Migrer une application Node.js pour utiliser des connexions sans mot de passe avec Azure SQL Database

S’applique à : Azure SQL Database

Les requêtes des applications adressées à Azure SQL Database doivent être authentifiées. Bien qu’il existe plusieurs options pour l’authentification auprès d’Azure SQL Database, vous devez donner la priorité aux connexions sans mot de passe dans vos applications quand cela est possible. Les méthodes d’authentification traditionnelles qui utilisent des mots de passe ou des clés secrètes créent des risques et des complications de sécurité. Visitez le hub de connexions sans mot de passe pour Azure Services pour découvrir l’avantage des connexions sans mot de passe.

Le tutoriel suivant explique comment migrer une application Node.js existante pour se connecter à Azure SQL Database afin d’utiliser des connexions sans mot de passe au lieu d’une solution avec nom d’utilisateur et mot de passe.

Configurer Azure SQL Database

Les connexions sans mot de passe utilisent l'authentification Microsoft Entra pour se connecter aux services Azure, y compris la base de données Azure SQL. L'authentification Microsoft Entra facilite la gestion des identités dans une position centrale et simplifie la gestion des autorisations. Découvrez comment configurer l'authentification Microsoft Entra pour votre base de données Azure SQL :

• Vue d’ensemble de l’authentification Microsoft Entra
• Configurer l’authentification Microsoft Entra

Pour le présent guide de migration, assurez-vous qu'un administrateur Microsoft Entra est affecté à votre base de données Azure SQL.

1. Accédez à la page Microsoft Entra de votre serveur logique.

2. Sélectionnez Définir l'administrateur pour ouvrir le menu à contrôle suspendu de Microsoft Entra ID.

3. Dans le menu à contrôle suspendu de Microsoft Entra ID, recherchez l'utilisateur auquel vous souhaitez attribuer le rôle d'administrateur.

4. Sélectionnez l’utilisateur et choisissez Sélectionner.

   

Configurer votre environnement de développement local

Les connexions sans mot de passe peuvent être configurées pour fonctionner dans les environnements locaux et hébergés par Azure. Dans cette section, vous appliquez des configurations afin de permettre aux utilisateurs individuels de s’authentifier auprès d’Azure SQL Database pour le développement local.

Se connecter à Azure

Pour le développement local, assurez-vous que vous êtes connecté avec le même compte Azure AD que celui que vous souhaitez utiliser pour accéder à Azure SQL Database. Vous pouvez vous authentifier au moyen d’outils de développement populaires, comme Azure CLI ou Azure PowerShell. Les outils de développement avec lesquels vous pouvez vous authentifier dépendent de la langue.

Azure CLI

Connectez-vous à Azure via Azure CLI à l’aide de la commande suivante :

az login

Visual Studio

Sélectionnez le bouton Se connecter en haut à droite de Visual Studio.

Connectez-vous à l’aide du compte Azure AD auquel vous avez attribué un rôle précédemment.

Visual Studio Code

Vous devez installer l’interface Azure CLI pour l’utiliser DefaultAzureCredential dans Visual Studio Code.

Dans le menu principal de Visual Studio Code, accédez au Terminal > Nouveau terminal.

Connectez-vous à Azure via Azure CLI à l’aide de la commande suivante :

az login

PowerShell

Connectez-vous à Azure à l’aide de PowerShell via la commande suivante :

Connect-AzAccount

Créer un utilisateur de base de données et attribuer des rôles

Créez un utilisateur dans Azure SQL Database. L’utilisateur doit correspondre au compte Azure que vous avez utilisé pour vous connecter localement dans la section Se connecter à Azure.

1. Dans le portail Azure, accédez à votre base de données SQL et sélectionnez Éditeur de requête (préversion).

2. Sélectionnez Continuer en tant que <your-username> sur le côté droit de l’écran pour vous connecter à la base de données à l’aide de votre compte.

3. Dans la vue de l’éditeur de requête, exécutez les commandes T-SQL suivantes :

   CREATE USER [user@domain] FROM EXTERNAL PROVIDER;
   ALTER ROLE db_datareader ADD MEMBER [user@domain];
   ALTER ROLE db_datawriter ADD MEMBER [user@domain];
   ALTER ROLE db_ddladmin ADD MEMBER [user@domain];
   GO
   

   

   L’exécution de ces commandes attribue le rôle Contributeur de base de données SQL au compte spécifié. Ce rôle permet à l’identité de lire, d’écrire et de modifier les données et le schéma de votre base de données. Pour plus d’informations sur les rôles attribués, consultez Rôles de base de données fixes.

Mettre à jour la configuration de la connexion locale

1. Créez des paramètres d’environnement pour votre application.

   AZURE_SQL_SERVER=<YOURSERVERNAME>.database.windows.net
   AZURE_SQL_DATABASE=<YOURDATABASENAME>
   AZURE_SQL_PORT=1433
   

2. Le code de l’application existante qui se connecte à Azure SQL Database en utilisant le pilote SQL Node.js - tedious continue de fonctionner avec des connexions sans mot de passe moyennant des modifications mineures. Pour utiliser une identité managée affectée par l’utilisateur, passez les propriétés authentication.type et options.clientId.

   import sql from 'mssql';
   
   // Environment settings - no user or password
   const server = process.env.AZURE_SQL_SERVER;
   const database = process.env.AZURE_SQL_DATABASE;
   const port = parseInt(process.env.AZURE_SQL_PORT);
   
   // Passwordless configuration
   const config = {
       server,
       port,
       database,
       authentication: {
           type: 'azure-active-directory-default',
       },
       options: {
           encrypt: true,
           clientId: process.env.AZURE_CLIENT_ID  // <----- user-assigned managed identity        
       }
   };
   
   // Existing applicaton code
   export default class Database {
       config = {};
       poolconnection = null;
       connected = false;
   
       constructor(config) {
           this.config = config;
           console.log(`Database: config: ${JSON.stringify(config)}`);
       }
   
       async connect() {
           try {
               console.log(`Database connecting...${this.connected}`);
               if (this.connected === false) {
                   this.poolconnection = await sql.connect(this.config);
                   this.connected = true;
                   console.log('Database connection successful');
               } else {
                   console.log('Database already connected');
               }
           } catch (error) {
               console.error(`Error connecting to database: ${JSON.stringify(error)}`);
           }
       }
   
       async disconnect() {
           try {
               this.poolconnection.close();
               console.log('Database connection closed');
           } catch (error) {
               console.error(`Error closing database connection: ${error}`);
           }
       }
   
       async executeQuery(query) {
           await this.connect();
           const request = this.poolconnection.request();
           const result = await request.query(query);
   
           return result.rowsAffected[0];
       }
   }
   
   const databaseClient = new Database(config);
   const result = await databaseClient.executeQuery(`select * from mytable where id = 10`);
   

   La variable d’environnement AZURE_CLIENT_ID est créée plus loin dans ce tutoriel.

Tester l’application

Exécutez votre application localement et vérifiez que les connexions à Azure SQL Database fonctionnent comme prévu. N’oubliez pas qu’il peut falloir plusieurs minutes pour que les modifications des utilisateurs et des rôles se propagent dans l’environnement Azure. Votre application est désormais configurée pour s’exécuter localement sans que les développeurs ne doivent gérer les secrets dans l’application elle-même.

Configurer l’environnement d’hébergement Azure

Une fois que votre application est configurée pour utiliser des connexions sans mot de passe localement, le même code peut s’authentifier auprès d’Azure SQL Database après son déploiement sur Azure. Les sections suivantes expliquent comment configurer une application déployée pour se connecter à Azure SQL Database à l’aide d’une identité managée. Les identités managées fournissent une identité managée automatiquement dans Microsoft Entra ID (anciennement Azure Active Directory) que les applications peuvent utiliser lors de la connexion à des ressources qui prennent en charge l’authentification Microsoft Entra. En savoir plus sur les identités managées :

• Vue d’ensemble des connexions sans mot de passe
• Meilleures pratiques d’identité managée
• Identités managées dans Microsoft Entra pour Azure SQL

Créer l’identité managée

Créez une identité managée affectée par l’utilisateur à l’aide du portail Azure ou de l’interface Azure CLI. Votre application utilise l’identité pour s’authentifier auprès d’autres services.

Azure portal

1. À partir du Portail Azure, recherchez Identités managées. Sélectionnez le résultat Identités managées.
2. Sélectionnez + Créer en haut de la page de présentation des Identités managées.
3. Sous l’onglet Informations de base, entrez les valeurs suivantes :
   • Abonnement : sélectionnez l’option souhaitée.
   • Groupe de ressources : sélectionnez votre groupe de ressources souhaité.
   • Région : sélectionnez une région proche de votre emplacement.
   • Nom : entrez un nom reconnaissable pour votre identité, par exemple MigrationIdentity.
4. Au bas de la page, sélectionnez Examiner et créer.
5. Une fois les vérifications de validation terminées, sélectionnez Créer. Azure crée une identité affectée par l’utilisateur.

Une fois la ressource créée, sélectionnez Accéder à la ressource pour afficher les détails de l’identité managée.

Azure CLI

Pour créer une identité managée affectée par l’utilisateur, utilisez la commande az identity create :

az identity create --name MigrationIdentity --resource-group <resource-group>

Associer l’identité managée à votre application web

Configurez votre application web pour utiliser l’identité managée affectée par l’utilisateur créée.

Azure portal

Procédez comme suit dans le portail Azure pour associer une identité managée affectée par l’utilisateur à votre application. Ces mêmes étapes s’appliquent aux services Azure suivants :

• Azure Spring Apps
• Azure Container Apps
• Machines virtuelles Azure
• Azure Kubernetes Service
• Accédez à la page de présentation de votre application web front-end.

1. Sélectionnez Identité dans la barre de navigation de gauche.

2. Dans la page Identité, basculez vers l’onglet Utilisateur affecté.

3. Sélectionnez + Ajouter pour ouvrir le menu volant Ajouter une identité managée affectée par l’utilisateur.

4. Sélectionnez l’abonnement utilisé précédemment pour créer l’identité.

5. Recherchez MigrationIdentity par nom et sélectionnez-le dans les résultats de la recherche.

6. Sélectionnez Ajouter pour associer l’identité à votre application.

   

Azure CLI

Utilisez les commandes Azure CLI suivantes pour associer une identité à votre application :

Récupérez l’ID de ressource complet de l’identité managée que vous avez créée en utilisant la commande az identity show. Copiez la valeur de sortie pour l’utiliser à l’étape suivante.

az identity show --name MigrationIdentity -g <your-identity-resource-group-name> --query id

Azure App Service

Vous pouvez affecter une identité managée à une instance Azure App Service avec la commande az webapp identity assign. Le paramètre --identities nécessite l’ID de ressource complet de l’identité managée que vous avez récupéré à l’étape précédente. L’ID de ressource complet commence par « /subscriptions/{ID abonnement} » ou « /providers/{Espace de noms du fournisseur de ressource}/ »

az webapp identity assign \
    --resource-group <resource-group-name> \
    --name <webapp-name> \
    --identities <managed-identity-id>

Si vous utilisez Git Bash, faites attention aux conversions de chemin quand vous utilisez des ID de ressources complets. Pour désactiver la conversion de chemin, ajoutez MSYS_NO_PATHCONV=1 au début de votre commande. Pour plus d’informations, consultez Traduction automatique des ID de ressource.

Azure Spring Apps

Vous pouvez affecter une identité managée à une instance Azure Spring Apps avec la commande az spring app identity assign.

az spring app identity assign \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --service <service-name> \
    --user-assigned <managed-identity-id>

Azure Container Apps

Vous pouvez affecter une identité managée à une machine virtuelle à l’aide de la commande az containerapp identity assign.

az containerapp identity assign \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --user-assigned <managed-identity-id>

Machines virtuelles Azure

Vous pouvez affecter une identité managée à une machine virtuelle avec la commande az vm identity assign.

az vm identity assign \
    --resource-group <resource-group-name> \
    --name <virtual-machine-name> \
    --identities <managed-identity-id>

Azure Kubernetes Service

Vous pouvez affecter une identité managée à une instance Azure Kubernetes Service (AKS) avec la commande az aks update.

az aks update \
    --resource-group <resource-group-name> \
    --name <cluster-name> \
    --enable-managed-identity \
    --assign-identity <managed-identity-id> \
    --assign-kubelet-identity <managed-identity-id>

Créer un utilisateur de base de données pour l’identité et attribuer des rôles

Créez un utilisateur de base de données SQL mappé à l’identité managée affectée par l’utilisateur. Attribuez également les rôles SQL nécessaires à l’utilisateur pour autoriser votre application à lire, écrire et modifier les données et le schéma de votre base de données.

1. Dans le Portail Azure, accédez à votre base de données SQL et sélectionnez Éditeur de requête (préversion).

2. Sélectionnez Continuer en tant que <username> sur le côté droit de l’écran pour vous connecter à la base de données à l’aide de votre compte.

3. Dans la vue de l’éditeur de requête, exécutez les commandes T-SQL suivantes :

   CREATE USER [user-assigned-identity-name] FROM EXTERNAL PROVIDER;
   ALTER ROLE db_datareader ADD MEMBER [user-assigned-identity-name];
   ALTER ROLE db_datawriter ADD MEMBER [user-assigned-identity-name];
   ALTER ROLE db_ddladmin ADD MEMBER [user-assigned-identity-name];
   GO
   

   

   L’exécution de ces commandes attribue le rôle Contributeur de base de données SQL à l’identité managée affectée par l’utilisateur. Ce rôle permet à l’identité de lire, d’écrire et de modifier les données et le schéma de votre base de données.

---

Important

Faites preuve de précaution quand vous attribuez des rôles d’utilisateur de base de données dans des environnements de production d’entreprise. Dans ces scénarios, l’application ne doit pas effectuer toutes les opérations en utilisant une même identité avec privilèges élevés. Essayez d’implémenter le principe des privilèges minimum en configurant plusieurs identités disposant d’autorisations spécifiques pour des tâches spécifiques.

Vous pouvez en apprendre plus sur la configuration des rôles de base de données et la sécurité avec les ressources suivantes :

• Tutoriel : Sécuriser une base de données dans Azure SQL Database
• Autoriser l’accès base de données à SQL Database

Créer un paramètre d’application pour l’ID client de l’identité managée

Pour utiliser l’identité managée affectée par l’utilisateur, créez une variable d’environnement AZURE_CLIENT_ID et définissez-la sur l’ID client de l’identité managée. Vous pouvez définir cette variable dans la section Configuration de votre application dans le portail Azure. Vous trouverez l’ID client dans la section Vue d’ensemble de la ressource d’identité managée dans le portail Azure.

Enregistrez vos modifications et redémarrez l’application si elle ne redémarre pas automatiquement.

Si vous devez utiliser une identité managée affectée par le système, omettez la propriété options.clientId. Vous devez quand même passer la propriété authentication.type.

const config = {
  server,
  port,
  database,
  authentication: {
    type: 'azure-active-directory-default'
  },
  options: {
    encrypt: true
  }
};

Tester l’application

Testez votre application pour vous assurer de son bon fonctionnement. La propagation de l’ensemble des modifications dans votre environnement Azure peut prendre quelques minutes.

Étapes suivantes

Dans ce didacticiel, vous avez appris à migrer une application vers des connexions sans mot de passe.

Vous pouvez lire les ressources suivantes pour explorer les concepts abordés dans cet article plus en détails :

• Vue d’ensemble des connexions sans mot de passe
• Meilleures pratiques d’identité managée
• Tutoriel : Sécuriser une base de données dans Azure SQL Database
• Autoriser l’accès base de données à SQL Database