.NET-alkalmazás migrálása jelszó nélküli kapcsolatok használatára az Azure SQL Database-lel

A következőkre vonatkozik:Azure SQL Database

Az Azure SQL Database-be irányuló alkalmazáskéréseket hitelesíteni kell. Bár az Azure SQL Database-hez való hitelesítésnek több lehetősége is van, lehetőség szerint fontossági sorrendbe kell helyeznie a jelszó nélküli kapcsolatokat az alkalmazásokban. A jelszavakat vagy titkos kulcsokat használó hagyományos hitelesítési módszerek biztonsági kockázatokat és bonyodalmakat okoznak. Látogasson el az Azure Services Hub jelszó nélküli kapcsolataira, és tudjon meg többet a jelszó nélküli kapcsolatokra való áttérés előnyeiről. Az alábbi oktatóanyag bemutatja, hogyan migrálhat egy meglévő alkalmazást, hogy felhasználónév és jelszó helyett jelszó nélküli kapcsolatokat használjon az Azure SQL Database-hez való csatlakozáshoz.

Az Azure SQL Database konfigurálása

A jelszó nélküli kapcsolatok Microsoft Entra-hitelesítéssel csatlakoznak az Azure-szolgáltatásokhoz, beleértve az Azure SQL Database-t is. A Microsoft Entra-hitelesítéssel központi helyen kezelheti az identitásokat az engedélykezelés egyszerűsítése érdekében. További információ a Microsoft Entra-hitelesítés Azure SQL Database-hez való konfigurálásáról:

• A Microsoft Entra-hitelesítés áttekintése
• A Microsoft Entra hitelesítésének konfigurálása

Ebben a migrálási útmutatóban győződjön meg arról, hogy rendelkezik egy Microsoft Entra-rendszergazdával az Azure SQL Database-hez.

1. Lépjen a logikai kiszolgáló Microsoft Entra oldalára.

2. Válassza a Rendszergazda beállítása lehetőséget a Microsoft Entra ID úszó menü megnyitásához .

3. A Microsoft Entra ID úszó menüjében keresse meg a rendszergazdaként hozzárendelni kívánt felhasználót.

4. Válassza ki a felhasználót, és válassza a Kiválasztás lehetőséget.

   

A helyi fejlesztési környezet konfigurálása

A jelszó nélküli kapcsolatok úgy konfigurálhatók, hogy helyi és Azure-beli környezetben is működjenek. Ebben a szakaszban konfigurációkat fog alkalmazni, amelyek lehetővé teszik, hogy az egyes felhasználók hitelesítsék magukat az Azure SQL Database-ben helyi fejlesztés céljából.

Bejelentkezés az Azure-ba

A helyi fejlesztéshez győződjön meg arról, hogy ugyanazzal a Microsoft Entra-fiókkal van bejelentkezve, amellyel hozzá szeretne férni az Azure SQL Database-hez. A hitelesítést olyan népszerű fejlesztői eszközökkel végezheti el, mint az Azure CLI vagy az Azure PowerShell. A hitelesítéshez használható fejlesztői eszközök különböző nyelveken eltérőek lehetnek.

Azure CLI

Jelentkezzen be az Azure-ba az Azure CLI-vel az alábbi paranccsal. Ez Windows, macOS és Linux rendszeren működik.

az login

Visual Studio

Válassza a Bejelentkezés gombot a Visual Studio jobb felső sarkában.

Jelentkezzen be annak a Microsoft Entra-fióknak a használatával, amelyhez korábban szerepkört rendelt.

Visual Studio Code

A Visual Studio Code-hoz jelentkezzen be az Azure CLI használatával az integrált terminálon:

1. Nyissa meg a terminált a VS Code-ban (Terminal > New Terminal).

2. Jelentkezzen be az Azure-ba a következő paranccsal:

   az login
   

Ez a módszer megbízhatóan működik Windows, macOS és Linux rendszeren.

PowerShell

Jelentkezzen be az Azure-ba a PowerShell használatával a következő paranccsal:

Connect-AzAccount

Adatbázis-felhasználó létrehozása és szerepkörök hozzárendelése

Hozzon létre egy felhasználót az Azure SQL Database-ben. A felhasználónak meg kell felelnie annak az Azure-fióknak, amelyet a helyi bejelentkezéshez használt olyan fejlesztői eszközökkel, mint a Visual Studio vagy az IntelliJ.

1. Az Azure Portalon keresse meg az SQL-adatbázist, és válassza a Lekérdezésszerkesztő (előzetes verzió) lehetőséget.

2. Válassza a képernyő jobb oldalán a Folytatás <your-username> lehetőséget, hogy a fiókjával bejelentkezzen az adatbázisba.

3. A lekérdezésszerkesztő nézetben futtassa a következő T-SQL-parancsokat:

   CREATE USER [user@domain] FROM EXTERNAL PROVIDER;
   ALTER ROLE db_datareader ADD MEMBER [user@domain];
   ALTER ROLE db_datawriter ADD MEMBER [user@domain];
   ALTER ROLE db_ddladmin ADD MEMBER [user@domain];
   GO
   

   

   A parancsok futtatása az SQL DB közreműködői szerepkörét rendeli hozzá a megadott fiókhoz. Ez a szerepkör lehetővé teszi az identitás számára az adatbázis adatainak és sémájának olvasását, írását és módosítását. A hozzárendelt szerepkörökről további információt a Rögzített adatbázis szerepkörök című témakörben talál.

A helyi kapcsolat konfigurációjának frissítése

A meglévő alkalmazáskód, amely a kódtár vagy az Entity Framework Core használatával csatlakozik az Microsoft.Data.SqlClient Azure SQL Database-hez, továbbra is jelszó nélküli kapcsolatokkal fog működni. A jelszó nélküli formátum használatához azonban frissítenie kell az adatbázis kapcsolati sztringét. A következő kód például az SQL-hitelesítéssel és a jelszó nélküli kapcsolatokkal is működik:

string connectionString = app.Configuration.GetConnectionString("AZURE_SQL_CONNECTIONSTRING")!;

using var conn = new SqlConnection(connectionString);
conn.Open();

var command = new SqlCommand("SELECT * FROM Persons", conn);
using SqlDataReader reader = command.ExecuteReader();

A hivatkozott kapcsolati sztring (AZURE_SQL_CONNECTIONSTRING) frissítése jelszó nélküli kapcsolati sztringformátum használatára:

1. Keresse meg a kapcsolati karakterláncot. A .NET-alkalmazásokkal való helyi fejlesztéshez ez általában az alábbi helyek egyikén van tárolva:

   • A appsettings.json projekt konfigurációs fájlja.
   • A launchsettings.json Visual Studio-projektek konfigurációs fájlja.
   • Helyi rendszer- vagy tárolókörnyezeti változók.

2. Cserélje le a kapcsolati sztring értékét a következő jelszó nélküli formátumra. Frissítse a <database-server-name> és <database-name> helyőrzőket a saját értékeivel.

   Server=tcp:<database-server-name>.database.windows.net,1433;Initial Catalog=<database-name>;
   Encrypt=True;TrustServerCertificate=False;Connection Timeout=30;Authentication="Active Directory Default";
   

Az alkalmazás tesztelése

Futtassa az alkalmazást helyileg, és ellenőrizze, hogy az Azure SQL Database-hez való kapcsolatok a várt módon működnek-e. Ne feledje, hogy az Azure-felhasználók és szerepkörök módosításainak az Azure-környezetben történő propagálása több percet is igénybe vehet. Az alkalmazás mostantól úgy van konfigurálva, hogy helyileg fusson anélkül, hogy a fejlesztőknek titkos kulcsokat kellene kezelnie az alkalmazásban.

Az Azure-beli üzemeltetési környezet konfigurálása

Miután az alkalmazás konfigurálva lett a jelszó nélküli kapcsolatok helyi használatára, ugyanaz a kód hitelesíthető az Azure SQL Database-ben az Azure-ban való üzembe helyezés után. Az alábbi szakaszok bemutatják, hogyan konfigurálhat egy üzembe helyezett alkalmazást az Azure SQL Database-hez felügyelt identitással való csatlakozáshoz. A felügyelt identitások automatikusan felügyelt identitást biztosítanak a Microsoft Entra-azonosítóban (korábbi nevén Azure Active Directory) az alkalmazások számára a Microsoft Entra-hitelesítést támogató erőforrásokhoz való csatlakozáshoz. További információ a felügyelt identitásokról:

• Jelszó nélküli áttekintés
• Felügyelt identitáshoz tartozó legjobb gyakorlatok

A felügyelt identitás létrehozása

Hozzon létre egy felhasználó által hozzárendelt felügyelt identitást az Azure Portal vagy az Azure CLI használatával. Az alkalmazás az identitás használatával hitelesíti magát más szolgáltatásokban.

Azure Portál

1. Az Azure Portal tetején keressen felügyelt identitásokat. Válassza ki a felügyelt identitások eredményét.
2. Válassza a +Létrehozás lehetőséget a Felügyelt identitások áttekintő oldal tetején.
3. Az Alapok lapon adja meg a következő értékeket:
   • Előfizetés: Válassza ki a kívánt előfizetést.
   • Erőforráscsoport: Válassza ki a kívánt erőforráscsoportot.
   • Régió: Válasszon ki egy régiót a tartózkodási helyéhez közel.
   • Név: Adjon meg egy felismerhető nevet az identitásának, például a MigrationIdentity nevet.
4. Válassza ki az oldal alján található Felülvizsgálat + létrehozás elemet.
5. Amikor az ellenőrzés befejeződik, válassza a Létrehozás lehetőséget. Az Azure létrehoz egy új, felhasználó által hozzárendelt identitást.

Az erőforrás létrehozása után válassza az Ugrás az erőforrásra lehetőséget a felügyelt identitás részleteinek megtekintéséhez.

Azure CLI

Az identity create paranccsal hozzon létre egy felhasználó által hozzárendelt felügyelt identitást:

az identity create --name MigrationIdentity --resource-group <resource-group>

Felügyelt identitás társítása a webalkalmazással

Konfigurálja a webalkalmazást a létrehozott felhasználó által hozzárendelt felügyelt identitás használatára.

Azure Portál

Hajtsa végre az alábbi lépéseket az Azure Portalon a felhasználó által hozzárendelt felügyelt identitás alkalmazáshoz való társításához. Ugyanezek a lépések a következő Azure-szolgáltatásokra vonatkoznak:

• Azure Spring Apps
• Azure Container Apps
• Azure-beli virtuális gépek
• Azure Kubernetes Service
• Lépjen a webalkalmazás áttekintő oldalára.

1. Válassza az Identitás lehetőséget a bal oldali navigációs sávon.

2. Az Identitás lapon váltson a Felhasználó által hozzárendelt lapra.

3. Válassza a + Hozzáadás lehetőséget a Felhasználó által hozzárendelt felügyelt identitás hozzáadási panel megnyitásához.

4. Válassza ki az identitás létrehozásához korábban használt előfizetést.

5. Keresse meg a MigrationIdentity nevet, és válassza ki a keresési eredmények közül.

6. A Hozzáadás gombra kattintva társíthatja az identitást az alkalmazással.

   

Azure CLI

Az alábbi Azure CLI-parancsokkal társíthat identitást az alkalmazáshoz:

Kérje le az az identity show paranccsal létrehozott felügyelt identitás teljes erőforrás-azonosítóját. Másolja ki a következő lépésben használni kívánt kimeneti értéket.

az identity show --name MigrationIdentity -g <your-identity-resource-group-name> --query id

Azure App Service

Az az webapp identity assign parancs segítségével rendelhet hozzá egy felügyelt identitást egy Azure alkalmazás-szolgáltatási példányhoz. A --identities paraméterhez az előző lépésben lekért felügyelt identitás teljes erőforrás-azonosítójára van szükség. A teljes erőforrás-azonosító a következővel kezdődik: "/subscriptions/{subscriptionId}" vagy "/providers/{resourceProviderNamespace}/".

az webapp identity assign \
    --resource-group <resource-group-name> \
    --name <webapp-name> \
    --identities <managed-identity-id>

Ha a Git Bash használatával dolgozik, ügyeljen az elérési utak konvertálására teljes erőforrás-azonosítók használatakor. Az elérési út konvertálásának letiltásához adja hozzá MSYS_NO_PATHCONV=1 a parancs elejéhez. További információ: Erőforrás-azonosítók automatikus fordítása.

Azure Spring Apps

Az Azure CLI-ben az az spring app identity assign paranccsal hozzárendelhet egy felügyelt identitást az Azure Spring Apps-példányhoz.

az spring app identity assign \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --service <service-name> \
    --user-assigned <managed-identity-id>

Azure Konténer Alkalmazások

Egy felügyelt identitást hozzárendelhet egy virtuális géphez az az containerapp identity assign paranccsal.

az containerapp identity assign \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --user-assigned <managed-identity-id>

Azure-alapú virtuális gépek

A felügyelt identitásokat hozzárendelheti egy virtuális géphez az az vm identity assign paranccsal.

az vm identity assign \
    --resource-group <resource-group-name> \
    --name <virtual-machine-name> \
    --identities <managed-identity-id>

Azure Kubernetes Service

Felügyelt identitást rendelhet egy Azure Kubernetes Service (AKS)-példányhoz az az aks update paranccsal.

az aks update \
    --resource-group <resource-group-name> \
    --name <cluster-name> \
    --enable-managed-identity \
    --assign-identity <managed-identity-id> \
    --assign-kubelet-identity <managed-identity-id>

Szolgáltatás-összekötő

A Service Connector használatával kapcsolatot hozhat létre egy Azure számítási üzemeltetési környezet és egy célszolgáltatás között az Azure CLI használatával. A Service Connector parancssori felületének parancsai automatikusan hozzárendelik a megfelelő szerepkört az identitáshoz. A Service Connectorról és a támogatott forgatókönyvekről az áttekintési oldalon tudhat meg többet.

1. Kérje le a az identity show paranccsal létrehozott felügyelt identitás ügyfél-azonosítóját. Másolja ki az értéket későbbi használatra.

   az identity show --name MigrationIdentity --resource-group <resource-group> --query clientId
   

2. A szolgáltatáskapcsolat létrehozásához használja a megfelelő parancssori utasítást.

   Azure App Service

   Ha az Azure App Service-t használja, használja a webapp connection parancsot:

   az webapp connection create storage-blob \
       --resource-group <resource-group-name> \
       --name <webapp-name> \
       --target-resource-group <target-resource-group-name> \
       --account <target-storage-account-name> \
       --user-identity "client-id=<your-identity-client-id>" "subs-id=<your-subscription-id>"
   

   Azure Spring Apps

   Ha Az Azure Spring Appst használja, az az spring connection create paranccsal hozzon létre egy szolgáltatáskapcsolatot az Azure CLI-vel.

   az spring connection create storage-blob \
       --resource-group <resource-group-name> \
       --service <service-instance-name> \
       --app <app-name> \
       --deployment <deployment-name> \
       --target-resource-group <target-resource-group> \
       --account <target-storage-account-name> \
       --user-identity "client-id=<your-identity-client-id>" "subs-id=<your-subscription-id>"
   

   Azure Konténer Alkalmazások

   Ha az Azure Container Apps-t használja, használja az `az containerapp connection` parancsot:

   az containerapp connection create storage-blob \
       --resource-group <resource-group-name> \
       --name <containerapp-name> \
       --target-resource-group <target-resource-group-name> \
       --account <target-storage-account-name> \
       --user-identity "client-id=<your-identity-client-id>" "subs-id=<your-subscription-id>"
   

Adatbázis-felhasználó létrehozása az identitáshoz és szerepkörök hozzárendelése

Hozzon létre egy SQL-adatbázis-felhasználót, amely visszaképzhető a felhasználó által hozzárendelt felügyelt identitásra. Rendelje hozzá a szükséges SQL-szerepköröket a felhasználóhoz, hogy lehetővé tegye az alkalmazás számára az adatbázis adatainak és sémájának olvasását, írását és módosítását.

1. Az Azure Portalon keresse meg az SQL-adatbázist, és válassza Lekérdezésszerkesztő (előzetes verzió)lehetőséget.

2. Válassza a képernyő jobb oldalán a Folytatás <username> lehetőséget, hogy a fiókjával bejelentkezzen az adatbázisba.

3. A lekérdezésszerkesztő nézetben futtassa a következő T-SQL-parancsokat:

   CREATE USER [user-assigned-identity-name] FROM EXTERNAL PROVIDER;
   ALTER ROLE db_datareader ADD MEMBER [user-assigned-identity-name];
   ALTER ROLE db_datawriter ADD MEMBER [user-assigned-identity-name];
   ALTER ROLE db_ddladmin ADD MEMBER [user-assigned-identity-name];
   GO
   

   

   A parancsok futtatása az SQL DB közreműködői szerepkörét rendeli hozzá a felhasználó által hozzárendelt felügyelt identitáshoz. Ez a szerepkör lehetővé teszi az identitás számára az adatbázis adatainak és sémájának olvasását, írását és módosítását.

Fontos

Körültekintően rendeljen hozzá adatbázis-felhasználói szerepköröket vállalati éles környezetekben. Ezekben az esetekben az alkalmazás nem végezhet el minden műveletet egyetlen emelt szintű identitás használatával. Próbálja meg implementálni a minimális jogosultság elvét úgy, hogy több identitást konfigurál meghatározott engedélyekkel adott feladatokhoz.

Az adatbázis-szerepkörök és a biztonság konfigurálásáról az alábbi forrásokban olvashat bővebben:

• oktatóanyag: Adatbázis védelme az Azure SQL Database-ben
• Engedélyezz adatbázis-hozzáférést az SQL-adatbázis--hez

A kapcsolati sztring frissítése

Frissítse az Azure-alkalmazás konfigurációját a jelszó nélküli kapcsolati sztringformátum használatára. A kapcsolati sztringek általában környezeti változóként vannak tárolva az alkalmazás üzemeltetési környezetében. Az alábbi utasítások az App Service-ra összpontosítanak, de más Azure-üzemeltetési szolgáltatások is hasonló konfigurációkat biztosítanak.

1. Lépjen az App Service-példány konfigurációs oldalára, és keresse meg az Azure SQL Database kapcsolati sztringet.

2. Válassza a szerkesztés ikont, és frissítse a kapcsolati sztring értékét a következő formátumnak megfelelően. Módosítsa a <database-server-name><database-name> helyőrzőket a saját szolgáltatása értékeivel.

   Server=tcp:<database-server-name>.database.windows.net,1433;Initial Catalog=<database-name>;
   Encrypt=True;TrustServerCertificate=False;Connection Timeout=30;Authentication="Active Directory Default";
   

3. Mentse a módosításokat, és indítsa újra az alkalmazást, ha nem teszi meg automatikusan.

Az alkalmazás tesztelése

Tesztelje az alkalmazást, és győződjön meg arról, hogy minden működik. Eltarthat néhány percig, amíg az összes módosítás propagálása az Azure-környezetben történik.

Kapcsolódó tartalom

• Jelszó nélküli áttekintés
• Felügyelt identitáshoz tartozó legjobb gyakorlatok
• oktatóanyag: Adatbázis védelme az Azure SQL Database-ben
• Engedélyezz adatbázis-hozzáférést az SQL-adatbázis--hez