Migrowanie aplikacji .NET do używania połączeń bez hasła z usługą Azure SQL Database

Dotyczy:Azure SQL Database

Żądania aplikacji do usługi Azure SQL Database muszą być uwierzytelnione. Chociaż istnieje wiele opcji uwierzytelniania w usłudze Azure SQL Database, należy określić priorytety połączeń bez hasła w aplikacjach, jeśli to możliwe. Tradycyjne metody uwierzytelniania korzystające z haseł lub kluczy tajnych tworzą zagrożenia bezpieczeństwa i komplikacje. Odwiedź centrum usług platformy Azure bez hasła, aby dowiedzieć się więcej o zaletach przechodzenia do połączeń bez hasła. W poniższym samouczku wyjaśniono, jak przeprowadzić migrację istniejącej aplikacji w celu nawiązania połączenia z usługą Azure SQL Database w celu używania połączeń bez hasła zamiast nazwy użytkownika i rozwiązania haseł.

Konfigurowanie usługi Azure SQL Database

Połączenia bez hasła używają uwierzytelniania Entra firmy Microsoft do łączenia się z usługami platformy Azure, w tym z usługą Azure SQL Database. Uwierzytelnianie firmy Microsoft Entra umożliwia zarządzanie tożsamościami w centralnej lokalizacji w celu uproszczenia zarządzania uprawnieniami. Dowiedz się więcej o konfigurowaniu uwierzytelniania usługi Microsoft Entra dla usługi Azure SQL Database:

• Omówienie uwierzytelniania entra firmy Microsoft
• Konfigurowanie uwierzytelniania entra firmy Microsoft

W tym przewodniku migracji upewnij się, że masz administratora firmy Microsoft Entra przypisanego do usługi Azure SQL Database.

1. Przejdź do strony Microsoft Entra serwera logicznego.

2. Wybierz pozycję Ustaw administratora , aby otworzyć menu wysuwane Identyfikator entra firmy Microsoft.

3. W menu wysuwany Microsoft Entra ID wyszukaj użytkownika, który chcesz przypisać jako administrator.

4. Wybierz użytkownika i wybierz pozycję Wybierz.

   

Konfigurowanie lokalnego środowiska deweloperskiego

Połączenia bez hasła można skonfigurować tak, aby działały zarówno w środowiskach lokalnych, jak i hostowanych na platformie Azure. W tej sekcji zastosujesz konfiguracje, aby umożliwić poszczególnym użytkownikom uwierzytelnianie w usłudze Azure SQL Database na potrzeby programowania lokalnego.

Logowanie do platformy Azure

W przypadku programowania lokalnego upewnij się, że zalogowaliśmy się przy użyciu tego samego konta usługi Azure AD, którego chcesz użyć do uzyskiwania dostępu do usługi Azure SQL Database. Możesz uwierzytelnić się za pomocą popularnych narzędzi programistycznych, takich jak interfejs wiersza polecenia platformy Azure lub program Azure PowerShell. Narzędzia programistyczne, za pomocą których można uwierzytelniać się w różnych językach.

Interfejs wiersza polecenia platformy Azure

Zaloguj się do platformy Azure za pomocą interfejsu wiersza polecenia platformy Azure przy użyciu następującego polecenia:

az login

Program Visual Studio

Wybierz przycisk Zaloguj się w prawym górnym rogu programu Visual Studio.

Zaloguj się przy użyciu konta usługi Azure AD, do którego przypisano wcześniej rolę.

Visual Studio Code

Aby pracować z DefaultAzureCredential programem Visual Studio Code, musisz zainstalować interfejs wiersza polecenia platformy Azure.

W menu głównym programu Visual Studio Code przejdź do pozycji Terminal New Terminal (Nowy > terminal).

Zaloguj się do platformy Azure za pomocą interfejsu wiersza polecenia platformy Azure przy użyciu następującego polecenia:

az login

Program PowerShell

Zaloguj się do platformy Azure przy użyciu programu PowerShell za pomocą następującego polecenia:

Connect-AzAccount

Tworzenie użytkownika bazy danych i przypisywanie ról

Tworzenie użytkownika w usłudze Azure SQL Database. Użytkownik powinien odpowiadać kontu platformy Azure użytego do logowania lokalnego za pośrednictwem narzędzi programistycznych, takich jak Visual Studio lub IntelliJ.

1. W witrynie Azure Portal przejdź do bazy danych SQL i wybierz pozycję Edytor zapytań (wersja zapoznawcza).

2. Wybierz pozycję Kontynuuj po <your-username> prawej stronie ekranu, aby zalogować się do bazy danych przy użyciu konta.

3. W widoku edytora zapytań uruchom następujące polecenia języka T-SQL:

   CREATE USER [user@domain] FROM EXTERNAL PROVIDER;
   ALTER ROLE db_datareader ADD MEMBER [user@domain];
   ALTER ROLE db_datawriter ADD MEMBER [user@domain];
   ALTER ROLE db_ddladmin ADD MEMBER [user@domain];
   GO
   

   

   Uruchomienie tych poleceń powoduje przypisanie roli Współautor bazy danych SQL do określonego konta. Ta rola umożliwia tożsamości odczytywanie, zapisywanie i modyfikowanie danych i schematu bazy danych. Aby uzyskać więcej informacji na temat przypisanych ról, zobacz Stałe role bazy danych.

Aktualizowanie konfiguracji połączenia lokalnego

Istniejący kod aplikacji łączący się z usługą Azure SQL Database przy użyciu Microsoft.Data.SqlClient biblioteki lub entity Framework Core będzie nadal działać z połączeniami bez hasła. Należy jednak zaktualizować bazę danych parametry połączenia, aby używać formatu bez hasła. Na przykład następujący kod działa zarówno z uwierzytelnianiem SQL, jak i połączeniami bez hasła:

string connectionString = app.Configuration.GetConnectionString("AZURE_SQL_CONNECTIONSTRING")!;

using var conn = new SqlConnection(connectionString);
conn.Open();

var command = new SqlCommand("SELECT * FROM Persons", conn);
using SqlDataReader reader = command.ExecuteReader();

Aby zaktualizować przywołyną parametry połączenia (AZURE_SQL_CONNECTIONSTRING) w celu użycia formatu parametry połączenia bez hasła:

1. Znajdź parametry połączenia. W przypadku programowania lokalnego przy użyciu aplikacji platformy .NET zwykle jest to przechowywane w jednej z następujących lokalizacji:

   • appsettings.json Plik konfiguracji projektu.
   • launchsettings.json Plik konfiguracji projektów programu Visual Studio.
   • Zmienne środowiskowe systemu lokalnego lub kontenera.

2. Zastąp wartość parametry połączenia następującym formatem bez hasła. <database-server-name> Zaktualizuj symbole zastępcze i <database-name> własnymi wartościami:

   Server=tcp:<database-server-name>.database.windows.net,1433;Initial Catalog=<database-name>;
   Encrypt=True;TrustServerCertificate=False;Connection Timeout=30;Authentication="Active Directory Default";
   

Testowanie aplikacji

Uruchom aplikację lokalnie i sprawdź, czy połączenia z usługą Azure SQL Database działają zgodnie z oczekiwaniami. Należy pamiętać, że propagowanie zmian użytkowników i ról platformy Azure za pośrednictwem środowiska platformy Azure może potrwać kilka minut. Aplikacja jest teraz skonfigurowana do uruchamiania lokalnie bez konieczności zarządzania wpisami tajnymi w samej aplikacji.

Konfigurowanie środowiska hostingu platformy Azure

Po skonfigurowaniu aplikacji do lokalnego używania połączeń bez hasła ten sam kod może uwierzytelniać się w usłudze Azure SQL Database po jej wdrożeniu na platformie Azure. W poniższych sekcjach opisano sposób konfigurowania wdrożonej aplikacji w celu nawiązania połączenia z usługą Azure SQL Database przy użyciu tożsamości zarządzanej. Tożsamości zarządzane zapewniają automatyczną tożsamość zarządzaną w usłudze Microsoft Entra ID (dawniej Azure Active Directory) dla aplikacji używanych podczas nawiązywania połączenia z zasobami obsługującymi uwierzytelnianie firmy Microsoft Entra. Dowiedz się więcej o tożsamościach zarządzanych:

• Omówienie bez hasła
• Najlepsze rozwiązania dotyczące tożsamości zarządzanej

Tworzenie tożsamości zarządzanej

Utwórz tożsamość zarządzaną przypisaną przez użytkownika przy użyciu witryny Azure Portal lub interfejsu wiersza polecenia platformy Azure. Aplikacja używa tożsamości do uwierzytelniania w innych usługach.

Witryna Azure Portal

1. W górnej części witryny Azure Portal wyszukaj pozycję Tożsamości zarządzane. Wybierz wynik tożsamości zarządzanych.
2. Wybierz pozycję + Utwórz w górnej części strony przeglądu tożsamości zarządzanych .
3. Na karcie Podstawy wprowadź następujące wartości:
   • Subskrypcja: wybierz żądaną subskrypcję.
   • Grupa zasobów: wybierz żądaną grupę zasobów.
   • Region: wybierz region w pobliżu lokalizacji.
   • Nazwa: wprowadź rozpoznawalną nazwę tożsamości, taką jak MigrationIdentity.
4. Wybierz pozycję Przejrzyj i utwórz w dolnej części strony.
5. Po zakończeniu sprawdzania poprawności wybierz pozycję Utwórz. Platforma Azure tworzy nową tożsamość przypisaną przez użytkownika.

Po utworzeniu zasobu wybierz pozycję Przejdź do zasobu , aby wyświetlić szczegóły tożsamości zarządzanej.

Interfejs wiersza polecenia platformy Azure

Użyj polecenia az identity create, aby utworzyć tożsamość zarządzaną przypisaną przez użytkownika:

az identity create --name MigrationIdentity --resource-group <resource-group>

Kojarzenie tożsamości zarządzanej z aplikacją internetową

Skonfiguruj aplikację internetową tak, aby korzystała z utworzonej tożsamości zarządzanej przypisanej przez użytkownika.

Witryna Azure Portal

Wykonaj następujące kroki w witrynie Azure Portal, aby skojarzyć tożsamość zarządzaną przypisaną przez użytkownika z aplikacją. Te same kroki dotyczą następujących usług platformy Azure:

• Azure Spring Apps
• Azure Container Apps
• Maszyny wirtualne platformy Azure
• Azure Kubernetes Service
• Przejdź do strony przeglądu aplikacji internetowej.

1. Wybierz pozycję Tożsamość w obszarze nawigacji po lewej stronie.

2. Na stronie Tożsamość przejdź do karty Przypisane przez użytkownika.

3. Wybierz pozycję + Dodaj, aby otworzyć okno wysuwane Dodawanie tożsamości zarządzanej przypisanej przez użytkownika.

4. Wybierz subskrypcję użytą wcześniej do utworzenia tożsamości.

5. Wyszukaj pozycję MigrationIdentity według nazwy i wybierz ją z wyników wyszukiwania.

6. Wybierz pozycję Dodaj , aby skojarzyć tożsamość z aplikacją.

   

Interfejs wiersza polecenia platformy Azure

Użyj następujących poleceń interfejsu wiersza polecenia platformy Azure, aby skojarzyć tożsamość z aplikacją:

Pobierz w pełni kwalifikowany identyfikator zasobu tożsamości zarządzanej utworzonej przy użyciu polecenia az identity show . Skopiuj wartość wyjściową do użycia w następnym kroku.

az identity show --name MigrationIdentity -g <your-identity-resource-group-name> --query id

Azure App Service

Tożsamość zarządzaną można przypisać do wystąpienia usługi aplikacja systemu Azure za pomocą polecenia az webapp identity assign. Parametr --identities wymaga w pełni kwalifikowanego identyfikatora zasobu tożsamości zarządzanej pobranej w poprzednim kroku. W pełni kwalifikowany identyfikator zasobu rozpoczyna się od "/subscriptions/{subscriptionId}" lub "/providers/{resourceProviderNamespace}/".

az webapp identity assign \
    --resource-group <resource-group-name> \
    --name <webapp-name> \
    --identities <managed-identity-id>

Jeśli pracujesz z powłoką Git Bash, uważaj na konwersje ścieżek podczas korzystania z w pełni kwalifikowanych identyfikatorów zasobów. Aby wyłączyć konwersję ścieżki, dodaj MSYS_NO_PATHCONV=1 na początku polecenia. Aby uzyskać więcej informacji, zobacz Automatyczne tłumaczenie identyfikatorów zasobów.

Azure Spring Apps

Tożsamość zarządzaną można przypisać do wystąpienia usługi Azure Spring Apps za pomocą polecenia az spring app identity assign .

az spring app identity assign \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --service <service-name> \
    --user-assigned <managed-identity-id>

Azure Container Apps

Tożsamość zarządzaną można przypisać do maszyny wirtualnej za pomocą polecenia az containerapp identity assign .

az containerapp identity assign \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --user-assigned <managed-identity-id>

Maszyny wirtualne platformy Azure

Tożsamość zarządzaną można przypisać do maszyny wirtualnej za pomocą polecenia az vm identity assign .

az vm identity assign \
    --resource-group <resource-group-name> \
    --name <virtual-machine-name> \
    --identities <managed-identity-id>

Azure Kubernetes Service

Tożsamość zarządzaną można przypisać do wystąpienia usługi Azure Kubernetes Service (AKS) za pomocą polecenia az aks update .

az aks update \
    --resource-group <resource-group-name> \
    --name <cluster-name> \
    --enable-managed-identity \
    --assign-identity <managed-identity-id> \
    --assign-kubelet-identity <managed-identity-id>

Połączenie or usługi

Za pomocą Połączenie usługi można utworzyć połączenie między środowiskiem hostingu obliczeniowego platformy Azure i usługą docelową przy użyciu interfejsu wiersza polecenia platformy Azure. Polecenia interfejsu wiersza polecenia usługi Połączenie or automatycznie przypisują odpowiednią rolę do tożsamości. Więcej informacji na temat usługi service Połączenie or i scenariuszy obsługiwanych na stronie przeglądu.

1. Pobierz identyfikator klienta tożsamości zarządzanej utworzonej az identity show przy użyciu polecenia . Skopiuj wartość, aby móc ją później wykorzystać.

   az identity show --name MigrationIdentity --resource-group <resource-group> --query clientId
   

2. Użyj odpowiedniego polecenia interfejsu wiersza polecenia, aby ustanowić połączenie z usługą:

   Azure App Service

   Jeśli używasz usługi aplikacja systemu Azure, użyj polecenia az webapp connection:

   az webapp connection create storage-blob \
       --resource-group <resource-group-name> \
       --name <webapp-name> \
       --target-resource-group <target-resource-group-name> \
       --account <target-storage-account-name> \
       --user-identity "client-id=<your-identity-client-id>" "subs-id=<your-subscription-id>"
   

   Azure Spring Apps

   Jeśli używasz usługi Azure Spring Apps, użyj polecenia az spring-cloud connection :

   az spring-cloud connection create storage-blob \
       --resource-group <resource-group-name> \
       --service <service-instance-name> \
       --app <app-name> \
       --deployment <deployment-name> \
       --target-resource-group <target-resource-group> \
       --account <target-storage-account-name> \
       --user-identity "client-id=<your-identity-client-id>" "subs-id=<your-subscription-id>"
   

   Azure Container Apps

   Jeśli używasz usługi Azure Container Apps, użyj polecenia az containerapp connection :

   az containerapp connection create storage-blob \
       --resource-group <resource-group-name> \
       --name <containerapp-name> \
       --target-resource-group <target-resource-group-name> \
       --account <target-storage-account-name> \
       --user-identity "client-id=<your-identity-client-id>" "subs-id=<your-subscription-id>"
   

Tworzenie użytkownika bazy danych dla tożsamości i przypisywanie ról

Utwórz użytkownika bazy danych SQL, który mapuje z powrotem na tożsamość zarządzaną przypisaną przez użytkownika. Przypisz użytkownikowi niezbędne role SQL, aby umożliwić aplikacji odczytywanie, zapisywanie i modyfikowanie danych i schematu bazy danych.

1. W witrynie Azure Portal przejdź do bazy danych SQL i wybierz pozycję Edytor zapytań (wersja zapoznawcza).

2. Wybierz pozycję Kontynuuj po <username> prawej stronie ekranu, aby zalogować się do bazy danych przy użyciu konta.

3. W widoku edytora zapytań uruchom następujące polecenia języka T-SQL:

   CREATE USER [user-assigned-identity-name] FROM EXTERNAL PROVIDER;
   ALTER ROLE db_datareader ADD MEMBER [user-assigned-identity-name];
   ALTER ROLE db_datawriter ADD MEMBER [user-assigned-identity-name];
   ALTER ROLE db_ddladmin ADD MEMBER [user-assigned-identity-name];
   GO
   

   

   Uruchomienie tych poleceń powoduje przypisanie roli Współautor bazy danych SQL do tożsamości zarządzanej przypisanej przez użytkownika. Ta rola umożliwia tożsamości odczytywanie, zapisywanie i modyfikowanie danych i schematu bazy danych.

---

Ważne

Należy zachować ostrożność podczas przypisywania ról użytkowników bazy danych w środowiskach produkcyjnych przedsiębiorstwa. W tych scenariuszach aplikacja nie powinna wykonywać wszystkich operacji przy użyciu jednej tożsamości z podwyższonym poziomem uprawnień. Spróbuj zaimplementować zasadę najniższych uprawnień, konfigurując wiele tożsamości z określonymi uprawnieniami dla określonych zadań.

Więcej informacji na temat konfigurowania ról bazy danych i zabezpieczeń można uzyskać w następujących zasobach:

• Samouczek: zabezpieczanie bazy danych w usłudze Azure SQL Database
• Autoryzowanie dostępu do bazy danych w usłudze SQL Database

Aktualizowanie parametrów połączenia

Zaktualizuj konfigurację aplikacji platformy Azure, aby używać formatu parametry połączenia bez hasła. ciągi Połączenie ion są zwykle przechowywane jako zmienne środowiskowe w środowisku hostingu aplikacji. Poniższe instrukcje koncentrują się na usłudze App Service, ale inne usługi hostingowe platformy Azure zapewniają podobne konfiguracje.

1. Przejdź do strony konfiguracji wystąpienia usługi App Service i znajdź parametry połączenia usługi Azure SQL Database.

2. Wybierz ikonę edycji i zaktualizuj wartość parametry połączenia, aby odpowiadała następującemu formatowi. <database-server-name> Zmień symbole zastępcze i <database-name> na wartości własnej usługi.

   Server=tcp:<database-server-name>.database.windows.net,1433;Initial Catalog=<database-name>;
   Encrypt=True;TrustServerCertificate=False;Connection Timeout=30;Authentication="Active Directory Default";
   

3. Zapisz zmiany i uruchom ponownie aplikację, jeśli nie zostanie to wykonane automatycznie.

Testowanie aplikacji

Przetestuj aplikację, aby upewnić się, że wszystko nadal działa. Propagacja wszystkich zmian w środowisku platformy Azure może potrwać kilka minut.

Następne kroki

W tym samouczku przedstawiono sposób migrowania aplikacji do połączeń bez hasła.

Aby zapoznać się z pojęciami omówionymi w tym artykule, zapoznaj się z następującymi zasobami:

• Omówienie bez hasła
• Najlepsze rozwiązania dotyczące tożsamości zarządzanej
• Samouczek: zabezpieczanie bazy danych w usłudze Azure SQL Database
• Autoryzowanie dostępu do bazy danych w usłudze SQL Database