자습서: 관리 ID를 사용하여 비밀 없이 App Service에서 Azure 데이터베이스에 연결

App Service는 Azure에서 확장성 높은 자체 패치 웹 호스팅 서비스를 제공합니다. 또한 다음을 포함하여 Azure 데이터베이스에 대한 액세스를 보호하기 위한 턴키 솔루션인 앱에 대한 관리 ID를 제공합니다.

• Azure SQL Database
• Azure Database for MySQL
• Azure Database for PostgreSQL

참고 항목

이 지침에는 Microsoft Entra 인증을 다르게 지원하는 Azure Cosmos DB에 대한 지침이 포함되어 있지 않습니다. 자세한 내용은 시스템 할당 관리 ID를 사용하여 Azure Cosmos DB 데이터에 액세스와 같은 Azure Cosmos DB 설명서를 참조하세요.

App Service의 관리 ID는 연결 문자열의 자격 증명과 같은 비밀을 앱에서 제거하여 앱의 보안을 보다 강화합니다. 이 자습서에서는 관리 ID를 사용하여 App Service에서 위에서 언급한 데이터베이스에 연결하는 방법을 보여 줍니다.

다음을 알아봅니다.

• Microsoft Entra 사용자를 Azure 데이터베이스의 관리자 권한으로 구성합니다.
• Microsoft Entra 사용자로 데이터베이스에 연결합니다.
• App Service 앱에 대해 시스템 할당 또는 사용자 할당 관리 ID를 구성합니다.
• 관리 ID에 대한 데이터베이스 액세스 권한을 부여합니다.
• 관리 ID를 사용하여 코드(.NET Framework 4.8, .NET 6, Node.js, Python, Java)에서 Azure 데이터베이스에 연결합니다.
• Microsoft Entra 사용자를 사용하여 개발 환경에서 Azure 데이터베이스에 연결합니다.

Azure를 구독하고 있지 않다면 시작하기 전에 Azure 체험 계정을 만듭니다.

필수 조건

• .NET, Node.js, Python 또는 Java를 기반으로 App Service에서 앱을 만듭니다.
• Azure SQL Database, Azure Database for MySQL 또는 Azure Database for PostgreSQL을 사용하여 데이터베이스 서버를 만듭니다.
• 표준 연결 패턴(사용자 이름 및 암호 포함)에 익숙해야 하며 App Service 앱에서 선택한 데이터베이스에 성공적으로 연결할 수 있어야 합니다.

Azure CLI에 대한 환경을 준비합니다.

• Azure Cloud Shell에서 Bash 환경을 사용합니다. 자세한 내용은 Azure Cloud Shell의 Bash에 대한 빠른 시작을 참조하세요.

  

• CLI 참조 명령을 로컬에서 실행하려면 Azure CLI를 설치합니다. Windows 또는 macOS에서 실행 중인 경우 Docker 컨테이너에서 Azure CLI를 실행하는 것이 좋습니다. 자세한 내용은 Docker 컨테이너에서 Azure CLI를 실행하는 방법을 참조하세요.

  • 로컬 설치를 사용하는 경우 az login 명령을 사용하여 Azure CLI에 로그인합니다. 인증 프로세스를 완료하려면 터미널에 표시되는 단계를 수행합니다. 다른 로그인 옵션은 Azure CLI를 사용하여 로그인을 참조하세요.

  • 메시지가 표시되면 처음 사용할 때 Azure CLI 확장을 설치합니다. 확장에 대한 자세한 내용은 Azure CLI에서 확장 사용을 참조하세요.

  • az version을 실행하여 설치된 버전과 종속 라이브러리를 찾습니다. 최신 버전으로 업그레이드하려면 az upgrade를 실행합니다.

1. 서비스 커넥터 암호 없는 확장 설치

Azure CLI용 최신 서비스 커넥터 암호 없는 확장을 설치합니다.

az extension add --name serviceconnector-passwordless --upgrade

참고 항목

az version을 실행하여 확장 "serviceconnector-passwordless" 버전이 "2.0.2" 이상인지 확인하세요. 확장 버전을 업그레이드하려면 먼저 Azure CLI를 업그레이드해야 할 수 있습니다.

2. 암호 없는 연결 만들기

다음으로, 서비스 커넥터를 사용하여 암호 없는 연결을 만듭니다.

팁

Azure Portal은 아래 명령을 작성하는 데 도움이 될 수 있습니다. Azure Portal에서 Azure App Service 리소스로 이동하고, 왼쪽 메뉴에서 서비스 커넥터를 선택하고, 만들기를 선택합니다. 필요한 모든 매개 변수로 양식을 작성합니다. Azure는 CLI에서 사용하거나 Azure Cloud Shell에서 실행하도록 복사할 수 있는 연결 만들기 명령을 자동으로 생성합니다.

Azure SQL Database

다음 Azure CLI 명령은 --client-type 매개 변수를 사용합니다.

1. 필요에 따라 az webapp connection create sql -h를 실행하여 지원되는 클라이언트 유형을 가져옵니다.

2. 클라이언트 유형을 선택하고 해당 명령을 실행합니다. 다음 자리 표시자를 사용자 고유의 정보로 바꿉니다.

   사용자 할당 관리 ID

   az webapp connection create sql \
       --resource-group <group-name> \
       --name <server-name> \
       --target-resource-group <sql-group-name> \
       --server <sql-name> \
       --database <database-name> \
       --user-identity client-id=<client-id> subs-id=<subscription-id> \
       --client-type <client-type>
   

   시스템 할당 관리 ID

   az webapp connection create sql \
       --resource-group <group-name> \
       --name <server-name> \
       --target-resource-group <group-name> \
       --server <sql-name> \
       --database <database-name> \
       --system-identity \
       --client-type <client-type>
   

Azure Database for MySQL

참고 항목

Azure Database for MySQL - 유연한 서버의 경우, 먼저 별도의 사용자 할당 관리 ID 및 특정 Microsoft Graph 권한이 필요한 Microsoft Entra 인증을 수동으로 설정해야 합니다. 이 단계는 자동화할 수 없습니다.

1. 수동으로 Azure Database for MySQL - 유연한 서버에 대한 Microsoft Entra 인증을 설정합니다.

2. 필요에 따라 az webapp connection create mysql-flexible -h 명령을 실행하여 지원되는 클라이언트 유형을 가져옵니다.

3. 클라이언트 유형을 선택하고 해당 명령을 실행합니다. 다음 Azure CLI 명령은 --client-type 매개 변수를 사용합니다.

   사용자 할당 관리 ID

   az webapp connection create mysql-flexible \
       --resource-group <group-name> \
       --name <server-name> \
       --target-resource-group <group-name> \
       --server <mysql-name> \
       --database <database-name> \
       --user-identity client-id=XX subs-id=XX mysql-identity-id=$IDENTITY_RESOURCE_ID \
       --client-type <client-type>
   

   시스템 할당 관리 ID

   az webapp connection create mysql-flexible \
   --resource-group <group-name> \
   --name <server-name> \
   --target-resource-group <group-name> \
   --server <mysql-name> \
   --database <database-name> \
   --system-identity mysql-identity-id=$IDENTITY_RESOURCE_ID \
   --client-type <client-type>
   

Azure Database for PostgreSQL

다음 Azure CLI 명령은 --client-type 매개 변수를 사용합니다.

1. 필요에 따라 az webapp connection create postgres-flexible -h 명령을 실행하여 지원되는 모든 클라이언트 유형의 목록을 가져옵니다.

2. 클라이언트 유형을 선택하고 해당 명령을 실행합니다.

   사용자 할당 관리 ID

   az webapp connection create postgres-flexible \
       --resource-group <group-name> \
       --name <server-name> \
       --target-resource-group <group-name> \
       --server <postgresql-name> \
       --database <database-name> \
       --user-identity client-id=XX subs-id=XX \
       --client-type java
   

   시스템 할당 관리 ID

   az webapp connection create postgres-flexible \
       --resource-group <group-name> \
       --name <server-name> \
       --target-resource-group <group-name> \
       --server <postgresql-name> \
       --database <database-name> \
       --system-identity \
       --client-type <client-type>
   

3. 미리 만든 테이블에 대한 사용 권한 부여

다음으로, 서비스 커넥터를 사용하기 전에 PostgreSQL 유연한 서버에서 테이블 및 시퀀스를 만든 경우 소유자로 연결하고 서비스 커넥터에서 만든 <aad-username>에 사용 권한을 부여해야 합니다. 서비스 커넥터에 설정한 연결 문자열 또는 구성의 사용자 이름은 aad_<connection name>과 같습니다. Azure Portal을 사용하는 경우 Service Type 열 옆에 있는 확장 단추를 선택하고 값을 가져옵니다. Azure CLI를 사용하는 경우 CLI 명령 출력에서 configurations를 확인합니다.

그런 다음 쿼리를 실행하여 사용 권한을 부여합니다.

az extension add --name rdbms-connect

az postgres flexible-server execute -n <postgres-name> -u <owner-username> -p "<owner-password>" -d <database-name> --querytext "GRANT ALL PRIVILEGES ON ALL TABLES IN SCHEMA public TO \"<aad-username>\";GRANT ALL PRIVILEGES ON ALL SEQUENCES IN SCHEMA public TO \"<aad username>\";"

<owner-username> 및 <owner-password>는 다른 사용자에게 사용 권한을 부여할 수 있는 기존 테이블의 소유자입니다. <aad-username>은 서비스 커넥터에서 만든 사용자입니다. 실제 값으로 바꿉니다.

다음 명령을 사용하여 결과의 유효성을 검사합니다.

az postgres flexible-server execute -n <postgres-name> -u <owner-username> -p "<owner-password>" -d <database-name> --querytext "SELECT distinct(table_name) FROM information_schema.table_privileges WHERE grantee='<aad-username>' AND table_schema='public';" --output table

이 서비스 커넥터 명령은 백그라운드에서 다음 작업을 완료합니다.

• 시스템 할당 관리 ID를 사용하도록 설정하거나 Azure App Service에서 호스트하는 앱 <server-name>의 사용자 ID를 할당합니다.
• Microsoft Entra 관리자를 현재 로그인한 사용자로 설정합니다.
• 시스템 할당 관리 ID 또는 사용자 할당 관리 ID에 대한 데이터베이스 사용자를 추가합니다. 이 사용자에게 데이터베이스 <database-name>의 모든 권한을 부여합니다. 사용자 이름은 이전 명령 출력의 연결 문자열에서 찾을 수 있습니다.
• AZURE_MYSQL_CONNECTIONSTRING, AZURE_POSTGRESQL_CONNECTIONSTRING 또는 AZURE_SQL_CONNECTIONSTRING이라는 구성을 데이터베이스 유형에 기반한 Azure 리소스로 설정합니다.
• App Service의 경우 구성은 앱 설정 블레이드에서 설정됩니다.

연결을 만들 때 문제가 발생하면 문제 해결을 참조하세요.

3. 코드 수정

Azure SQL Database

.NET

1. 종속성을 설치합니다.

   dotnet add package Microsoft.Data.SqlClient
   

2. 서비스 커넥터에서 추가한 환경 변수에서 Azure SQL Database 연결 문자열을 가져옵니다.

   using Microsoft.Data.SqlClient;
   
   // AZURE_SQL_CONNECTIONSTRING should be one of the following:
   // For system-assigned managed identity:"Server=tcp:<server-name>.database.windows.net;Database=<database-name>;Authentication=Active Directory Default;TrustServerCertificate=True"
   // For user-assigned managed identity: "Server=tcp:<server-name>.database.windows.net;Database=<database-name>;Authentication=Active Directory Default;User Id=<client-id-of-user-assigned-identity>;TrustServerCertificate=True"
   
   string connectionString = 
       Environment.GetEnvironmentVariable("AZURE_SQL_CONNECTIONSTRING")!;
   
   using var connection = new SqlConnection(connectionString);
   connection.Open();
   

   자세한 내용은 Active Directory 관리 ID 인증 사용을 참조하세요.

Java

1. pom.xml 파일에서 다음 종속성을 추가합니다.

   <dependency>
       <groupId>com.azure</groupId>
       <artifactId>azure-identity</artifactId>
       <version>1.4.6</version>
   </dependency>
   <dependency>
       <groupId>com.microsoft.sqlserver</groupId>
       <artifactId>mssql-jdbc</artifactId>
       <version>10.2.0.jre11</version>
   </dependency>
   

2. 서비스 커넥터에서 추가한 환경 변수에서 Azure SQL Database 연결 문자열을 가져옵니다.

   import java.sql.Connection;
   import java.sql.ResultSet;
   import java.sql.Statement;
   
   import com.microsoft.sqlserver.jdbc.SQLServerDataSource;
   
   public class Main {
       public static void main(String[] args) {
           // AZURE_SQL_CONNECTIONSTRING should be one of the following:
           // For system-assigned managed identity: "jdbc:sqlserver://{SQLName}.database.windows.net:1433;databaseName={SQLDbName};authentication=ActiveDirectoryMSI;"
           // For user-assigned managed identity: "jdbc:sqlserver://{SQLName}.database.windows.net:1433;databaseName={SQLDbName};msiClientId={UserAssignedMiClientId};authentication=ActiveDirectoryMSI;"
           String connectionString = System.getenv("AZURE_SQL_CONNECTIONSTRING");
           SQLServerDataSource ds = new SQLServerDataSource();
           ds.setURL(connectionString);
           try (Connection connection = ds.getConnection()) {
               System.out.println("Connected successfully.");
           } catch (SQLException e) {
               e.printStackTrace();
           }
       }
   }
   

자세한 내용은 Microsoft Entra 인증을 사용하여 연결을 참조하세요.

Python

1. 종속성을 설치합니다.

   python -m pip install pyodbc
   

2. 서비스 커넥터가 추가한 환경 변수에서 Azure SQL Database 연결 구성을 가져옵니다. 사용하려는 인증 유형에 대한 코드 조각 부분의 주석 처리를 제거합니다.

   import os;
   import pyodbc
   
   server = os.getenv('AZURE_SQL_SERVER')
   port = os.getenv('AZURE_SQL_PORT')
   database = os.getenv('AZURE_SQL_DATABASE')
   authentication = os.getenv('AZURE_SQL_AUTHENTICATION')  # The value should be 'ActiveDirectoryMsi'
   
   # Uncomment the following lines according to the authentication type.
   # For system-assigned managed identity.
   # connString = f'Driver={{ODBC Driver 18 for SQL Server}};Server={server},{port};Database={database};Authentication={authentication};Encrypt=yes;'
   
   # For user-assigned managed identity.
   # client_id = os.getenv('AZURE_SQL_USER')
   # connString = f'Driver={{ODBC Driver 18 for SQL Server}};Server={server},{port};Database={database};UID={client_id};Authentication={authentication};Encrypt=yes;'
   
   conn = pyodbc.connect(connString)
   

   다른 방법은 액세스 토큰을 사용하여 Azure SQL Database에 연결할 수도 있습니다. Azure SQL Database에서 암호 없는 연결을 사용하도록 Python 애플리케이션 마이그레이션을 참조하세요.

NodeJS

1. 종속성을 설치합니다.

   npm install mssql
   

2. 서비스 커넥터가 추가한 환경 변수에서 Azure SQL Database 연결 구성을 가져옵니다. 사용하려는 인증 유형에 대한 코드 조각 부분의 주석 처리를 제거합니다.

   import sql from 'mssql';
   
   const server = process.env.AZURE_SQL_SERVER;
   const database = process.env.AZURE_SQL_DATABASE;
   const port = parseInt(process.env.AZURE_SQL_PORT);
   const authenticationType = process.env.AZURE_SQL_AUTHENTICATIONTYPE;
   
   // Uncomment the following lines according to the authentication type.
   // For system-assigned managed identity.
   // const config = {
   //     server,
   //     port,
   //     database,
   //     authentication: {
   //         authenticationType
   //     },
   //     options: {
   //        encrypt: true
   //     }
   // };  
   
   // For user-assigned managed identity.
   // const clientId = process.env.AZURE_SQL_CLIENTID;
   // const config = {
   //     server,
   //     port,
   //     database,
   //     authentication: {
   //         type: authenticationType
   //     },
   //     options: {
   //         encrypt: true,
   //         clientId: clientId
   //     }
   // };  
   
   this.poolconnection = await sql.connect(config);
   

자세한 내용은 Microsoft SQL Server로의 클라이언트 프로그래밍 홈페이지를 참조하세요. 더 다양한 코드 샘플은 서비스 커넥터를 통해 데이터베이스 서비스에 대한 암호 없는 연결 만들기를 참조하세요.

Azure Database for MySQL

코드에서 Azure Database for MySQL에 대한 연결은 모든 언어 스택에 대해 DefaultAzureCredential 패턴을 따릅니다. DefaultAzureCredential은 개발 환경과 Azure 환경 모두에 적응할 수 있을 만큼 충분히 유연합니다. 로컬에서 실행할 때 선택한 환경(Visual Studio, Visual Studio Code, Azure CLI 또는 Azure PowerShell)에서 로그인한 Azure 사용자를 검색할 수 있습니다. Azure에서 실행할 때 관리 ID를 검색합니다. 따라서 개발 시와 프로덕션에서 모두 데이터베이스에 연결할 수 있습니다. 패턴은 다음과 같습니다.

1. Azure ID 클라이언트 라이브러리에서 DefaultAzureCredential을 인스턴스화합니다. 사용자 할당 ID를 사용하는 경우 해당 ID의 클라이언트 ID를 할당합니다.
2. Azure Database for MySQL에 대한 액세스 토큰을 가져옵니다. https://ossrdbms-aad.database.windows.net/.default.
3. 연결 문자열에 토큰을 추가합니다.
4. 연결을 엽니다.

.NET

.NET의 경우 Azure.Identity와 같은 클라이언트 라이브러리를 사용하여 관리 ID에 대한 액세스 토큰을 가져옵니다. 그런 다음 액세스 토큰을 암호로 사용하여 데이터베이스에 연결합니다. 아래 코드를 사용하는 경우 사용하려는 인증 유형에 해당하는 코드 조각 부분의 주석 처리를 제거해야 합니다.

using Azure.Core;
using Azure.Identity;
using MySqlConnector;

// Uncomment the following lines according to the authentication type.
// For system-assigned managed identity.
// var credential = new DefaultAzureCredential();

// For user-assigned managed identity.
// var credential = new DefaultAzureCredential(
//     new DefaultAzureCredentialOptions
//     {
//         ManagedIdentityClientId = Environment.GetEnvironmentVariable("AZURE_MYSQL_CLIENTID");
//     });

var tokenRequestContext = new TokenRequestContext(
    new[] { "https://ossrdbms-aad.database.windows.net/.default" });
AccessToken accessToken = await credential.GetTokenAsync(tokenRequestContext);
// Open a connection to the MySQL server using the access token.
string connectionString =
    $"{Environment.GetEnvironmentVariable("AZURE_MYSQL_CONNECTIONSTRING")};Password={accessToken.Token}";

using var connection = new MySqlConnection(connectionString);
Console.WriteLine("Opening connection using access token...");
await connection.OpenAsync();

// do something

Java

1. pom.xml 파일에서 다음 종속성을 추가합니다.

   <dependency>
       <groupId>mysql</groupId>
       <artifactId>mysql-connector-java</artifactId>
       <version>8.0.30</version>
   </dependency>
   <dependency>
       <groupId>com.azure</groupId>
       <artifactId>azure-identity-extensions</artifactId>
       <version>1.1.5</version>
   </dependency>
   

2. 환경 변수에서 연결 문자열을 가져와서 플러그 인 이름을 추가하여 데이터베이스에 연결합니다.

   String url = System.getenv("AZURE_MYSQL_CONNECTIONSTRING");  
   String pluginName = "com.azure.identity.extensions.jdbc.mysql.AzureMysqlAuthenticationPlugin";
   Connection connection = DriverManager.getConnection(url + "&defaultAuthenticationPlugin=" +
       pluginName + "&authenticationPlugins=" + pluginName);
   

자세한 내용은 Azure Database for MySQL - 유연한 서버에서 Java 및 JDBC 사용을 참조하세요.

Python

1. 종속성을 설치합니다.

   pip install azure-identity
   # install Connector/Python https://dev.mysql.com/doc/connector-python/en/connector-python-installation.html
   pip install mysql-connector-python
   

2. azure-identity 라이브러리에서 액세스 토큰을 사용하여 인증합니다. 서비스 커넥터에서 추가한 환경 변수에서 연결 정보를 가져옵니다. 아래 코드를 사용하는 경우 사용하려는 인증 유형에 해당하는 코드 조각 부분의 주석 처리를 제거해야 합니다.

   from azure.identity import ManagedIdentityCredential, ClientSecretCredential
   import mysql.connector
   import os
   
   # Uncomment the following lines according to the authentication type.
   # For system-assigned managed identity.
   # cred = ManagedIdentityCredential()    
   
   # For user-assigned managed identity.
   # managed_identity_client_id = os.getenv('AZURE_MYSQL_CLIENTID')
   # cred = ManagedIdentityCredential(client_id=managed_identity_client_id)
   
   # acquire token
   accessToken = cred.get_token('https://ossrdbms-aad.database.windows.net/.default')
   
   # open connect to Azure MySQL with the access token.
   host = os.getenv('AZURE_MYSQL_HOST')
   database = os.getenv('AZURE_MYSQL_NAME')
   user = os.getenv('AZURE_MYSQL_USER')
   password = accessToken.token
   
   cnx = mysql.connector.connect(user=user,
                                 password=password,
                                 host=host,
                                 database=database)
   cnx.close()
   
   

NodeJS

1. 종속성을 설치합니다.

   npm install --save @azure/identity
   npm install --save mysql2
   

2. @azure/identity 및 서비스 커넥터에서 추가한 환경 변수의 Azure MySQL 데이터베이스 정보를 사용하여 액세스 토큰을 가져옵니다. 아래 코드를 사용하는 경우 사용하려는 인증 유형에 해당하는 코드 조각 부분의 주석 처리를 제거해야 합니다.

   import { DefaultAzureCredential,ClientSecretCredential } from "@azure/identity";
   
   const mysql = require('mysql2');
   
   // Uncomment the following lines according to the authentication type.
   // for system-assigned managed identity
   // const credential = new DefaultAzureCredential();
   
   // for user-assigned managed identity
   // const clientId = process.env.AZURE_MYSQL_CLIENTID;
   // const credential = new DefaultAzureCredential({
   //    managedIdentityClientId: clientId
   // });
   
   // acquire token
   var accessToken = await credential.getToken('https://ossrdbms-aad.database.windows.net/.default');
   
   const connection = mysql.createConnection({
     host: process.env.AZURE_MYSQL_HOST,
     user: process.env.AZURE_MYSQL_USER,
     password: accessToken.token,
     database: process.env.AZURE_MYSQL_DATABASE,
     port: process.env.AZURE_MYSQL_PORT,
     ssl: process.env.AZURE_MYSQL_SSL
   });
   
   connection.connect((err) => {
     if (err) {
       console.error('Error connecting to MySQL database: ' + err.stack);
       return;
     }
     console.log('Connected to MySQL database');
   });
   

더 다양한 코드 샘플은 서비스 커넥터를 통해 데이터베이스 서비스에 대한 암호 없는 연결 만들기를 참조하세요.

Azure Database for PostgreSQL

코드에서 Azure Database for PostgreSQL에 대한 연결은 모든 언어 스택에 대해 DefaultAzureCredential 패턴을 따릅니다. DefaultAzureCredential은 개발 환경과 Azure 환경 모두에 적응할 수 있을 만큼 충분히 유연합니다. 로컬에서 실행할 때 선택한 환경(Visual Studio, Visual Studio Code, Azure CLI 또는 Azure PowerShell)에서 로그인한 Azure 사용자를 검색할 수 있습니다. Azure에서 실행할 때 관리 ID를 검색합니다. 따라서 개발 시와 프로덕션에서 모두 데이터베이스에 연결할 수 있습니다. 패턴은 다음과 같습니다.

1. Azure ID 클라이언트 라이브러리에서 DefaultAzureCredential을 인스턴스화합니다. 사용자 할당 ID를 사용하는 경우 해당 ID의 클라이언트 ID를 할당합니다.
2. Azure Database for PostgreSQL에 대한 액세스 토큰을 가져옵니다. https://ossrdbms-aad.database.windows.net/.default.
3. 연결 문자열에 토큰을 추가합니다.
4. 연결을 엽니다.

.NET

.NET의 경우 Azure.Identity와 같은 클라이언트 라이브러리를 사용하여 관리 ID에 대한 액세스 토큰을 가져옵니다. 그런 다음 액세스 토큰을 암호로 사용하여 데이터베이스에 연결합니다. 아래 코드를 사용하는 경우 사용하려는 인증 유형에 해당하는 코드 조각 부분의 주석 처리를 제거해야 합니다.

using Azure.Identity;
using Azure.Core;
using Npgsql;

// Uncomment the following lines according to the authentication type.
// For system-assigned identity.
// var sqlServerTokenProvider = new DefaultAzureCredential();

// For user-assigned identity.
// var sqlServerTokenProvider = new DefaultAzureCredential(
//     new DefaultAzureCredentialOptions
//     {
//         ManagedIdentityClientId = Environment.GetEnvironmentVariable("AZURE_POSTGRESQL_CLIENTID");
//     }
// );

// Acquire the access token. 
AccessToken accessToken = await sqlServerTokenProvider.GetTokenAsync(
    new TokenRequestContext(scopes: new string[]
    {
        "https://ossrdbms-aad.database.windows.net/.default"
    }));

// Combine the token with the connection string from the environment variables provided by Service Connector.
string connectionString =
    $"{Environment.GetEnvironmentVariable("AZURE_POSTGRESQL_CONNECTIONSTRING")};Password={accessToken.Token}";

// Establish the connection.
using (var connection = new NpgsqlConnection(connectionString))
{
    Console.WriteLine("Opening connection using access token...");
    connection.Open();
}

Java

1. pom.xml 파일에서 다음 종속성을 추가합니다.

   <dependency>
       <groupId>org.postgresql</groupId>
       <artifactId>postgresql</artifactId>
       <version>42.3.6</version>
   </dependency>
   <dependency>
       <groupId>com.azure</groupId>
       <artifactId>azure-identity-extensions</artifactId>
       <version>1.1.5</version>
   </dependency>
   

2. 환경 변수에서 연결 문자열을 가져와서 플러그 인 이름을 추가하여 데이터베이스에 연결합니다.

   import java.sql.*;
   
   String url = System.getenv("AZURE_POSTGRESQL_CONNECTIONSTRING");
   String pluginName = "com.Azure.identity.extensions.jdbc.postgresql.AzurePostgresqlAuthenticationPlugin";  
   Connection connection = DriverManager.getConnection(url + "&authenticationPluginClassName=" + pluginName);
   

자세한 내용은 다음 리소스를 참조하세요.

• 자습서: 관리 ID를 사용하여 비밀 없이 Java Tomcat App Service에서 PostgreSQL Database에 연결
• 빠른 시작: Azure Database for PostgreSQL 유연한 서버에서 Java 및 JDBC 사용

Python

1. 종속성을 설치합니다.

   pip install azure-identity
   pip install psycopg2-binary
   

2. azure-identity 라이브러리에서 액세스 토큰으로 인증하고 토큰을 암호로 사용합니다. 서비스 커넥터에서 추가한 환경 변수에서 연결 정보를 가져옵니다. 아래 코드를 사용하는 경우 사용하려는 인증 유형에 해당하는 코드 조각 부분의 주석 처리를 제거해야 합니다.

   from azure.identity import DefaultAzureCredential
   import psycopg2
   
   # Uncomment the following lines according to the authentication type.
   # For system-assigned identity.
   # cred = DefaultAzureCredential()
   
   # For user-assigned identity.
   # managed_identity_client_id = os.getenv('AZURE_POSTGRESQL_CLIENTID')
   # cred = ManagedIdentityCredential(client_id=managed_identity_client_id)   
   
   # Acquire the access token
   accessToken = cred.get_token('https://ossrdbms-aad.database.windows.net/.default')
   
   # Combine the token with the connection string from the environment variables added by Service Connector to establish the connection.
   conn_string = os.getenv('AZURE_POSTGRESQL_CONNECTIONSTRING')
   conn = psycopg2.connect(conn_string + ' password=' + accessToken.token) 
   

자세한 내용은 다음 리소스를 참조하세요.

• 시스템에서 할당한 관리 ID를 사용하여 Azure에 Flask Python 웹앱을 만들고 배포
• 사용자가 할당한 관리 ID로 Django 웹앱을 Azure에 만들고 배포

NodeJS

1. 종속성을 설치합니다.

   npm install --save @azure/identity
   npm install --save pg
   

2. 코드에서 서비스 커넥터 서비스에서 추가한 환경 변수에서 @azure/identity 및 PostgreSQL 연결 정보를 통해 액세스 토큰을 가져옵니다. 이들을 결합하여 연결을 설정합니다. 아래 코드를 사용하는 경우 사용하려는 인증 유형에 해당하는 코드 조각 부분의 주석 처리를 제거해야 합니다.

   import { DefaultAzureCredential, ClientSecretCredential } from "@azure/identity";
   const { Client } = require('pg');
   
   // Uncomment the following lines according to the authentication type.  
   // For system-assigned identity.
   // const credential = new DefaultAzureCredential();
   
   // For user-assigned identity.
   // const clientId = process.env.AZURE_POSTGRESQL_CLIENTID;
   // const credential = new DefaultAzureCredential({
   //     managedIdentityClientId: clientId
   // });
   
   // Acquire the access token.
   var accessToken = await credential.getToken('https://ossrdbms-aad.database.windows.net/.default');
   
   // Use the token and the connection information from the environment variables added by Service Connector to establish the connection.
   (async () => {
   const client = new Client({
       host: process.env.AZURE_POSTGRESQL_HOST,
       user: process.env.AZURE_POSTGRESQL_USER,
       password: accesstoken.token,
       database: process.env.AZURE_POSTGRESQL_DATABASE,
       port: Number(process.env.AZURE_POSTGRESQL_PORT) ,
       ssl: process.env.AZURE_POSTGRESQL_SSL
   });
   await client.connect();
   
   await client.end();
   })();
   

더 다양한 코드 샘플은 서비스 커넥터를 통해 데이터베이스 서비스에 대한 암호 없는 연결 만들기를 참조하세요.

4. 개발 환경 설정

이 샘플 코드는 DefaultAzureCredential을 사용하여 Microsoft Entra ID에서 Azure 데이터베이스에 사용할 수 있는 토큰을 가져온 다음 데이터베이스 연결에 추가합니다. DefaultAzureCredential을 사용자 지정할 수 있지만 기본적으로 다양합니다. 개발 환경에서 로컬로 실행하는지 App Service에서 실행하는지에 따라 로그인한 Microsoft Entra 사용자 또는 관리 ID에서 토큰을 가져옵니다.

추가 변경 없이 코드를 Azure에서 실행할 준비가 되었습니다. 그러나 로컬에서 코드를 디버그하려면 개발 환경에 로그인한 Microsoft Entra 사용자가 필요합니다. 이 단계에서는 Microsoft Entra 사용자로 로그인하여 원하는 환경을 구성합니다.

Visual Studio Windows

1. Windows용 Visual Studio는 Microsoft Entra 인증과 통합됩니다. Visual Studio에서 개발 및 디버깅을 사용하도록 설정하려면 Visual Studio의 메뉴에서 파일>계정 설정을 선택하여 Microsoft Entra 사용자를 추가하고 로그인 또는 추가를 선택합니다.

2. Azure 서비스 인증의 Microsoft Entra 사용자를 설정하려면 메뉴에서 도구>옵션을 선택한 후 Azure 서비스 인증>계정 선택을 선택합니다. 추가한 Microsoft Entra 사용자를 선택하고 확인을 선택합니다.

macOS용 Visual Studio

1. Mac용 Visual Studio는 Microsoft Entra 인증과 통합되지 않습니다. 그러나 나중에 사용할 Azure ID 클라이언트 라이브러리도 Azure CLI에서 토큰을 검색할 수 있습니다. Visual Studio에서 개발 및 디버깅을 사용하려면 로컬 머신에 Azure CLI를 설치합니다.

2. Microsoft Entra 사용자를 사용하여 다음 명령으로 Azure CLI에 로그인합니다.

   az login --allow-no-subscriptions
   

Visual Studio Code

1. Visual Studio Code는 Azure 확장을 통해 Microsoft Entra 인증과 통합됩니다. Visual Studio Code에 Azure 도구 확장을 설치합니다.

2. Visual Studio Code의 작업 표시줄에서 Azure 로고를 선택합니다.

3. App Service 탐색기에서 Azure에 로그인...을 선택하고 지침을 따릅니다.

Azure CLI

1. 나중에 사용할 Azure ID 클라이언트 라이브러리는 Azure CLI의 토큰을 사용할 수 있습니다. 명령줄 기반 개발을 사용하도록 설정하려면 로컬 머신에 Azure CLI를 설치합니다.

2. Microsoft Entra 사용자를 사용하여 다음 명령으로 Azure에 로그인합니다.

   az login --allow-no-subscriptions
   

Azure PowerShell

1. 나중에 사용할 Azure ID 클라이언트 라이브러리는 Azure PowerShell의 토큰을 사용할 수 있습니다. 명령줄 기반 개발을 사용하도록 설정하려면 로컬 머신에 Azure PowerShell을 설치합니다.

2. Microsoft Entra 사용자를 사용하여 다음 cmdlet으로 Azure CLI에 로그인합니다.

   Connect-AzAccount
   

Microsoft Entra 인증을 위해 개발 환경을 설정하는 방법에 대한 자세한 내용은 .NET용 Azure ID 클라이언트 라이브러리를 참조하세요.

이제 백 엔드 SQL Database에서 Microsoft Entra 인증을 사용하여 앱을 개발하고 디버그할 준비가 되었습니다.

5. 테스트 및 게시

1. 개발 환경에서 코드를 실행합니다. 코드는 사용자 환경에서 로그인한 Microsoft Entra 사용자를 사용하여 백 엔드 데이터베이스에 연결합니다. 사용자는 데이터베이스에 대한 Microsoft Entra 관리자로 구성되어 있으므로 데이터베이스에 액세스할 수 있습니다.

2. 기본 게시 방법을 사용하여 Azure에 코드를 게시합니다. App Service에서 코드는 앱의 관리 ID를 사용하여 백 엔드 데이터베이스에 연결합니다.

자주 묻는 질문

• 관리 ID가 SQL Server를 지원하나요?
• Login failed for user '<token-identified principal>'. 오류가 발생합니다.
• App Service 인증 또는 관련 앱 등록을 변경했습니다. 여전히 이전 토큰을 받는 이유는 무엇인가요?
• Microsoft Entra 그룹에 관리 ID를 추가하려면 어떻게 해야 하나요?
• SSL connection is required. Please specify SSL options and retry 오류가 발생합니다.
• 웹앱 + 데이터베이스 템플릿을 사용하여 앱을 만들었는데 이제 서비스 커넥터 명령을 사용하여 관리 ID 연결을 구성할 수 없습니다.

관리 ID가 SQL Server를 지원하나요?

예. 자세한 내용은 다음을 참조하세요.

• SQL Server Microsoft Entra 인증
• Azure VM에서의 SQL Server에 대한 Microsoft Entra 인증 사용 설정

Login failed for user '<token-identified principal>'. 오류가 발생합니다.

토큰을 요청하려는 관리 ID는 Azure 데이터베이스에 액세스할 수 있는 권한이 없습니다.

App Service 인증 또는 관련 앱 등록을 변경했습니다. 여전히 이전 토큰을 받는 이유는 무엇인가요?

또한 관리 ID의 백 엔드 서비스는 만료된 경우에만 대상 리소스에 대한 토큰을 업데이트하는 토큰 캐시를 유지 관리합니다. 앱에서 토큰을 얻으려고 시도한 후 구성을 수정하면 캐시된 토큰이 만료될 때까지 업데이트된 권한이 있는 새 토큰을 실제로 얻지 못합니다. 이 문제를 해결하려면 새로운 InPrivate(Edge)/private(Safari)/Incognito(Chrome) 창에서 변경 내용을 테스트하는 것이 가장 좋습니다. 그렇게 하면 인증된 새 세션에서 시작할 수 있습니다.

Microsoft Entra 그룹에 관리 ID를 추가하려면 어떻게 해야 하나요?

원하는 경우 ID를 Microsoft Entra 그룹에 추가한 다음 ID 대신 Microsoft Entra 그룹에 대한 액세스 권한을 부여할 수 있습니다. 예를 들어 다음 명령은 이전 단계의 관리 ID를 myAzureSQLDBAccessGroup이라는 새 그룹에 추가합니다.

groupid=$(az ad group create --display-name myAzureSQLDBAccessGroup --mail-nickname myAzureSQLDBAccessGroup --query objectId --output tsv)
msiobjectid=$(az webapp identity show --resource-group <group-name> --name <app-name> --query principalId --output tsv)
az ad group member add --group $groupid --member-id $msiobjectid
az ad group member list -g $groupid

Microsoft Entra 그룹에 대한 데이터베이스 권한을 부여하려면 해당 데이터베이스 형식에 대한 설명서를 참조하세요.

SSL connection is required. Please specify SSL options and retry 오류가 발생합니다.

Azure 데이터베이스에 연결하려면 추가 설정이 필요하며 이 자습서의 범위를 벗어납니다. 자세한 내용은 다음 링크 중 하나를 참조하세요.

Azure Database for PostgreSQL에서 TLS 연결 구성 - 단일 서버Azure Database for MySQL에 안전하게 연결하도록 애플리케이션에서 SSL 연결 구성

웹앱 + 데이터베이스 템플릿을 사용하여 앱을 만들었는데 이제 서비스 커넥터 명령을 사용하여 관리 ID 연결을 구성할 수 없습니다.

서비스 커넥터는 앱 ID에 대한 액세스 권한을 부여하기 위해 데이터베이스에 대한 네트워크 액세스 권한이 필요합니다. 웹앱 + 데이터베이스 템플릿을 사용하여 Azure Portal에서 기본적으로 안전한 앱 및 데이터베이스 아키텍처를 만드는 경우 아키텍처는 데이터베이스에 대한 네트워크 액세스를 잠그고 가상 네트워크 내에서의 연결만 허용합니다. Azure Cloud Shell에도 마찬가지입니다. 그러나 가상 네트워크에 Cloud Shell을 배포한 다음, 해당 Cloud Shell에서 서비스 커넥터 명령을 실행할 수 있습니다.

다음 단계

학습한 내용은 다음과 같습니다.

• Microsoft Entra 사용자를 Azure 데이터베이스의 관리자 권한으로 구성합니다.
• Microsoft Entra 사용자로 데이터베이스에 연결합니다.
• App Service 앱에 대해 시스템 할당 또는 사용자 할당 관리 ID를 구성합니다.
• 관리 ID에 대한 데이터베이스 액세스 권한을 부여합니다.
• 관리 ID를 사용하여 코드(.NET Framework 4.8, .NET 6, Node.js, Python, Java)에서 Azure 데이터베이스에 연결합니다.
• Microsoft Entra 사용자를 사용하여 개발 환경에서 Azure 데이터베이스에 연결합니다.

App Service 및 Azure Functions에 대한 관리 ID를 사용하는 방법

자습서: 관리 ID를 사용하여 비밀 없이 .NET App Service에서 SQL Database 연결

T자습서: 관리 ID를 지원하지 않는 Azure 서비스에 커넥트(Key Vault 사용)

자습서: Virtual Network 통합을 통해 백 엔드 통신 격리