Eseguire la migrazione di un'applicazione Python per usare connessioni senza password con Database SQL di Azure

Articolo
03/18/2024

Le richieste dell'applicazione al database SQL di Azure devono essere autenticate. Anche se sono disponibili più opzioni per l'autenticazione al database SQL di Azure, è consigliabile assegnare priorità alle connessioni senza password nelle applicazioni, laddove possibile. I metodi di autenticazione tradizionali che utilizzano password o chiavi private generano rischi e complicazioni per la sicurezza. Visitare l’hub delle connessioni senza password per i servizi di Azure per ricevere altre informazioni sui vantaggi del passaggio alle connessioni senza password. L'esercitazione seguente spiega come eseguire la migrazione di un'applicazione Python esistente per la connessione a Database SQL di Azure al fine di usare connessioni senza password anziché una soluzione che preveda nome utente e password.

Configurare il database SQL di Azure

Le connessioni senza password usano l'autenticazione di Microsoft Entra per connettersi ai servizi di Azure, compreso Database SQL di Azure. Con l'autenticazione di Microsoft Entra, è possibile gestire centralmente le identità per semplificare la gestione delle autorizzazioni. Informazioni su come configurare l'autenticazione di Microsoft Entra per Database SQL di Azure:

Per questa guida alla migrazione, verificare di disporre di un amministratore di Microsoft Entra assegnato al database SQL di Azure.

Passare alla pagina Microsoft Entra del server logico.
Selezionare Imposta amministratore per aprire il menu a comparsa Microsoft Entra ID.
Nel menu a comparsa Microsoft Entra ID, cercare l'utente da assegnare come amministratore.
Selezionare l’utente e scegliere Seleziona.

Configurare l'ambiente di sviluppo locale

Le connessioni senza password possono essere configurate in modo da funzionare sia per gli ambienti locali che per quelli ospitati in Azure. In questa sezione vengono applicate configurazioni per consentire ai singoli utenti di eseguire l'autenticazione a database SQL di Azure per lo sviluppo locale.

Per lo sviluppo locale, verificare di aver eseguito l'accesso con lo stesso account Azure AD che si vuole usare per accedere al database SQL di Azure. È possibile eseguire l'autenticazione tramite strumenti di sviluppo diffusi, come l'interfaccia della riga di comando di Azure o Azure PowerShell. Gli strumenti di sviluppo con cui è possibile eseguire l'autenticazione variano a seconda dei linguaggi.

Accedere ad Azure tramite l'interfaccia della riga di comando di Azure usando il comando seguente:

az login

È necessario installare l'interfaccia della riga di comando di Azure per usare DefaultAzureCredential tramite Visual Studio Code.

Nel menu principale di Visual Studio Code, passare a Terminale > Nuovo terminale.

Accedere ad Azure tramite l'interfaccia della riga di comando di Azure usando il comando seguente:

az login

Accedere ad Azure usando PowerShell con il comando seguente:

Connect-AzAccount

Creare un utente del database e assegnare i ruoli

Creare un utente nel database SQL di Azure. L'utente deve corrispondere all'account Azure usato per accedere in locale nella sezione Accedi ad Azure.

Nel portale di Azure, passare al database SQL e selezionare Editor di query (anteprima).
Selezionare Continua come <your-username> sul lato destro della schermata per accedere al database con il proprio account.
Nella visualizzazione dell'editor di query eseguire i seguenti comandi T-SQL:
```
CREATE USER [user@domain] FROM EXTERNAL PROVIDER;
ALTER ROLE db_datareader ADD MEMBER [user@domain];
ALTER ROLE db_datawriter ADD MEMBER [user@domain];
ALTER ROLE db_ddladmin ADD MEMBER [user@domain];
GO
```
L'esecuzione di questi comandi assegna il ruolo Collaboratore database SQL all'account specificato. Questo ruolo consente all'identità di leggere, scrivere e modificare i dati e lo schema del database. Per altre informazioni sui ruoli assegnati, vedere Ruoli predefiniti del database.

Aggiornare la configurazione della connessione locale

Il codice dell'applicazione esistente che si connette a database SQL di Azure tramite il driver SQL Python - pyodbc continua a funzionare con connessioni senza password apportando modifiche minime. Ad esempio, il codice seguente funziona sia con l'autenticazione SQL che con le connessioni senza password quando viene eseguito localmente e quando viene distribuito nel servizio app di Azure.

import os
import pyodbc, struct
from azure.identity import DefaultAzureCredential

connection_string = os.environ["AZURE_SQL_CONNECTIONSTRING"]

def get_all():
    with get_conn() as conn:
        cursor = conn.cursor()
        cursor.execute("SELECT * FROM Persons")
        # Do something with the data
    return

def get_conn():
    credential = DefaultAzureCredential(exclude_interactive_browser_credential=False)
    token_bytes = credential.get_token("https://database.windows.net/.default").token.encode("UTF-16-LE")
    token_struct = struct.pack(f'<I{len(token_bytes)}s', len(token_bytes), token_bytes)
    SQL_COPT_SS_ACCESS_TOKEN = 1256  # This connection option is defined by microsoft in msodbcsql.h
    conn = pyodbc.connect(connection_string, attrs_before={SQL_COPT_SS_ACCESS_TOKEN: token_struct})
    return conn

Suggerimento

In questo codice di esempio viene usata la variabile WEBSITE_HOSTNAME dell’ambiente del servizio app per determinare l'ambiente in cui è in esecuzione il codice. Per altri scenari di distribuzione, è possibile usare altre variabili di ambiente per stabilire l'ambiente.

Per aggiornare la stringa di connessione di riferimento (AZURE_SQL_CONNECTIONSTRING) per lo sviluppo locale, usare il formato di stringa di connessione senza password:

Driver={ODBC Driver 18 for SQL Server};Server=tcp:<database-server-name>.database.windows.net,1433;Database=<database-name>;Encrypt=yes;TrustServerCertificate=no;Connection Timeout=30

Testare l'app

Eseguire l'app in locale e verificare che le connessioni al database SQL di Azure funzionino come previsto. Considerare che potrebbero essere necessari alcuni minuti prima che le modifiche apportate agli utenti e ai ruoli di Azure vengano propagate nell'ambiente Azure. L'applicazione è ora configurata per l'esecuzione in locale senza che gli sviluppatori debbano gestire i segreti nell'applicazione stessa.

Configurare l'ambiente host di Azure

Dopo aver configurato l'app per l'uso delle connessioni senza password in locale, lo stesso codice può eseguire l'autenticazione al database SQL di Azure dopo la distribuzione in Azure. Le sezioni seguenti spiegano come configurare un'applicazione distribuita per la connessione a database SQL di Azure usando un'identità gestita. Le identità gestite forniscono un'identità gestita automaticamente in Microsoft Entra ID (precedentemente Azure Active Directory) per le applicazioni da usare per la connessione alle risorse che supportano l'autenticazione di Microsoft Entra. Vedere altre informazioni sulle identità gestite:

Creare l'identità gestita

Creare un'identità gestita assegnata dall'utente tramite il portale di Azure o l’interfaccia della riga di comando di Azure. L'applicazione utilizza l'identità per eseguire l'autenticazione ad altri servizi.

Portale di Azure
Interfaccia della riga di comando di Azure

Nella parte superiore della portale di Azure, cercare Identità gestite. Selezionare il risultato Identità gestite.
Selezionare + Crea nella parte superiore della pagina di panoramica delle Identità gestite.
Nella scheda Dati principali immettere i valori seguenti:
- Sottoscrizione: selezionare la sottoscrizione desiderata.
- Gruppo di risorse: selezionare il gruppo di risorse desiderato.
- Area: selezionare un'area vicina alla propria posizione.
- Nome: immettere un nome riconoscibile per l'identità, ad esempio MigrationIdentity.
Selezionare Rivedi e crea nella parte inferiore della pagina.
Al termine della convalida, selezionare Crea. Azure crea una nuova identità assegnata dall'utente.

Dopo aver creato la risorsa, selezionare Vai alla risorsa per visualizzare i dettagli dell'identità gestita.

Usare il comando az identity create per creare un'identità gestita assegnata dall'utente:

az identity create --name MigrationIdentity --resource-group <resource-group>

Associare l'identità gestita all'app Web

Configurare l'app Web per usare l'identità gestita assegnata creata dall'utente.

Portale di Azure
Interfaccia della riga di comando di Azure

Completare i passaggi seguenti nel portale di Azure per associare l'identità gestita assegnata dall'utente all'app. Gli stessi passaggi si applicano ai servizi di Azure seguenti:

Azure Spring Apps
App contenitore di Azure
Macchine virtuali di Azure
Servizio Azure Kubernetes
Passare alla pagina di panoramica dell'app Web.

Selezionare Identità nel riquadro di spostamento a sinistra.
Nella pagina Identità, passare alla scheda Assegnata dall'utente.
Selezionare + Aggiungi per aprire il riquadro a comparsa Aggiungi identità gestita assegnata dall'utente.
Selezionare la sottoscrizione utilizzata in precedenza per creare l'identità.
Cercare MigrationIdentity per nome e selezionarlo dai risultati della ricerca.
Selezionare Aggiungi per associare l'identità all'app.

Usare i seguenti comandi dell'interfaccia della riga di comando di Azure per associare un'identità all'app:

Recuperare l'ID della risorsa completo dell'identità gestita creata tramite il comando az identity show. Copiare il valore di output da usare nel passaggio successivo.

az identity show --name MigrationIdentity -g <your-identity-resource-group-name> --query id

È possibile assegnare un'identità gestita a un'istanza del servizio app di Azure con il comando az webapp identity assign. Il parametro --identities richiede l'ID della risorsa completo dell'identità gestita recuperata nel passaggio precedente. Un ID risorsa completo inizia per '/subscriptions/{subscriptionId}' o '/providers/{resourceProviderNamespace}/'.

az webapp identity assign \
    --resource-group <resource-group-name> \
    --name <webapp-name> \
    --identities <managed-identity-id>

Se si usa Git Bash, prestare attenzione alle conversioni di percorso quando si usano ID delle risorse completi. Per disabilitare la conversione di percorso, aggiungere MSYS_NO_PATHCONV=1 all'inizio del comando. Per altre informazioni, vedere Conversione automatica degli ID delle risorse.

È possibile assegnare un'identità gestita a un'istanza del servizio app di Azure con il comando az spring app identity assign.

az spring app identity assign \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --service <service-name> \
    --user-assigned <managed-identity-id>

È possibile assegnare un'identità gestita a una macchina virtuale con il comando az containerapp identity assign.

az containerapp identity assign \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --user-assigned <managed-identity-id>

È possibile assegnare un'identità gestita a una macchina virtuale con il comando az vm identity assign.

az vm identity assign \
    --resource-group <resource-group-name> \
    --name <virtual-machine-name> \
    --identities <managed-identity-id>

È possibile assegnare un'identità gestita a un'istanza del servizio Azure Kubernetes (AKS) con il comando az aks update.

az aks update \
    --resource-group <resource-group-name> \
    --name <cluster-name> \
    --enable-managed-identity \
    --assign-identity <managed-identity-id> \
    --assign-kubelet-identity <managed-identity-id>

Creare un utente del database per l’identità e assegnare i ruoli

Creare un utente del database SQL che esegua il mapping con l'identità gestita assegnata dall'utente. Assegnare i ruoli SQL necessari all'utente per consentire all'app di leggere, scrivere e modificare i dati e lo schema del database.

Nel portale di Azure, passare al database SQL e selezionare Editor di query (anteprima).
Selezionare Continua come <username> sul lato destro della schermata per accedere al database con il proprio account.
Nella visualizzazione dell'editor di query eseguire i seguenti comandi T-SQL:
```
CREATE USER [user-assigned-identity-name] FROM EXTERNAL PROVIDER;
ALTER ROLE db_datareader ADD MEMBER [user-assigned-identity-name];
ALTER ROLE db_datawriter ADD MEMBER [user-assigned-identity-name];
ALTER ROLE db_ddladmin ADD MEMBER [user-assigned-identity-name];
GO
```
L'esecuzione di questi comandi assegna il ruolo Collaboratore database SQL all'identità gestita assegnata dall'utente. Questo ruolo consente all'identità di leggere, scrivere e modificare i dati e lo schema del database.

Importante

Prestare attenzione mentre si assegnano ruoli utente del database in ambienti di produzione aziendali. In tali scenari l'app non deve eseguire tutte le operazioni mediante un'unica identità con privilegi elevati. Provare ad adottare il principio dei privilegi minimi configurando più identità con autorizzazioni specifiche per attività specifiche.

Per altre informazioni sulle configurazioni di ruoli del database e sicurezza, vedere le seguenti risorse:

Aggiornare la stringa di connessione

Aggiornare la configurazione dell'app di Azure in modo che usi il formato di stringa di connessione senza password. Il formato deve essere lo stesso utilizzato nell'ambiente locale.

Le stringhe di connessione possono essere archiviate come variabili di ambiente nell'ambiente host dell'app. Le istruzioni seguenti sono incentrate sul servizio app, ma altri servizi di hosting di Azure forniscono configurazioni simili.

Driver={ODBC Driver 18 for SQL Server};Server=tcp:<database-server-name>.database.windows.net,1433;Database=<database-name>;Encrypt=yes;TrustServerCertificate=no;Connection Timeout=30

<database-server-name> è il nome del server database SQL di Azure e <database-name> è il nome del Database SQL di Azure.

Creare un'impostazione app per l'ID client dell'identità gestita

Per usare l'identità gestita assegnata dall'utente, creare una variabile di ambiente AZURE_CLIENT_ID e impostarla in maniera equivalente all’ID client dell'identità gestita. È possibile impostare questa variabile nella sezione Configurazione dell'app nel portale di Azure. È possibile trovare l'ID client nella sezione Panoramica della risorsa di identità gestita nel portale di Azure.

Salvare le modifiche e riavviare l'applicazione, se ciò non avviene automaticamente.

Nota

Il codice di connessione di esempio illustrato in questa guida alla migrazione usa la classe DefaultAzureCredential quando viene distribuita. Nello specifico, usa DefaultAzureCredential senza passare l'ID client dell'identità gestita assegnata dall'utente al costruttore. In questo scenario il fallback consiste nel verificare la presenza della variabile di ambiente AZURE_CLIENT_ID. Se la variabile di ambiente AZURE_CLIENT_ID non esiste, verrà usata un'identità gestita assegnata dal sistema, se configurata.

Se si passa l'ID client dell'identità gestita nel costruttore DefaultAzureCredential, il codice di connessione può ancora essere usato in locale e distribuito perché il processo di autenticazione esegue il fallback all'autenticazione interattiva nello scenario locale. Per altre informazioni, vedere la libreria client di Identità di Azure per Python.

Testare l'applicazione

Testare l’app, verificando che tutto funzioni ancora. La propagazione delle modifiche nell'ambiente di Azure potrebbe richiedere alcuni minuti.

Passaggi successivi

In questa esercitazione, si è appreso come eseguire la migrazione di un'applicazione a connessioni senza password.

È possibile consultare le risorse seguenti per esplorare i concetti illustrati in questo articolo in modo più approfondito:

Condividi tramite