Eseguire la migrazione di un'applicazione .NET per usare connessioni senza password con Database SQL di Azure

Articolo
12/22/2023

Le richieste dell'applicazione al database SQL di Azure devono essere autenticate. Anche se sono disponibili più opzioni per l'autenticazione al database SQL di Azure, è consigliabile assegnare priorità alle connessioni senza password nelle applicazioni, laddove possibile. I metodi di autenticazione tradizionali che utilizzano password o chiavi private generano rischi e complicazioni per la sicurezza. Visitare l’hub delle connessioni senza password per i servizi di Azure per ricevere altre informazioni sui vantaggi del passaggio alle connessioni senza password. L'esercitazione seguente spiega come eseguire la migrazione di un'applicazione esistente per la connessione a Database SQL di Azure al fine di usare connessioni senza password anziché una soluzione che preveda nome utente e password.

Configurare il database SQL di Azure

Le connessioni senza password usano l'autenticazione di Microsoft Entra per connettersi ai servizi di Azure, compreso Database SQL di Azure. Con l'autenticazione di Microsoft Entra, è possibile gestire centralmente le identità per semplificare la gestione delle autorizzazioni. Informazioni su come configurare l'autenticazione di Microsoft Entra per Database SQL di Azure:

Per questa guida alla migrazione, verificare di disporre di un amministratore di Microsoft Entra assegnato al database SQL di Azure.

Passare alla pagina Microsoft Entra del server logico.
Selezionare Imposta amministratore per aprire il menu a comparsa Microsoft Entra ID.
Nel menu a comparsa Microsoft Entra ID, cercare l'utente da assegnare come amministratore.
Selezionare l’utente e scegliere Seleziona.

Configurare l'ambiente di sviluppo locale

Le connessioni senza password possono essere configurate in modo da funzionare sia per gli ambienti locali che per quelli ospitati in Azure. In questa sezione vengono applicate configurazioni per consentire ai singoli utenti di eseguire l'autenticazione a database SQL di Azure per lo sviluppo locale.

Per lo sviluppo locale, verificare di aver eseguito l'accesso con lo stesso account Azure AD che si vuole usare per accedere al database SQL di Azure. È possibile eseguire l'autenticazione tramite strumenti di sviluppo diffusi, come l'interfaccia della riga di comando di Azure o Azure PowerShell. Gli strumenti di sviluppo con cui è possibile eseguire l'autenticazione variano a seconda dei linguaggi.

Accedere ad Azure tramite l'interfaccia della riga di comando di Azure usando il comando seguente:

az login

È necessario installare l'interfaccia della riga di comando di Azure per usare DefaultAzureCredential tramite Visual Studio Code.

Nel menu principale di Visual Studio Code, passare a Terminale > Nuovo terminale.

Accedere ad Azure tramite l'interfaccia della riga di comando di Azure usando il comando seguente:

az login

Accedere ad Azure usando PowerShell con il comando seguente:

Connect-AzAccount

Creare un utente del database e assegnare i ruoli

Creare un utente nel database SQL di Azure. L'utente deve corrispondere all'account Azure usato per accedere in locale tramite strumenti di sviluppo come ad esempio Visual Studio o IntelliJ.

Nel portale di Azure, passare al database SQL e selezionare Editor di query (anteprima).
Selezionare Continua come <your-username> sul lato destro della schermata per accedere al database con il proprio account.
Nella visualizzazione dell'editor di query eseguire i seguenti comandi T-SQL:
```
CREATE USER [user@domain] FROM EXTERNAL PROVIDER;
ALTER ROLE db_datareader ADD MEMBER [user@domain];
ALTER ROLE db_datawriter ADD MEMBER [user@domain];
ALTER ROLE db_ddladmin ADD MEMBER [user@domain];
GO
```
L'esecuzione di questi comandi assegna il ruolo Collaboratore database SQL all'account specificato. Questo ruolo consente all'identità di leggere, scrivere e modificare i dati e lo schema del database. Per altre informazioni sui ruoli assegnati, vedere Ruoli predefiniti del database.

Aggiornare la configurazione della connessione locale

Il codice dell'applicazione esistente che si connette a database SQL di Azure usando la libreria Microsoft.Data.SqlClient o Entity Framework Core continuerà a funzionare con connessioni senza password. Tuttavia, è necessario aggiornare la stringa di connessione al database per usare il formato senza password. Il codice seguente, ad esempio, funziona sia con l'autenticazione SQL che con le connessioni senza password:

string connectionString = app.Configuration.GetConnectionString("AZURE_SQL_CONNECTIONSTRING")!;

using var conn = new SqlConnection(connectionString);
conn.Open();

var command = new SqlCommand("SELECT * FROM Persons", conn);
using SqlDataReader reader = command.ExecuteReader();

Per aggiornare la stringa di connessione di riferimento (AZURE_SQL_CONNECTIONSTRING) per usare il formato di stringa di connessione senza password:

Individuare la stringa di connessione. Per lo sviluppo locale con applicazioni .NET, in genere è archiviata in una delle posizioni seguenti:
- Il file di configurazione appsettings.json per il progetto.
- Il file di configurazione launchsettings.json per i progetti di Visual Studio.
- Variabili di ambiente del sistema o del contenitore locali.

Sostituire il valore della stringa di connessione con il formato senza password seguente. Aggiornare i segnaposto <database-server-name> e <database-name> con i propri valori:

Server=tcp:<database-server-name>.database.windows.net,1433;Initial Catalog=<database-name>;
Encrypt=True;TrustServerCertificate=False;Connection Timeout=30;Authentication="Active Directory Default";

Testare l'app

Eseguire l'app in locale e verificare che le connessioni al database SQL di Azure funzionino come previsto. Considerare che potrebbero essere necessari alcuni minuti prima che le modifiche apportate agli utenti e ai ruoli di Azure vengano propagate nell'ambiente Azure. L'applicazione è ora configurata per l'esecuzione in locale senza che gli sviluppatori debbano gestire i segreti nell'applicazione stessa.

Configurare l'ambiente host di Azure

Dopo aver configurato l'app per l'uso delle connessioni senza password in locale, lo stesso codice può eseguire l'autenticazione al database SQL di Azure dopo la distribuzione in Azure. Le sezioni seguenti spiegano come configurare un'applicazione distribuita per la connessione a database SQL di Azure usando un'identità gestita. Le identità gestite forniscono un'identità gestita automaticamente in Microsoft Entra ID (precedentemente Azure Active Directory) per le applicazioni da usare per la connessione alle risorse che supportano l'autenticazione di Microsoft Entra. Vedere altre informazioni sulle identità gestite:

Creare l'identità gestita

Creare un'identità gestita assegnata dall'utente tramite il portale di Azure o l’interfaccia della riga di comando di Azure. L'applicazione utilizza l'identità per eseguire l'autenticazione ad altri servizi.

Portale di Azure
Interfaccia della riga di comando di Azure

Nella parte superiore della portale di Azure, cercare Identità gestite. Selezionare il risultato Identità gestite.
Selezionare + Crea nella parte superiore della pagina di panoramica delle Identità gestite.
Nella scheda Dati principali immettere i valori seguenti:
- Sottoscrizione: selezionare la sottoscrizione desiderata.
- Gruppo di risorse: selezionare il gruppo di risorse desiderato.
- Area: selezionare un'area vicina alla propria posizione.
- Nome: immettere un nome riconoscibile per l'identità, ad esempio MigrationIdentity.
Selezionare Rivedi e crea nella parte inferiore della pagina.
Al termine della convalida, selezionare Crea. Azure crea una nuova identità assegnata dall'utente.

Dopo aver creato la risorsa, selezionare Vai alla risorsa per visualizzare i dettagli dell'identità gestita.

Usare il comando az identity create per creare un'identità gestita assegnata dall'utente:

az identity create --name MigrationIdentity --resource-group <resource-group>

Associare l'identità gestita all'app Web

Configurare l'app Web per usare l'identità gestita assegnata creata dall'utente.

Completare i passaggi seguenti nel portale di Azure per associare l'identità gestita assegnata dall'utente all'app. Gli stessi passaggi si applicano ai servizi di Azure seguenti:

Azure Spring Apps
App contenitore di Azure
Macchine virtuali di Azure
Servizio Azure Kubernetes
Passare alla pagina di panoramica dell'app Web.

Selezionare Identità nel riquadro di spostamento a sinistra.
Nella pagina Identità, passare alla scheda Assegnata dall'utente.
Selezionare + Aggiungi per aprire il riquadro a comparsa Aggiungi identità gestita assegnata dall'utente.
Selezionare la sottoscrizione utilizzata in precedenza per creare l'identità.
Cercare MigrationIdentity per nome e selezionarlo dai risultati della ricerca.
Selezionare Aggiungi per associare l'identità all'app.

Usare i seguenti comandi dell'interfaccia della riga di comando di Azure per associare un'identità all'app:

Recuperare l'ID della risorsa completo dell'identità gestita creata tramite il comando az identity show. Copiare il valore di output da usare nel passaggio successivo.

az identity show --name MigrationIdentity -g <your-identity-resource-group-name> --query id

È possibile assegnare un'identità gestita a un'istanza del servizio app di Azure con il comando az webapp identity assign. Il parametro --identities richiede l'ID della risorsa completo dell'identità gestita recuperata nel passaggio precedente. Un ID risorsa completo inizia per '/subscriptions/{subscriptionId}' o '/providers/{resourceProviderNamespace}/'.

az webapp identity assign \
    --resource-group <resource-group-name> \
    --name <webapp-name> \
    --identities <managed-identity-id>

Se si usa Git Bash, prestare attenzione alle conversioni di percorso quando si usano ID delle risorse completi. Per disabilitare la conversione di percorso, aggiungere MSYS_NO_PATHCONV=1 all'inizio del comando. Per altre informazioni, vedere Conversione automatica degli ID delle risorse.

È possibile assegnare un'identità gestita a un'istanza del servizio app di Azure con il comando az spring app identity assign.

az spring app identity assign \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --service <service-name> \
    --user-assigned <managed-identity-id>

È possibile assegnare un'identità gestita a una macchina virtuale con il comando az containerapp identity assign.

az containerapp identity assign \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --user-assigned <managed-identity-id>

È possibile assegnare un'identità gestita a una macchina virtuale con il comando az vm identity assign.

az vm identity assign \
    --resource-group <resource-group-name> \
    --name <virtual-machine-name> \
    --identities <managed-identity-id>

È possibile assegnare un'identità gestita a un'istanza del servizio Azure Kubernetes (AKS) con il comando az aks update.

az aks update \
    --resource-group <resource-group-name> \
    --name <cluster-name> \
    --enable-managed-identity \
    --assign-identity <managed-identity-id> \
    --assign-kubelet-identity <managed-identity-id>

È possibile usare Connettore di servizi per creare una connessione tra un ambiente host di calcolo di Azure e un servizio di destinazione tramite l'interfaccia della riga di comando di Azure. I comandi dell'interfaccia della riga di comando di Connettore di servizi assegnano automaticamente il ruolo appropriato all'identità. Per altre informazioni su Connettore di servizi e sugli scenari supportati, vedere la pagina di panoramica.

Recuperare l'ID client dell'identità gestita creata usando il comando az identity show. Copia il valore per un successivo utilizzo.
```
az identity show --name MigrationIdentity --resource-group <resource-group> --query clientId
```

Usare il comando appropriato dell'interfaccia della riga di comando per stabilire la connessione al servizio:

Se si usa un servizio app di Azure, usare il comando az webapp connection:

az webapp connection create storage-blob \
    --resource-group <resource-group-name> \
    --name <webapp-name> \
    --target-resource-group <target-resource-group-name> \
    --account <target-storage-account-name> \
    --user-identity "client-id=<your-identity-client-id>" "subs-id=<your-subscription-id>"

Se si usa Azure Spring Apps, usare il comando az spring-cloud connection:

az spring-cloud connection create storage-blob \
    --resource-group <resource-group-name> \
    --service <service-instance-name> \
    --app <app-name> \
    --deployment <deployment-name> \
    --target-resource-group <target-resource-group> \
    --account <target-storage-account-name> \
    --user-identity "client-id=<your-identity-client-id>" "subs-id=<your-subscription-id>"

Se si usano app contenitore di Azure, usare il comando az containerapp connection:

az containerapp connection create storage-blob \
    --resource-group <resource-group-name> \
    --name <containerapp-name> \
    --target-resource-group <target-resource-group-name> \
    --account <target-storage-account-name> \
    --user-identity "client-id=<your-identity-client-id>" "subs-id=<your-subscription-id>"

Creare un utente del database per l’identità e assegnare i ruoli

Creare un utente del database SQL che esegua il mapping con l'identità gestita assegnata dall'utente. Assegnare i ruoli SQL necessari all'utente per consentire all'app di leggere, scrivere e modificare i dati e lo schema del database.

Nel portale di Azure, passare al database SQL e selezionare Editor di query (anteprima).
Selezionare Continua come <username> sul lato destro della schermata per accedere al database con il proprio account.
Nella visualizzazione dell'editor di query eseguire i seguenti comandi T-SQL:
```
CREATE USER [user-assigned-identity-name] FROM EXTERNAL PROVIDER;
ALTER ROLE db_datareader ADD MEMBER [user-assigned-identity-name];
ALTER ROLE db_datawriter ADD MEMBER [user-assigned-identity-name];
ALTER ROLE db_ddladmin ADD MEMBER [user-assigned-identity-name];
GO
```
L'esecuzione di questi comandi assegna il ruolo Collaboratore database SQL all'identità gestita assegnata dall'utente. Questo ruolo consente all'identità di leggere, scrivere e modificare i dati e lo schema del database.

Importante

Prestare attenzione mentre si assegnano ruoli utente del database in ambienti di produzione aziendali. In tali scenari l'app non deve eseguire tutte le operazioni mediante un'unica identità con privilegi elevati. Provare ad adottare il principio dei privilegi minimi configurando più identità con autorizzazioni specifiche per attività specifiche.

Per altre informazioni sulle configurazioni di ruoli del database e sicurezza, vedere le seguenti risorse:

Aggiornare la stringa di connessione

Aggiornare la configurazione dell'app di Azure in modo che usi il formato di stringa di connessione senza password. Le stringhe di connessione sono in genere archiviate come variabili di ambiente nell'ambiente host dell'app. Le istruzioni seguenti sono incentrate sul servizio app, ma altri servizi di hosting di Azure forniscono configurazioni simili.

Passare alla pagina di configurazione dell'Istanza del servizio app e individuare la stringa di connessione del database SQL di Azure.
Selezionare l'icona di modifica e aggiornare il valore stringa di connessione in modo che corrisponda al seguente formato. Modificare i segnaposto <database-server-name> e <database-name> con i valori del proprio servizio.
```
Server=tcp:<database-server-name>.database.windows.net,1433;Initial Catalog=<database-name>;
Encrypt=True;TrustServerCertificate=False;Connection Timeout=30;Authentication="Active Directory Default";
```
Salvare le modifiche e riavviare l'applicazione, se ciò non avviene automaticamente.

Testare l'applicazione

Testare l’app, verificando che tutto funzioni ancora. La propagazione delle modifiche nell'ambiente di Azure potrebbe richiedere alcuni minuti.

Passaggi successivi

In questa esercitazione, si è appreso come eseguire la migrazione di un'applicazione a connessioni senza password.

È possibile consultare le risorse seguenti per esplorare i concetti illustrati in questo articolo in modo più approfondito:

Share via