Eseguire la migrazione di un'applicazione per usare connessioni senza password con l'Archiviazione di accodamento di Azure

Le richieste dell'applicazione ai servizi di Azure devono essere autenticate usando configurazioni quali chiavi di accesso all'account o connessioni senza password. Tuttavia, è consigliabile assegnare priorità alle connessioni senza password nelle applicazioni, quando possibile. I metodi di autenticazione tradizionali che usano password o chiavi segrete creano rischi e complicazioni per la sicurezza. Visitare le connessioni senza password per l'hub dei servizi di Azure per altre informazioni sui vantaggi del passaggio alle connessioni senza password.

L'esercitazione seguente illustra come eseguire la migrazione di un'applicazione esistente per connettersi usando connessioni senza password. Questi stessi passaggi di migrazione devono essere applicati se si usano chiavi di accesso, stringa di connessione o un altro approccio basato su segreti.

Configurare l'ambiente di sviluppo locale

Le connessioni senza password possono essere configurate per funzionare sia per gli ambienti locali che per gli ambienti ospitati in Azure. In questa sezione verranno applicate le configurazioni per consentire ai singoli utenti di eseguire l'autenticazione ai Archiviazione di accodamento di Azure per lo sviluppo locale.

Assegnare i ruoli utente

Quando si sviluppa in locale, assicurarsi che l'account utente che accede a Queue Archiviazione disponga delle autorizzazioni corrette. Per leggere e scrivere dati della coda, è necessario il ruolo collaboratore ai dati della coda Archiviazione. Per assegnare a se stessi questo ruolo, è necessario assegnare il ruolo Accesso utente Amministrazione istrator o un altro ruolo che include l'azione Microsoft.Authorization/roleAssignments/write. È possibile assegnare ruoli controllo degli accessi in base al ruolo di Azure a un utente usando il portale di Azure, l'interfaccia della riga di comando di Azure o Azure PowerShell. Altre informazioni sugli ambiti disponibili per le assegnazioni di ruolo nella pagina di panoramica dell'ambito.

Nell'esempio seguente viene assegnato il ruolo collaboratore ai dati della coda Archiviazione all'account utente. Questo ruolo concede l'accesso in lettura e scrittura ai dati della coda nell'account di archiviazione.

Azure portal

1. Nella portale di Azure individuare l'account di archiviazione usando la barra di ricerca principale o lo spostamento a sinistra.

2. Nella pagina di panoramica dell'account di archiviazione selezionare Controllo di accesso (IAM) dal menu a sinistra.

3. Nella pagina Controllo di accesso (IAM) selezionare la scheda Assegnazioni di ruolo.

4. Selezionare + Aggiungi dal menu in alto e quindi Aggiungi assegnazione di ruolo dal menu a discesa risultante.

   

5. Usare la casella di ricerca per filtrare i risultati in base al ruolo desiderato. Per questo esempio, cercare Archiviazione Collaboratore dati coda e selezionare il risultato corrispondente e quindi scegliere Avanti.

6. In Assegna accesso a selezionare Utente, gruppo o entità servizio e quindi scegliere + Seleziona membri.

7. Nella finestra di dialogo cercare il nome utente di Microsoft Entra (in genere l'indirizzo di posta elettronica user@domain ) e quindi scegliere Seleziona nella parte inferiore della finestra di dialogo.

8. Selezionare Rivedi e assegna per passare alla pagina finale e quindi rivedi e assegna per completare il processo.

Interfaccia della riga di comando di Azure

Per assegnare un ruolo a livello di risorsa usando l'interfaccia della riga di comando di Azure, è prima necessario recuperare l'ID risorsa usando il az storage account show comando . È possibile filtrare le proprietà di output usando il --query parametro .

az storage account show \
    --resource-group '<your-resource-group-name>' \
    --name '<your-storage-account-name>' \
    --query id

Copiare l'output Id dal comando precedente. È quindi possibile assegnare ruoli usando il comando az role dell'interfaccia della riga di comando di Azure.

az role assignment create --assignee "<user@domain>" \
    --role "Storage Queue Data Contributor" \
    --scope "<your-resource-id>"

PowerShell

Per assegnare un ruolo a livello di risorsa usando Azure PowerShell, è prima necessario recuperare l'ID risorsa usando il Get-AzResource comando .

Get-AzResource -ResourceGroupName "<yourResourceGroupname>" -Name "<yourStorageAccountName>"

Copiare il Id valore dall'output del comando precedente. È quindi possibile assegnare ruoli usando il comando New-AzRoleAssignment in PowerShell.

New-AzRoleAssignment -SignInName <user@domain> `
    -RoleDefinitionName "Storage Queue Data Contributor" `
    -Scope <yourStorageAccountId>

Importante

Nella maggior parte dei casi, la propagazione dell'assegnazione di ruolo in Azure richiederà almeno due minuti, ma in rari casi può richiedere fino a otto minuti. Se si ricevono errori di autenticazione quando si esegue il codice per la prima volta, attendere alcuni istanti e riprovare.

Accedere ad Azure in locale

Per lo sviluppo locale, assicurarsi di essere autenticati con lo stesso account Microsoft Entra a cui è stato assegnato il ruolo. È possibile eseguire l'autenticazione tramite strumenti di sviluppo diffusi, ad esempio l'interfaccia della riga di comando di Azure o Azure PowerShell. Gli strumenti di sviluppo con cui è possibile eseguire l'autenticazione variano a seconda dei linguaggi.

Interfaccia della riga di comando di Azure

Accedere ad Azure tramite l'interfaccia della riga di comando di Azure usando il comando seguente:

az login

Visual Studio

Selezionare il pulsante Accedi in alto a destra di Visual Studio.

Accedere usando l'account Microsoft Entra a cui è stato assegnato un ruolo in precedenza.

Visual Studio Code

È necessario installare l'interfaccia della riga di comando di Azure per usare DefaultAzureCredential Visual Studio Code.

Nel menu principale di Visual Studio Code passare a Terminale > nuovo terminale.

Accedere ad Azure tramite l'interfaccia della riga di comando di Azure usando il comando seguente:

az login

PowerShell

Accedere ad Azure usando PowerShell tramite il comando seguente:

Connect-AzAccount

Aggiornare il codice dell'applicazione per usare connessioni senza password

La libreria client di Identità di Azure, per ognuno degli ecosistemi seguenti, fornisce una DefaultAzureCredential classe che gestisce l'autenticazione senza password in Azure:

• .NET
• Go
• Java
• Node.js
• Python

DefaultAzureCredential supporta più metodi di autenticazione. Il metodo da usare viene determinato in fase di esecuzione. Questo approccio consente all'app di usare metodi di autenticazione diversi in ambienti diversi (locale e di produzione) senza implementare codice specifico dell'ambiente. Vedere i collegamenti precedenti per l'ordine e le posizioni in cui DefaultAzureCredential vengono cercate le credenziali.

.NET

1. Per usare DefaultAzureCredential in un'applicazione .NET, installare il Azure.Identity pacchetto:

   dotnet add package Azure.Identity
   

2. Nella parte superiore del file aggiungere il codice seguente:

   using Azure.Identity;
   

3. Identificare i percorsi nel codice che creano un QueueClient oggetto per connettersi alla coda di Azure Archiviazione. Aggiornare il codice in modo che corrisponda all'esempio seguente:

   DefaultAzureCredential credential = new();
   
   QueueClient queueClient = new(
        new Uri($"https://{storageAccountName}.queue.core.windows.net/{queueName}"),
        new DefaultAzureCredential());
   

Go

1. Per usare DefaultAzureCredential in un'applicazione Go, installare il azidentity modulo:

   go get -u github.com/Azure/azure-sdk-for-go/sdk/azidentity
   

2. Nella parte superiore del file aggiungere il codice seguente:

   import (
       "github.com/Azure/azure-sdk-for-go/sdk/azidentity"
   )
   

3. Identificare i percorsi nel codice che creano un'istanza QueueClient per connettersi al Archiviazione di accodamento di Azure. Aggiornare il codice in modo che corrisponda all'esempio seguente:

   cred, err := azidentity.NewDefaultAzureCredential(nil)
   if err != nil {
       // handle error
   }
   
   serviceURL := fmt.Sprintf("https://%s.queue.core.windows.net/", storageAccountName)
   client, err := azqueue.NewQueueClient(serviceURL, cred, nil)
   if err != nil {
       // handle error
   }
   

Java

1. Per usare DefaultAzureCredential in un'applicazione Java, installare il azure-identity pacchetto tramite uno degli approcci seguenti:

   1. Includere il file bom.
   2. Includere una dipendenza diretta.

2. Nella parte superiore del file aggiungere il codice seguente:

   import com.azure.identity.DefaultAzureCredentialBuilder;
   

3. Identificare i percorsi nel codice che creano un QueueClient oggetto per connettersi alla coda di Azure Archiviazione. Aggiornare il codice in modo che corrisponda all'esempio seguente:

   DefaultAzureCredential credential = new DefaultAzureCredentialBuilder()
       .build();
   String endpoint = 
       String.format("https://%s.queue.core.windows.net/", storageAccountName);
   
   QueueClient queueClient = new QueueClientBuilder()
       .endpoint(endpoint)
       .queueName(queueName)
       .credential(credential)
       .buildClient();
   

Node.js

1. Per usare DefaultAzureCredential in un'applicazione Node.js, installare il @azure/identity pacchetto:

   npm install --save @azure/identity
   

2. Nella parte superiore del file aggiungere il codice seguente:

   import { DefaultAzureCredential } from "@azure/identity";
   

3. Identificare i percorsi nel codice che creano un QueueClient oggetto per connettersi alla coda di Azure Archiviazione. Aggiornare il codice in modo che corrisponda all'esempio seguente:

   const credential = new DefaultAzureCredential();
   
   const queueClient = new QueueClient(
     `https://${storageAccountName}.queue.core.windows.net/${queueName}`,
     credential
   );
   

Python

1. Per usare DefaultAzureCredential in un'applicazione Python, installare il azure-identity pacchetto:

   pip install azure-identity
   

2. Nella parte superiore del file aggiungere il codice seguente:

   from azure.identity import DefaultAzureCredential
   

3. Identificare i percorsi nel codice che creano un QueueClient oggetto per connettersi alla coda di Azure Archiviazione. Aggiornare il codice in modo che corrisponda all'esempio seguente:

   credential = DefaultAzureCredential()
   
   queue_client = QueueClient(
       account_url = "https://%s.blob.core.windows.net" % storage_account_name,
       queue_name = queue_name,
       credential = credential
   )
   

4. Assicurarsi di aggiornare il nome dell'account di archiviazione nell'URI dell'oggetto QueueClient . È possibile trovare il nome dell'account di archiviazione nella pagina di panoramica del portale di Azure.

   

Eseguire l'app in locale

Dopo aver apportato queste modifiche al codice, eseguire l'applicazione in locale. La nuova configurazione deve raccogliere le credenziali locali, ad esempio l'interfaccia della riga di comando di Azure, Visual Studio o IntelliJ. I ruoli assegnati all'utente in Azure consentono all'app di connettersi al servizio di Azure in locale.

Configurare l'ambiente di hosting di Azure

Dopo aver configurato l'applicazione per l'uso di connessioni senza password e l'esecuzione in locale, lo stesso codice può eseguire l'autenticazione ai servizi di Azure dopo la distribuzione in Azure. Le sezioni seguenti illustrano come configurare un'applicazione distribuita per connettersi alla coda di Azure Archiviazione usando un'identità gestita. Le identità gestite forniscono un'identità gestita automaticamente in Microsoft Entra ID per le applicazioni da usare per la connessione alle risorse che supportano l'autenticazione di Microsoft Entra. Altre informazioni sulle identità gestite:

• Panoramica senza password
• Procedure consigliate per l'identità gestita

Creare l'identità gestita

È possibile creare un'identità gestita assegnata dall'utente usando il portale di Azure o l'interfaccia della riga di comando di Azure. L'applicazione usa l'identità per eseguire l'autenticazione ad altri servizi.

Azure portal

1. Nella parte superiore della portale di Azure cercare Identità gestite. Selezionare il risultato identità gestite.
2. Selezionare + Crea nella parte superiore della pagina di panoramica delle identità gestite.
3. Nella scheda Informazioni di base immettere i valori seguenti:
   • Sottoscrizione: selezionare la sottoscrizione desiderata.
   • Gruppo di risorse: selezionare il gruppo di risorse desiderato.
   • Area: selezionare un'area nelle vicinanze della località.
   • Nome: immettere un nome riconoscibile per l'identità, ad esempio MigrationIdentity.
4. Selezionare Rivedi e crea nella parte inferiore della pagina.
5. Al termine dei controlli di convalida, selezionare Crea. Azure crea una nuova identità assegnata dall'utente.

Dopo aver creato la risorsa, selezionare Vai alla risorsa per visualizzare i dettagli dell'identità gestita.

Interfaccia della riga di comando di Azure

Usare il comando az identity create per creare un'identità gestita assegnata dall'utente:

az identity create --name MigrationIdentity --resource-group <your-resource-group>

Associare l'identità gestita all'app Web

È necessario configurare l'app Web per usare l'identità gestita creata. Assegnare l'identità all'app usando il portale di Azure o l'interfaccia della riga di comando di Azure.

Azure portal

Completare i passaggi seguenti nella portale di Azure per associare un'identità all'app. Questi stessi passaggi si applicano ai servizi di Azure seguenti:

• Azure Spring Apps
• App contenitore di Azure
• Macchine virtuali di Azure
• Servizio Azure Kubernetes

1. Passare alla pagina di panoramica dell'app Web.

2. Selezionare Identità nel riquadro di spostamento a sinistra.

3. Nella pagina Identità passare alla scheda Assegnata dall'utente.

4. Selezionare + Aggiungi per aprire il riquadro a comparsa Aggiungi identità gestita assegnata dall'utente.

5. Selezionare la sottoscrizione usata in precedenza per creare l'identità.

6. Cercare MigrationIdentity per nome e selezionarlo nei risultati della ricerca.

7. Selezionare Aggiungi per associare l'identità all'app.

   

Interfaccia della riga di comando di Azure

Usare i comandi seguenti dell'interfaccia della riga di comando di Azure per associare un'identità all'app:

Recuperare l'ID dell'identità gestita creata usando il comando az identity show . Copiare il valore di output da usare nel passaggio successivo.

az identity show --name MigrationIdentity -g <your-identity-resource-group-name> --query id

Servizio app di Azure

È possibile assegnare un'identità gestita a un'istanza del servizio app Azure con il comando az webapp identity assign.

az webapp identity assign \
    --resource-group <resource-group-name> \
    --name <webapp-name>
    --identities <managed-identity-id>

Azure Spring Apps

È possibile assegnare un'identità gestita a un'istanza di Azure Spring Apps con il comando az spring app identity assign .

az spring app identity assign \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --service <service-name>
    --user-assigned <managed-identity-id>

App azure Container

È possibile assegnare un'identità gestita a una macchina virtuale con il comando az containerapp identity assign .

az containerapp identity assign \
    --resource-group <resource-group-name> \
    --name <app-name>
    --user-assigned <managed-identity-id>

Macchine virtuali di Azure

È possibile assegnare un'identità gestita a una macchina virtuale con il comando az vm identity assign .

az vm identity assign \
    --resource-group <resource-group-name> \
    --name <virtual-machine-name>
    --identities <managed-identity-id>

Servizio Azure Kubernetes

È possibile assegnare un'identità gestita a un'istanza del servizio Azure Kubernetes servizio Azure Kubernetes con il comando az aks update.

az aks update \
    --resource-group <resource-group-name> \
    --name <cluster-name> \
    --enable-managed-identity \
    --assign-identity <managed-identity-id> \
    --assign-kubelet-identity <managed-identity-id>

Connessione or del servizio

È possibile usare Service Connessione or per creare una connessione tra un ambiente di hosting di calcolo di Azure e un servizio di destinazione usando l'interfaccia della riga di comando di Azure. I comandi dell'interfaccia della riga di comando del Connessione or del servizio assegnano automaticamente il ruolo appropriato all'identità. Per altre informazioni, vedere Service Connessione or e quali scenari sono supportati nella pagina di panoramica.

1. Recuperare l'ID client dell'identità gestita creata usando il az identity show comando . Copia il valore per un successivo utilizzo.

   az identity show \
       --name MigrationIdentity \
       --resource-group <your-resource-group> \
       --query clientId
   

2. Usare il comando dell'interfaccia della riga di comando appropriato per stabilire la connessione al servizio:

   Servizio app di Azure

   Se si usa un servizio app Azure, usare il comando az webapp connection:

   az webapp connection create storage-queue \
       --resource-group <resource-group-name> \
       --name <webapp-name> \
       --target-resource-group <target-resource-group-name> \
       --account <target-storage-account-name> \
       --user-identity "client-id=<your-identity-client-id>" "subs-id=<your-subscription-id>"
   

   Azure Spring Apps

   Se si usa Azure Spring Apps, usare il comando az spring-cloud connection :

   az spring-cloud connection create storage-queue \
       --resource-group <resource-group-name> \
       --service <service-instance-name> \
       --app <app-name> \
       --deployment <deployment-name> \
       --target-resource-group <target-resource-group> \
       --account <target-storage-account-name> \
       --user-identity "client-id=<your-identity-client-id>" "subs-id=<your-subscription-id>"
   

   App azure Container

   Se si usano app di Azure Container, usare il comando az containerapp connection :

   az containerapp connection create storage-queue \
       --resource-group <resource-group-name> \
       --name <containerapp-name> \
       --target-resource-group <target-resource-group-name> \
       --account <target-storage-account-name> \
       --user-identity "client-id=<your-identity-client-id>" "subs-id=<your-subscription-id>"
   

Assegnare ruoli all'identità gestita

Successivamente, è necessario concedere le autorizzazioni all'identità gestita creata per accedere all'account di archiviazione. Concedere le autorizzazioni assegnando un ruolo all'identità gestita, proprio come è stato fatto con l'utente di sviluppo locale.

Azure portal

1. Passare alla pagina di panoramica dell'account di archiviazione e selezionare Controllo di accesso (IAM) nel riquadro di spostamento a sinistra.

2. Scegliere Aggiungi assegnazione di ruolo

   

3. Nella casella di ricerca Ruolo cercare Archiviazione Collaboratore dati coda, che è un ruolo comune usato per gestire le operazioni sui dati per le code. È possibile assegnare qualsiasi ruolo appropriato per il caso d'uso. Selezionare l'Archiviazione Collaboratore dati coda dall'elenco e scegliere Avanti.

4. Nella schermata Aggiungi assegnazione di ruolo selezionare Identità gestita per l'opzione Assegna accesso a. Scegliere quindi +Seleziona membri.

5. Nel riquadro a comparsa cercare l'identità gestita creata per nome e selezionarla nei risultati. Scegliere Seleziona per chiudere il menu a comparsa.

   

6. Selezionare Avanti un paio di volte fino a quando non è possibile selezionare Rivedi e assegna per completare l'assegnazione di ruolo.

Interfaccia della riga di comando di Azure

Per assegnare un ruolo a livello di risorsa usando l'interfaccia della riga di comando di Azure, è prima necessario recuperare l'ID risorsa usando il comando az storage account show. È possibile filtrare le proprietà di output usando il --query parametro .

az storage account show \
    --resource-group '<your-resource-group-name>' \
    --name '<your-storage-account-name>' \
    --query id

Copiare l'ID di output dal comando precedente. È quindi possibile assegnare ruoli usando il comando az role assignment dell'interfaccia della riga di comando di Azure.

az role assignment create \
    --assignee "<your-username>" \
    --role "Storage Queue Data Contributor" \
    --scope "<your-resource-id>"

Connessione or del servizio

Se i servizi sono stati connessi tramite Service Connessione or, non è necessario completare questo passaggio. Le configurazioni del ruolo necessarie sono state gestite automaticamente quando sono stati eseguiti i comandi dell'interfaccia della riga di comando di Service Connessione or.

Aggiornare il codice dell'applicazione

È necessario configurare il codice dell'applicazione per cercare l'identità gestita specifica creata quando viene distribuita in Azure. In alcuni scenari, l'impostazione esplicita dell'identità gestita per l'app impedisce anche il rilevamento accidentale e l'uso automatico di altre identità dell'ambiente.

1. Nella pagina di panoramica dell'identità gestita copiare il valore dell'ID client negli Appunti.

2. Applicare le modifiche specifiche della lingua seguenti:

   .NET

   Creare un DefaultAzureCredentialOptions oggetto e passarlo a DefaultAzureCredential. Impostare la proprietà ManagedIdentityClientId sull'ID client.

   DefaultAzureCredential credential = new(
       new DefaultAzureCredentialOptions
       {
           ManagedIdentityClientId = managedIdentityClientId
       });
   

   Go

   Impostare la AZURE_CLIENT_ID variabile di ambiente sull'ID client dell'identità gestita. DefaultAzureCredential legge questa variabile di ambiente.

   Java

   Chiamare il metodo managedIdentityClientId . Passare l'ID client.

   DefaultAzureCredential credential = new DefaultAzureCredentialBuilder()
       .managedIdentityClientId(managedIdentityClientId)
       .build();
   

   Node.js

   Creare un DefaultAzureCredentialClientIdOptions oggetto con la proprietà managedIdentityClientId impostata sull'ID client. Passare l'oggetto DefaultAzureCredential al costruttore.

   const credential = new DefaultAzureCredential({
     managedIdentityClientId
   });
   

   Python

   Impostare il DefaultAzureCredential parametro managed_identity_client_id del costruttore sull'ID client.

   credential = DefaultAzureCredential(
       managed_identity_client_id = managed_identity_client_id
   )
   

3. Ridistribuire il codice in Azure dopo aver apportato questa modifica affinché vengano applicati gli aggiornamenti della configurazione.

Testare l'app

Dopo aver distribuito il codice aggiornato, passare all'applicazione ospitata nel browser. L'app dovrebbe essere in grado di connettersi correttamente all'account di archiviazione. Tenere presente che la propagazione delle assegnazioni di ruolo nell'ambiente di Azure potrebbe richiedere alcuni minuti. L'applicazione è ora configurata per l'esecuzione sia in locale che in un ambiente di produzione senza che gli sviluppatori dover gestire i segreti nell'applicazione stessa.

Passaggi successivi

In questa esercitazione si è appreso come eseguire la migrazione di un'applicazione a connessioni senza password.

È possibile leggere le risorse seguenti per esplorare i concetti illustrati in questo articolo in modo più approfondito:

• Autorizzare l'accesso ai BLOB usando Microsoft Entra ID
• Per altre informazioni su .NET, vedere Introduzione a .NET in 10 minuti.