à partir de la bibliothèque cliente Azure Identity. Si vous avez activé une identité affectée par l’utilisateur, spécifiez l’ID client de l’identité.
2. Obtenir un jeton d’accès pour Azure Database pour PostgreSQL : https://ossrdbms-aad.database.windows.net/.default.
3. Ajoutez le jeton à votre chaîne de connexion.
4. Ouvrir la connexion.

.NET

Pour .NET, obtenez un jeton d’accès pour l’identité managée à l’aide d’une bibliothèque cliente telle que Azure.Identity. Utilisez ensuite le jeton d’accès comme un mot de passe pour vous connecter à la base de données. Lorsque vous utilisez le code ci-dessous, assurez-vous de supprimer les marques de commentaire de la partie de l’extrait de code correspondant au type d’authentification à utiliser.

using Azure.Identity;
using Azure.Core;
using Npgsql;

// Uncomment the following lines according to the authentication type.
// For system-assigned identity.
// var sqlServerTokenProvider = new DefaultAzureCredential();

// For user-assigned identity.
// var sqlServerTokenProvider = new DefaultAzureCredential(
//     new DefaultAzureCredentialOptions
//     {
//         ManagedIdentityClientId = Environment.GetEnvironmentVariable("AZURE_POSTGRESQL_CLIENTID");
//     }
// );

// Acquire the access token. 
AccessToken accessToken = await sqlServerTokenProvider.GetTokenAsync(
    new TokenRequestContext(scopes: new string[]
    {
        "https://ossrdbms-aad.database.windows.net/.default"
    }));

// Combine the token with the connection string from the environment variables provided by Service Connector.
string connectionString =
    $"{Environment.GetEnvironmentVariable("AZURE_POSTGRESQL_CONNECTIONSTRING")};Password={accessToken.Token}";

// Establish the connection.
using (var connection = new NpgsqlConnection(connectionString))
{
    Console.WriteLine("Opening connection using access token...");
    connection.Open();
}

Java

1. Ajoutez les dépendances suivantes dans votre fichier pom.xml :

   <dependency>
       <groupId>org.postgresql</groupId>
       <artifactId>postgresql</artifactId>
       <version>42.3.6</version>
   </dependency>
   <dependency>
       <groupId>com.azure</groupId>
       <artifactId>azure-identity-extensions</artifactId>
       <version>1.1.5</version>
   </dependency>
   

2. Obtenez la chaîne de connexion à partir des variables d’environnement et ajoutez le nom du plug-in pour vous connecter à la base de données :

   import java.sql.*;
   
   String url = System.getenv("AZURE_POSTGRESQL_CONNECTIONSTRING");
   String pluginName = "com.Azure.identity.extensions.jdbc.postgresql.AzurePostgresqlAuthenticationPlugin";  
   Connection connection = DriverManager.getConnection(url + "&authenticationPluginClassName=" + pluginName);
   

Pour plus d’informations, consultez les ressources suivantes :

• Tutoriel : Se connecter à Database pour PostgreSQL à partir d’App Service Java Tomcat sans secrets à l’aide d’une identité managée
• Démarrage rapide : Utiliser Java et JDBC avec un serveur flexible Azure Database pour PostgreSQL

Python

1. Installez des dépendances.

   pip install azure-identity
   pip install psycopg2-binary
   

2. Authentifiez-vous avec un jeton d’accès depuis la bibliothèque azure-identity et utilisez le jeton comme mot de passe. Obtenez les informations de connexion à partir des variables d’environnement ajoutée par le Connecteur de services. Lorsque vous utilisez le code ci-dessous, assurez-vous de supprimer les marques de commentaire de la partie de l’extrait de code correspondant au type d’authentification à utiliser.

   from azure.identity import DefaultAzureCredential
   import psycopg2
   
   # Uncomment the following lines according to the authentication type.
   # For system-assigned identity.
   # cred = DefaultAzureCredential()
   
   # For user-assigned identity.
   # managed_identity_client_id = os.getenv('AZURE_POSTGRESQL_CLIENTID')
   # cred = ManagedIdentityCredential(client_id=managed_identity_client_id)   
   
   # Acquire the access token
   accessToken = cred.get_token('https://ossrdbms-aad.database.windows.net/.default')
   
   # Combine the token with the connection string from the environment variables added by Service Connector to establish the connection.
   conn_string = os.getenv('AZURE_POSTGRESQL_CONNECTIONSTRING')
   conn = psycopg2.connect(conn_string + ' password=' + accessToken.token) 
   

NodeJS

1. Installez des dépendances.

   npm install --save @azure/identity
   npm install --save pg
   

2. Dans le code, obtenez le jeton d’accès via @azure/identity et les informations de connexion PostgreSQL à partir de variables d’environnement ajoutées par le connecteur de services. Combinez-les pour établir la connexion. Lorsque vous utilisez le code ci-dessous, assurez-vous de supprimer les marques de commentaire de la partie de l’extrait de code correspondant au type d’authentification à utiliser.

   import { DefaultAzureCredential, ClientSecretCredential } from "@azure/identity";
   const { Client } = require('pg');
   
   // Uncomment the following lines according to the authentication type.  
   // For system-assigned identity.
   // const credential = new DefaultAzureCredential();
   
   // For user-assigned identity.
   // const clientId = process.env.AZURE_POSTGRESQL_CLIENTID;
   // const credential = new DefaultAzureCredential({
   //     managedIdentityClientId: clientId
   // });
   
   // Acquire the access token.
   var accessToken = await credential.getToken('https://ossrdbms-aad.database.windows.net/.default');
   
   // Use the token and the connection information from the environment variables added by Service Connector to establish the connection.
   (async () => {
   const client = new Client({
       host: process.env.AZURE_POSTGRESQL_HOST,
       user: process.env.AZURE_POSTGRESQL_USER,
       password: accesstoken.token,
       database: process.env.AZURE_POSTGRESQL_DATABASE,
       port: Number(process.env.AZURE_POSTGRESQL_PORT) ,
       ssl: process.env.AZURE_POSTGRESQL_SSL
   });
   await client.connect();
   
   await client.end();
   })();
   

Pour obtenir davantage d’exemples de code, consultez Créer une connexion sans mot de passe à un service de base de données au travers de Service Connector.

4. Configuration de l’environnement de développement

Cet exemple de code utilise DefaultAzureCredential afin de récupérer un jeton utilisable pour votre base de données Azure auprès de Microsoft Entra ID, puis l’ajoute à la connexion de base de données. Bien que DefaultAzureCredential soit personnalisable, il est déjà polyvalent par défaut. Il récupère un jeton auprès de l’utilisateur Microsoft Entra connecté ou d’une identité managée, selon que vous l’exécutez localement dans votre environnement de développement ou dans App Service.

Votre code est prêt à être exécuté dans Azure sans aucune autre modification. Pour que vous puissiez le déboguer localement, votre environnement de développement a toutefois besoin d’un utilisateur Microsoft Entra connecté. Au cours de cette étape, vous allez configurer l’environnement de votre choix en vous connectant avec votre utilisateur Microsoft Entra.

Visual Studio Windows

1. Visual Studio pour Windows est intégré avec l’authentification Microsoft Entra. Pour activer le développement et le débogage dans Visual Studio, ajoutez votre utilisateur Microsoft Entra dans Visual Studio en sélectionnant Fichier>Paramètres du compte à partir du menu, puis sélectionnez Se connecter ou Ajouter.

2. Pour définir l’utilisateur Microsoft Entra pour l’authentification de service Azure, sélectionnez Outils>Options dans le menu, puis sélectionnez Authentification du service Azure>Sélection du compte. Sélectionnez l’utilisateur Microsoft Entra que vous avez ajouté, puis sélectionnez OK.

Visual Studio pour macOS

1. Visual Studio pour Mac n’est pas intégré avec l’authentification Microsoft Entra. Toutefois, la bibliothèque de client Azure Identity que vous utiliserez ultérieurement peut récupérer des jetons auprès d’Azure CLI. Pour permettre le développement et le débogage dans Visual Studio, installez Azure CLI sur votre ordinateur local.

2. Connectez-vous à Azure CLI à l’aide de la commande suivante avec votre utilisateur Microsoft Entra :

   az login --allow-no-subscriptions
   

Visual Studio Code

1. Visual Studio Code est intégré à l’authentification Microsoft Entra par le biais de l’extension Azure. Installez l’extension Azure Tools dans Visual Studio Code.

2. Dans Visual Studio Code, dans la barre d’activités, sélectionnez le logo Azure.

3. Dans l’explorateur App Service, sélectionnez Se connecter à Azure... , puis suivez les instructions.

Azure CLI

1. La bibliothèque de client Azure Identity que vous utiliserez ultérieurement peut utiliser des jetons provenant d’Azure CLI. Pour activer le développement en ligne de commande, installez Azure CLI sur votre ordinateur local.

2. Connectez-vous à Azure avec la commande suivante à l’aide de votre utilisateur Microsoft Entra :

   az login --allow-no-subscriptions
   

Azure PowerShell

1. La bibliothèque de client Azure Identity que vous utiliserez ultérieurement peut utiliser des jetons provenant d’Azure PowerShell. Pour activer le développement en ligne de commande, installez Azure PowerShell sur votre ordinateur local.

2. Connectez-vous à Azure CLI à l’aide du cmdlet suivant avec votre utilisateur Microsoft Entra :

   Connect-AzAccount
   

Pour plus d’informations sur la configuration de votre environnement de développement pour l’authentification Microsoft Entra, consultez Bibliothèque de client Azure Identity pour .NET.

Vous êtes maintenant prêt à développer et déboguer votre application avec SQL Database en tant que back-end, à l’aide de l’authentification Microsoft Entra.

5. Test et publication

1. Exécutez votre code dans votre environnement de développement. Votre code se sert de l’utilisateur Microsoft Entra connecté à votre environnement pour se connecter à la base de données back-end. Cet utilisateur peut accéder à la base de données parce qu’il est configuré en tant qu’administrateur Microsoft Entra de la base de données.

2. Publiez votre code sur Azure à l’aide de la méthode de votre choix. Dans App Service, votre code utilise l’identité managée de l’application pour se connecter à la base de données principale.

Forum aux questions

• L’identité managée prend-elle en charge SQL Server ?
• J’obtiens l’erreur Login failed for user '<token-identified principal>'..
• J’ai apporté des modifications à l’authentification App Service ou à l’inscription d’application associée. J’obtiens toujours l’ancien jeton. Pourquoi ?
• Comment ajouter l’identité managée à un groupe Microsoft Entra ?
• J’obtiens l’erreur SSL connection is required. Please specify SSL options and retry.

L’identité managée prend-elle en charge SQL Server ?

Microsoft Entra ID et les identités managées ne sont pas pris en charge pour les serveurs SQL Server locaux.

J’obtiens l’erreur Login failed for user '<token-identified principal>'.

L’identité managée pour laquelle vous tentez de demander un jeton n’est pas autorisée à accéder à la base de données Azure.

J’ai apporté des modifications à l’authentification App Service ou à l’inscription d’application associée. J’obtiens toujours l’ancien jeton. Pourquoi ?

Les services backend des identités managées gèrent également un cache de jetons qui ne met à jour le jeton d’une ressource cible qu’à l’expiration. Si vous modifiez la configuration après avoir essayé de récupérer un jeton avec votre application, vous n’obtenez pas de nouveau jeton doté des autorisations mises à jour tant que le jeton mis en cache n’a pas expiré. La meilleure façon de contourner ce problème consiste à tester les modifications avec une nouvelle fenêtre InPrivate (Edge), Navigation privée (Safari) ou en mode privé (Chrome). Vous avez ainsi l’assurance de commencer d’une nouvelle session authentifiée.

Comment ajouter l’identité managée à un groupe Microsoft Entra ?

Si vous le souhaitez, vous pouvez ajouter l’identité à un groupe Microsoft Entra, puis accorder l’accès au groupe Microsoft Entra et non à l’identité. Par exemple, les commandes suivantes ajoutent l’identité managée de l’étape précédente à un nouveau groupe appelé myAzureSQLDBAccessGroup :

groupid=$(az ad group create --display-name myAzureSQLDBAccessGroup --mail-nickname myAzureSQLDBAccessGroup --query objectId --output tsv)
msiobjectid=$(az webapp identity show --resource-group <group-name> --name <app-name> --query principalId --output tsv)
az ad group member add --group $groupid --member-id $msiobjectid
az ad group member list -g $groupid

Pour accorder des autorisations de base de données à un groupe Microsoft Entra, consultez la documentation relative au type de base de données en question.

J’obtiens l’erreur SSL connection is required. Please specify SSL options and retry

La connexion à la base de données Azure exige des paramètres supplémentaires qui ne sont pas abordés dans ce tutoriel. Pour plus d’informations, cliquez sur l’un des liens suivants :

Configuration de la connectivité TLS dans Azure Database pour PostgreSQL – Serveur uniqueConfiguration de la connectivité SSL dans une application pour sécuriser la connexion à Azure Database pour MySQL

Étapes suivantes

Vous avez appris à effectuer les opérations suivantes :

• Configurer un utilisateur Microsoft Entra en tant qu’administrateur pour votre base de données Azure.
• Vous connecter à votre base de données en tant qu’utilisateur Microsoft Entra.
• Configuration d’une identité managée affectée par le système ou par l’utilisateur pour une application App Service
• Octroi à l’identité managée de l’accès à la base de données
• Connexion à la base de données Azure à partir de votre code (.NET Framework 4.8, .NET 6, Node.js, Python ou Java) à l’aide d’une identité managée
• Vous connecter à la base de données Azure à partir de votre environnement de développement en vous servant de l’utilisateur Microsoft Entra.

Guide pratique pour utiliser des identités managées avec App Service et Azure Functions

Tutoriel : Se connecter à SQL Database à partir d’App Service .NET sans secrets à l’aide d’une identité managée

Didacticiel : Connecter aux services Azure qui ne prennent pas en charge les identités gérées (à l’aide de Key Vault)

Didacticiel : Isoler les communications back-end avec l’intégration du réseau virtuel