Konfigurowanie bez hasła połączeń bazy danych dla aplikacji Java na serwerach Oracle WebLogic

W tym artykule pokazano, jak skonfigurować bez hasła połączenia bazy danych dla aplikacji Java w ofertach oracle WebLogic Server w witrynie Azure Portal.

W tym przewodniku wykonasz następujące zadania:

• Aprowizuj zasoby bazy danych przy użyciu interfejsu wiersza polecenia platformy Azure.
• Włącz administratora firmy Microsoft Entra w bazie danych.
• Aprowizuj tożsamość zarządzaną przypisaną przez użytkownika i utwórz dla niej użytkownika bazy danych.
• Skonfiguruj połączenie bez hasła z bazą danych w ofertach Oracle WebLogic za pomocą witryny Azure Portal.
• Zweryfikuj połączenie z bazą danych.

Oferuje ona obsługę połączeń bez hasła dla baz danych PostgreSQL, MySQL i Azure SQL Database.

Wymagania wstępne

• Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.

• Użyj usługi Azure Cloud Shell przy użyciu środowiska powłoki Bash. Upewnij się, że interfejs wiersza polecenia platformy Azure ma wersję 2.43.0 lub nowszą.

  

• Jeśli wolisz, zainstaluj interfejs wiersza polecenia platformy Azure w wersji 2.43.0 lub nowszej, aby uruchomić polecenia interfejsu wiersza polecenia platformy Azure.

  • Jeśli korzystasz z instalacji lokalnej, zaloguj się za pomocą polecenia az login interfejsu wiersza polecenia platformy Azure. Aby ukończyć proces uwierzytelniania, wykonaj kroki wyświetlane w terminalu. Zobacz Logowanie się przy użyciu interfejsu wiersza polecenia platformy Azure, aby uzyskać inne opcje logowania.
  • Po wyświetleniu monitu przy pierwszym użyciu zainstaluj rozszerzenia interfejsu wiersza polecenia platformy Azure. Aby uzyskać więcej informacji na temat rozszerzeń, zobacz Korzystanie z rozszerzeń w interfejsie wiersza polecenia platformy Azure.
  • Uruchom polecenie az version, aby znaleźć zainstalowane wersje i biblioteki zależne. Aby uaktualnić do najnowszej wersji, uruchom polecenie az upgrade.

• Upewnij się, że tożsamość platformy Azure używana do logowania się i ukończenie tego artykułu ma rolę Właściciel w bieżącej subskrypcji lub współautora i dostępu użytkowników Administracja istrator ról w bieżącej subskrypcji. Aby zapoznać się z omówieniem ról platformy Azure, zobacz Co to jest kontrola dostępu oparta na rolach platformy Azure (Azure RBAC)? Aby uzyskać szczegółowe informacje na temat określonych ról wymaganych przez ofertę oracle WebLogic marketplace, zobacz Role wbudowane platformy Azure.

Tworzenie grupy zasobów

Utwórz grupę zasobów za pomocą polecenia az group create. Ponieważ grupy zasobów muszą być unikatowe w ramach subskrypcji, wybierz unikatową nazwę. Łatwym sposobem na używanie unikatowych nazw jest użycie kombinacji inicjałów, dzisiejszej daty i identyfikatora. Na przykład abc1228rg. W tym przykładzie eastus zostanie utworzona grupa zasobów o nazwie abc1228rg w lokalizacji:

export RESOURCE_GROUP_NAME="abc1228rg"
az group create \
    --name ${RESOURCE_GROUP_NAME} \
    --location eastus

Tworzenie serwera bazy danych i bazy danych

Serwer elastyczny MySQL

Utwórz serwer elastyczny za pomocą polecenia az mysql flexible-server create . W tym przykładzie tworzony jest serwer elastyczny o nazwie z mysql20221201 hasłem Secret123456administratora azureuser i administratora. Zastąp hasło twoimi. Aby uzyskać więcej informacji, zobacz Create an Azure Database for MySQL Flexible Server using Azure CLI (Tworzenie serwera elastycznego usługi Azure Database for MySQL przy użyciu interfejsu wiersza polecenia platformy Azure).

export MYSQL_NAME="mysql20221201"
export MYSQL_ADMIN_USER="azureuser"
export MYSQL_ADMIN_PASSWORD="Secret123456"

az mysql flexible-server create \
    --resource-group $RESOURCE_GROUP_NAME \
    --name $MYSQL_NAME \
    --location eastus \
    --admin-user $MYSQL_ADMIN_USER \
    --admin-password $MYSQL_ADMIN_PASSWORD \
    --public-access 0.0.0.0 \
    --tier Burstable \
    --sku-name Standard_B1ms

Utwórz bazę danych za pomocą polecenia az mysql flexible-server db create.

export DATABASE_NAME="contoso"

# create mysql database
az mysql flexible-server db create \
    --resource-group $RESOURCE_GROUP_NAME \
    --server-name $MYSQL_NAME \
    --database-name $DATABASE_NAME

Po zakończeniu wykonywania polecenia powinny zostać wyświetlone dane wyjściowe podobne do następującego przykładu:

Creating database with utf8 charset and utf8_general_ci collation
{
  "charset": "utf8",
  "collation": "utf8_general_ci",
  "id": "/subscriptions/contoso-hashcode/resourceGroups/abc1228rg/providers/Microsoft.DBforMySQL/flexibleServers/mysql20221201/databases/contoso",
  "name": "contoso",
  "resourceGroup": "abc1228rg",
  "systemData": null,
  "type": "Microsoft.DBforMySQL/flexibleServers/databases"
}

Serwer elastyczny PostgreSQL

Utwórz serwer elastyczny za pomocą polecenia az postgres flexible-server create . W tym przykładzie tworzony jest serwer elastyczny o nazwie z postgresql20221223 hasłem Secret123456administratora azureuser i administratora. Zastąp hasło twoimi. Aby uzyskać więcej informacji, zobacz Create an Azure Database for PostgreSQL Flexible Server using Azure CLI (Tworzenie serwera elastycznego usługi Azure Database for PostgreSQL przy użyciu interfejsu wiersza polecenia platformy Azure).

export POSTGRESQL_NAME="postgresql20221223"
export POSTGRESQL_ADMIN_USER="azureuser"
export POSTGRESQL_ADMIN_PASSWORD="Secret123456"

az postgres flexible-server create \
    --resource-group $RESOURCE_GROUP_NAME \
    --name $POSTGRESQL_NAME \
    --location eastus \
    --admin-user $POSTGRESQL_ADMIN_USER \
    --admin-password $POSTGRESQL_ADMIN_PASSWORD \
    --version 14 \
    --public-access 0.0.0.0 \
    --tier Burstable \
    --sku-name Standard_B1ms

Utwórz bazę danych za pomocą polecenia az postgres flexible-server db create.

export DATABASE_NAME="contoso"

# create postgresql database
az postgres flexible-server db create \
    --resource-group $RESOURCE_GROUP_NAME \
    --server-name $POSTGRESQL_NAME \
    --database-name $DATABASE_NAME

Azure SQL Database

Utwórz serwer za pomocą polecenia az sql server create . W tym przykładzie tworzony jest serwer o nazwie z myazuresql20130213 użytkownikiem azureuser administratora i hasłem Secret123456administratora. Zastąp hasło twoimi. Aby uzyskać więcej informacji, zobacz Szybki start: tworzenie pojedynczej bazy danych — Azure SQL Database.

export AZURESQL_SERVER_NAME="myazuresql20130213"
export AZURESQL_ADMIN_USER="azureuser"
export AZURESQL_ADMIN_PASSWORD="Secret123456"

az sql server create \
    --resource-group $RESOURCE_GROUP_NAME \
    --name $AZURESQL_SERVER_NAME \
    --location eastus \
    --admin-user $AZURESQL_ADMIN_USER \
    --admin-password $AZURESQL_ADMIN_PASSWORD

Utwórz bazę danych za pomocą polecenia az sql db create w bezserwerowej warstwie obliczeniowej.

export DATABASE_NAME="mysingledatabase20230213"

az sql db create \
    --resource-group $RESOURCE_GROUP_NAME \
    --server $AZURESQL_SERVER_NAME \
    --name $DATABASE_NAME \
    --sample-name AdventureWorksLT \
    --edition GeneralPurpose \
    --compute-model Serverless \
    --family Gen5 \
    --capacity 2

Konfigurowanie administratora usługi Microsoft Entra w bazie danych

Po utworzeniu bazy danych musisz przygotować ją do obsługi połączeń bez hasła. Połączenie bez hasła wymaga kombinacji tożsamości zarządzanych dla zasobów platformy Azure i uwierzytelniania firmy Microsoft Entra. Aby zapoznać się z omówieniem tożsamości zarządzanych dla zasobów platformy Azure, zobacz Co to są tożsamości zarządzane dla zasobów platformy Azure?

Serwer elastyczny MySQL

Aby uzyskać informacje na temat interakcji serwera elastycznego MySQL z tożsamościami zarządzanymi, zobacz Use Microsoft Entra ID for authentication with MySQL (Używanie identyfikatora Entra firmy Microsoft do uwierzytelniania za pomocą programu MySQL).

Poniższy przykład umożliwia skonfigurowanie bieżącego użytkownika interfejsu wiersza polecenia platformy Azure jako konta administratora firmy Microsoft Entra. Aby włączyć uwierzytelnianie platformy Azure, należy przypisać tożsamość do serwera elastycznego MySQL.

Najpierw utwórz tożsamość zarządzaną za pomocą polecenia az identity create i przypisz tożsamość do serwera MySQL za pomocą polecenia az mysql flexible-server identity assign.

export MYSQL_UMI_NAME="id-mysql-aad-20221205"

# create a User Assigned Managed Identity for MySQL to be used for AAD authentication
az identity create \
    --resource-group $RESOURCE_GROUP_NAME \
    --name $MYSQL_UMI_NAME

## assign the identity to the MySQL server
az mysql flexible-server identity assign \
    --resource-group $RESOURCE_GROUP_NAME \
    --server-name $MYSQL_NAME \
    --identity $MYSQL_UMI_NAME

Następnie ustaw bieżącego użytkownika interfejsu wiersza polecenia platformy Azure jako konto administratora usługi Microsoft Entra za pomocą polecenia az mysql flexible-server ad-admin create.

export CURRENT_USER=$(az account show --query user.name --output tsv)
export CURRENT_USER_OBJECTID=$(az ad signed-in-user show --query id --output tsv)

az mysql flexible-server ad-admin create \
    --resource-group $RESOURCE_GROUP_NAME \
    --server-name $MYSQL_NAME \
    --object-id $CURRENT_USER_OBJECTID \
    --display-name $CURRENT_USER \
    --identity $MYSQL_UMI_NAME

Serwer elastyczny PostgreSQL

Aby uzyskać informacje na temat interakcji serwera elastycznego PostgreSQL z tożsamościami zarządzanymi, zobacz Use Microsoft Entra ID for authentication with Azure Database for PostgreSQL - Flexible Server (Używanie identyfikatora Entra firmy Microsoft do uwierzytelniania za pomocą usługi Azure Database for PostgreSQL — serwer elastyczny). W następnych kilku poleceniach jest używany program PowerShell. Jeśli nie masz jeszcze zainstalowanych Az modułów i Azure AD , zainstaluj je teraz.

Aby zainstalować Az moduł, wykonaj kroki opisane w temacie Instalowanie modułu Azure Az programu PowerShell.

Aby zainstalować AzureAD moduł, wykonaj kroki opisane w temacie AzureAD.

Zaloguj się do platformy Azure i uzyskaj identyfikator dzierżawy przy użyciu następującego polecenia:

Connect-AzAccount

Jeśli chcesz zalogować się do określonej dzierżawy, użyj tego polecenia.

Connect-AzAccount -Tenant <your-tenant-name>.onmicrosoft.com

W obu przypadkach zostanie przekierowana do przeglądarki w celu ukończenia logowania. Dane TenantId wyjściowe powinny być wyświetlane, jak pokazano w poniższym przykładzie.

Account                       SubscriptionName       TenantId                             Environment
-------                       ----------------       --------                             -----------
passwordless-user@contoso.com Contoso subscription   XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX Your Cloud

Użyj następującego polecenia, aby udzielić Azure Database for PostgreSQL - Flexible Server Service Principal dostępu do odczytu dzierżawie, aby zażądać tokenów interfejsu API programu Graph dla zadań weryfikacji entra firmy Microsoft. Ta operacja używa poleceń programu PowerShell. Wprowadź identyfikator dzierżawy uzyskany z poprzedniego polecenia. Aby uzyskać więcej informacji, zobacz Use Microsoft Entra authentication with Azure Database for PostgreSQL - Flexible Server (Korzystanie z uwierzytelniania entra firmy Microsoft w usłudze Azure Database for PostgreSQL — serwer elastyczny).

Connect-AzureAD -TenantId <your-tenant-ID>

Pomyślne dane wyjściowe wyglądają podobnie do następującego przykładu:

Account                       Environment TenantId                             TenantDomain                       AccountType
-------                       ----------- --------                             ------------                       -----------
passwordless-user@contoso.com AzureCloud  XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX <your-tenant-name>.onmicrosoft.com User

Upewnij się, że dzierżawa platformy Azure ma jednostkę usługi dla serwera elastycznego usługi Azure Database for PostgreSQL. Tę akcję należy wykonać tylko raz dla dzierżawy platformy Azure. Najpierw sprawdź istnienie jednostki usługi w dzierżawie przy użyciu następującego polecenia. ObjectId Określona wartość dotyczy jednostki usługi Azure Database for PostgreSQL — serwer elastyczny.

Get-AzureADServicePrincipal -ObjectId 0049e2e2-fcea-4bc4-af90-bdb29a9bbe98

Jeśli jednostka usługi istnieje, zobaczysz następujące dane wyjściowe.

ObjectId                             AppId                                DisplayName
--------                             -----                                -----------
0049e2e2-fcea-4bc4-af90-bdb29a9bbe98 5657e26c-cc92-45d9-bc47-9da6cfdb4ed9 Azure OSSRDBMS PostgreSQL Flexible Server

W przeciwnym razie należy utworzyć jednostkę usługi za pomocą następującego polecenia. AppId Konkretną wartością jest serwer elastyczny usługi Azure Database for PostgreSQL.

New-AzureADServicePrincipal -AppId 5657e26c-cc92-45d9-bc47-9da6cfdb4ed9

Wykonaj poniższe kroki, aby kontynuować konfigurację w witrynie Azure Portal.

1. Zaloguj się do witryny Azure Portal w przeglądarce. postgresql20221223 Wyszukaj ciąg , a następnie wybierz go.
2. W sekcji Zabezpieczenia wybierz pozycję Uwierzytelnianie, a następnie wybierz pozycję Uwierzytelnianie PostgreSQL i Microsoft Entra.
3. Wybierz pozycję Zapisz, a następnie pozycję Kontynuuj. Ukończenie wdrożenia trwa kilka minut. Przed kontynuowaniem zaczekaj na ukończenie wdrażania.
4. Wróć do zasobu postgresql20221223, a następnie w sekcji Zabezpieczenia wybierz ponownie pozycję Uwierzytelnianie .
5. Na stronie znajdują się Administracja istratory firmy Microsoft (Microsoft Entra Administracja s). Wybierz pozycję Dodaj Administracja firmy Microsoft, wybierz konto, którego obecnie używasz w witrynie Azure Portal, a następnie wybierz pozycję Wybierz.
6. Wybierz pozycję Zapisz. Utworzenie Administracja Microsoft Entra Administracja trwa kilka sekund, jak pokazano na poniższym zrzucie ekranu.

Azure SQL Database

Aby uzyskać informacje na temat interakcji programu Azure SQL Server z tożsamościami zarządzanymi, zobacz Połączenie przy użyciu uwierzytelniania firmy Microsoft Entra.

Poniższy przykład umożliwia skonfigurowanie konta administratora usługi Microsoft Entra na serwerze Azure SQL Server z poziomu portalu.

1. W witrynie Azure Portal otwórz wystąpienie myazuresql20130213programu Azure SQL Server .

2. Wybierz pozycję Ustawienia, a następnie wybierz pozycję Microsoft Entra ID. Na stronie Microsoft Entra ID wybierz pozycję Ustaw administratora.

   

3. Na stronie Dodawanie administratora wyszukaj użytkownika, wybierz użytkownika lub grupę, aby być administratorem, a następnie wybierz pozycję Wybierz.

4. W górnej części strony Identyfikator entra firmy Microsoft wybierz pozycję Zapisz. W przypadku użytkowników i grup firmy Microsoft identyfikator obiektu jest wyświetlany obok nazwy administratora.

5. Proces zmiany administratora może potrwać kilka minut. Następnie nowy administrator pojawi się w polu Microsoft Entra ID .

Tworzenie tożsamości zarządzanej przypisanej przez użytkownika

Następnie w interfejsie wiersza polecenia platformy Azure utwórz tożsamość w ramach subskrypcji przy użyciu polecenia az identity create . Ta tożsamość zarządzana służy do nawiązywania połączenia z bazą danych.

az identity create \
    --resource-group ${RESOURCE_GROUP_NAME} \
    --name myManagedIdentity

Aby skonfigurować tożsamość w poniższych krokach, użyj polecenia az identity show , aby zapisać identyfikator klienta tożsamości w zmiennej powłoki.

# Get client ID of the user-assigned identity
export CLIENT_ID=$(az identity show \
    --resource-group ${RESOURCE_GROUP_NAME} \
    --name myManagedIdentity \
    --query clientId \
    --output tsv)

Tworzenie użytkownika bazy danych dla tożsamości zarządzanej

Serwer elastyczny MySQL

Teraz połącz się jako użytkownik administratora firmy Microsoft Entra z bazą danych MySQL i utwórz użytkownika MySQL dla swojej tożsamości zarządzanej.

Najpierw należy utworzyć regułę zapory w celu uzyskania dostępu do serwera MySQL z poziomu klienta interfejsu wiersza polecenia. Uruchom następujące polecenia, aby uzyskać bieżący adres IP.

export MY_IP=$(curl http://whatismyip.akamai.com)

Jeśli pracujesz nad Podsystem Windows dla systemu Linux (WSL) z włączoną siecią VPN, następujące polecenie może zwrócić nieprawidłowy adres IPv4. Jednym ze sposobów uzyskania adresu IPv4 jest wizyta whatismyipaddress.com. W każdym razie ustaw zmienną środowiskową MY_IP jako adres IPv4, z którego chcesz nawiązać połączenie z bazą danych.

Utwórz tymczasową regułę zapory za pomocą polecenia az mysql flexible-server firewall-rule create.

az mysql flexible-server firewall-rule create \
    --resource-group $RESOURCE_GROUP_NAME \
    --name $MYSQL_NAME \
    --rule-name AllowCurrentMachineToConnect \
    --start-ip-address ${MY_IP} \
    --end-ip-address ${MY_IP}

Następnie przygotuj plik .sql , aby utworzyć użytkownika bazy danych dla tożsamości zarządzanej. Poniższy przykład dodaje użytkownika z nazwą identity-contoso logowania i przyznaje użytkownikowi uprawnienia dostępu do bazy danych contoso.

export IDENTITY_LOGIN_NAME="identity-contoso"

cat <<EOF >createuser.sql
SET aad_auth_validate_oids_in_tenant = OFF;
DROP USER IF EXISTS '${IDENTITY_LOGIN_NAME}'@'%';
CREATE AADUSER '${IDENTITY_LOGIN_NAME}' IDENTIFIED BY '${CLIENT_ID}';
GRANT ALL PRIVILEGES ON ${DATABASE_NAME}.* TO '${IDENTITY_LOGIN_NAME}'@'%';
FLUSH privileges;
EOF

Wykonaj plik .sql za pomocą polecenia az mysql flexible-server execute. Token dostępu można uzyskać za pomocą polecenia az account get-access-token.

export RDBMS_ACCESS_TOKEN=$(az account get-access-token \
    --resource-type oss-rdbms \
    --query accessToken \
    --output tsv) 

az mysql flexible-server execute \
    --name ${MYSQL_NAME} \
    --admin-user ${CURRENT_USER} \
    --admin-password ${RDBMS_ACCESS_TOKEN} \
    --file-path "createuser.sql"

Może zostać wyświetlony monit o zainstalowanie rdbms-connect rozszerzenia, jak pokazano w poniższych danych wyjściowych. Naciśnij klawisz y , aby kontynuować. Jeśli nie pracujesz z użytkownikiem root , musisz wprowadzić hasło użytkownika.

The command requires the extension rdbms-connect. Do you want to install it now? The command will continue to run after the extension is installed. (Y/n): y
Run 'az config set extension.use_dynamic_install=yes_without_prompt' to allow installing extensions without prompt.
This extension depends on gcc, libpq-dev, python3-dev and they will be installed first.
[sudo] password for user:

Jeśli plik .sql zostanie wykonany pomyślnie, znajdziesz dane wyjściowe podobne do następującego przykładu:

Running *.sql* file 'createuser.sql'...
Successfully executed the file.
Closed the connection to mysql20221201

Tożsamość myManagedIdentity zarządzana ma teraz dostęp do bazy danych podczas uwierzytelniania przy użyciu nazwy użytkownika identity-contoso.

Jeśli nie chcesz już uzyskiwać dostępu do serwera z tego adresu IP, możesz usunąć regułę zapory przy użyciu następującego polecenia.

az mysql flexible-server firewall-rule delete \
    --resource-group $RESOURCE_GROUP_NAME \
    --name $MYSQL_NAME \
    --rule-name AllowCurrentMachineToConnect \
    --yes

Na koniec użyj następującego polecenia, aby uzyskać parametry połączenia, które są używane w następnej sekcji.

export CONNECTION_STRING="jdbc:mysql://${MYSQL_NAME}.mysql.database.azure.com:3306/${DATABASE_NAME}?useSSL=true"
echo ${CONNECTION_STRING}

Serwer elastyczny PostgreSQL

Teraz połącz się jako użytkownik administratora firmy Microsoft Entra z bazą danych PostgreSQL i utwórz użytkownika postgreSQL dla swojej tożsamości zarządzanej.

W tym przykładzie użyto usługi Azure Cloud Shell do nawiązania połączenia z bazą danych. Aby utworzyć użytkownika bazy danych, wykonaj następujące kroki.

1. Zaloguj się do witryny Azure Portal w przeglądarce. postgresql20221223 Wyszukaj i otwórz serwer bazy danych.

2. Wybierz Przegląd. Znajdź przycisk Połączenie. Wybierz Połączenie, a następnie wybierz postgres bazę danych. Upewnij się, że używasz odpowiedniej bazy danych. Po nawiązaniu połączenia z bazą danych zostanie wyświetlona usługa Azure Cloud Shell.

3. Wprowadź następujące polecenie, aby utworzyć użytkownika dla tożsamości myManagedIdentityzarządzanej:

   select * from pgaadauth_create_principal('myManagedIdentity', false, false);
   

   Zostanie wyświetlony komunikat z informacją Created role for "myManagedIdentity", co oznacza, że użytkownik został pomyślnie utworzony.

4. Wyświetl listę wszystkich użytkowników firmy Microsoft Entra przy użyciu następującego polecenia:

   select * from pgaadauth_list_principals(false);
   

5. Użyj następujących poleceń, aby udzielić myManagedIdentity dostępu do bazy danych contoso:

   GRANT ALL PRIVILEGES ON DATABASE "contoso" TO "myManagedIdentity";
   GRANT ALL PRIVILEGES ON ALL TABLES IN SCHEMA public TO "myManagedIdentity";
   GRANT ALL PRIVILEGES ON ALL SEQUENCES IN SCHEMA public TO "myManagedIdentity";
   

   Dane wyjściowe są podobne do poniższej zawartości.

   psql 'host=postgresql20221223.postgres.database.azure.com port=5432 dbname=postgres user=test@contoso.com password='$(az account get-access-token --resource-type oss-rdbms --output tsv --query accessToken)' sslmode=require'
   psql (14.5)
   SSL connection (protocol: TLSv1.3, cipher: TLS_AES_256_GCM_SHA384, bits: 256, compression: off)
   Type "help" for help.
   
   postgres=> select * from pgaadauth_create_principal('myManagedIdentity', false, false);
       pgaadauth_create_principal
   --------------------------------------
   Created role for "myManagedIdentity"
   (1 row)
   
   postgres=> select * from pgaadauth_list_principals(false);
       rolname       | principaltype |               objectid               |               tenantid               | ismfa | isadmin
   ------------------+---------------+--------------------------------------+--------------------------------------+-------+---------
   test@contoso.com  | user          | XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX | XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX |     0 |       1
   myManagedIdentity | service       | XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX | XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX |     0 |       0
   (2 rows)
   postgres=> GRANT ALL PRIVILEGES ON DATABASE "contoso" TO "myManagedIdentity";
   WARNING:  no privileges were granted for "contoso"
   GRANT
   postgres=> GRANT ALL PRIVILEGES ON ALL TABLES IN SCHEMA public TO "myManagedIdentity";
   GRANT
   postgres=> GRANT ALL PRIVILEGES ON ALL SEQUENCES IN SCHEMA public TO "myManagedIdentity";
   GRANT
   postgres=>
   

6. Zamknij okno usługi Azure Cloud Shell.

7. Na koniec ponownie w powłoce interfejsu wiersza polecenia platformy Azure, którego używasz, użyj następującego polecenia, aby uzyskać parametry połączenia, które są używane w następnej sekcji.

   export CONNECTION_STRING="jdbc:postgresql://${POSTGRESQL_NAME}.postgres.database.azure.com:5432/${DATABASE_NAME}?sslmode=require"
   echo ${CONNECTION_STRING}
   

Azure SQL Database

Teraz połącz się jako użytkownik administratora firmy Microsoft Entra z bazą danych Azure SQL Database w witrynie Azure Portal i utwórz użytkownika dla swojej tożsamości zarządzanej.

Najpierw utwórz regułę zapory, aby uzyskać dostęp do serwera Azure SQL z poziomu portalu, jak pokazano w poniższych krokach.

1. W witrynie Azure Portal otwórz wystąpienie myazuresql20130213programu Azure SQL Server .
2. Wybierz pozycję Zabezpieczenia, a następnie wybierz pozycję Sieć.
3. W obszarze Reguły zapory wybierz pozycję Dodaj adres IP klienta IPV4.
4. W obszarze Wyjątki wybierz pozycję Zezwalaj usługom i zasobom platformy Azure na dostęp do tego serwera.
5. Wybierz pozycję Zapisz.

Po utworzeniu reguły zapory możesz uzyskać dostęp do serwera Azure SQL z poziomu portalu. Aby utworzyć użytkownika bazy danych, wykonaj następujące kroki.

1. Wybierz pozycję Ustawienia, a następnie wybierz pozycję Bazy danych SQL. Wybierz opcję mysingledatabase20230213.

2. Wybierz pozycję Edytor zapytań. Na stronie Witamy w usłudze SQL Database Edytor Power Query w obszarze Uwierzytelnianie usługi Active Directory znajdź komunikat podobny do "Zalogowany jakouser@contoso.com".

3. Wybierz pozycję Kontynuuj jako user@contoso.com, gdzie user to nazwa konta administratora usługi AD.

4. Po zalogowaniu w edytorze Query 1 uruchom następujące polecenia, aby utworzyć użytkownika bazy danych dla tożsamości myManagedIdentityzarządzanej.

   CREATE USER "myManagedIdentity" FROM EXTERNAL PROVIDER
   ALTER ROLE db_datareader ADD MEMBER "myManagedIdentity";
   ALTER ROLE db_datawriter ADD MEMBER "myManagedIdentity";
   ALTER ROLE db_ddladmin ADD MEMBER "myManagedIdentity";
   GO
   

5. W edytorze Query 1 wybierz pozycję Uruchom , aby uruchomić polecenia SQL.

6. Jeśli polecenia zakończą się pomyślnie, możesz znaleźć komunikat "Zapytanie powiodło się: wiersze, których dotyczy problem: 0".

Na koniec użyj następującego polecenia, aby uzyskać parametry połączenia, które są używane w następnej sekcji.

export CONNECTION_STRING="jdbc:sqlserver://myazuresql20130213.database.windows.net:1433;database=mysingledatabase20230213;encrypt=true;trustServerCertificate=false;hostNameInCertificate=*.database.windows.net;loginTimeout=30;"
echo ${CONNECTION_STRING}

Konfigurowanie połączenia bez hasła bazy danych dla serwera Oracle WebLogic na maszynach wirtualnych platformy Azure

W tej sekcji pokazano, jak skonfigurować połączenie bez hasła ze źródłem danych przy użyciu ofert witryny Azure Marketplace dla serwera Oracle WebLogic.

Najpierw rozpocznij proces wdrażania oferty. Poniższe oferty obsługują połączenia bez hasła z bazą danych:

• Oracle WebLogic Server w usłudze Azure Kubernetes Service
  • Szybki start
• Klaster serwera Oracle WebLogic na maszynach wirtualnych
  • Szybki start
• Oracle WebLogic Server z serwerem Administracja na maszynach wirtualnych
  • Szybki start
• Klaster dynamiczny serwera Oracle WebLogic na maszynach wirtualnych
  • Szybki start

Wypełnij wymagane informacje w okienku Podstawy i inne okienka , jeśli chcesz włączyć te funkcje. Po dotarciu do okienka Baza danych wypełnij konfigurację bez hasła, jak pokazano w poniższych krokach.

Serwer elastyczny MySQL

1. W przypadku Połączenie do bazy danych?, wybierz pozycję Tak.
2. W obszarze ustawienia Połączenie ion w polu Wybierz typ bazy danych otwórz menu rozwijane, a następnie wybierz pozycję MySQL (z obsługą połączenia bez hasła).
3. W polu Nazwa JNDI wprowadź wartość testpasswordordless lub oczekiwaną wartość.
4. W polu DataSource Połączenie ion String wprowadź parametry połączenia uzyskane w ostatniej sekcji.
5. W polu Nazwa użytkownika bazy danych wprowadź nazwę użytkownika bazy danych tożsamości zarządzanej ${IDENTITY_LOGIN_NAME}(wartość ). W tym przykładzie wartość to identity-contoso.
6. Wybierz pozycję Użyj połączenia źródła danych bez hasła.
7. W polu Tożsamość zarządzana przypisana przez użytkownika wybierz wcześniej utworzoną tożsamość zarządzaną. W tym przykładzie jego nazwa to myManagedIdentity.

Sekcja ustawień Połączenie ion powinna wyglądać podobnie jak na poniższym zrzucie ekranu, który używa klastra Oracle WebLogic Server na maszynach wirtualnych jako przykładu.

Serwer elastyczny PostgreSQL

1. W przypadku Połączenie do bazy danych?, wybierz pozycję Tak.
2. W obszarze Połączenie ion settings (Ustawienia Połączenie ion) w polu Wybierz typ bazy danych otwórz menu rozwijane, a następnie wybierz pozycję Azure Database for PostgreSQL (z obsługą połączenia bez hasła).
3. W polu Nazwa JNDI wprowadź wartość testpasswordordless lub oczekiwaną wartość.
4. W polu DataSource Połączenie ion String wprowadź parametry połączenia uzyskane w ostatniej sekcji.
5. W polu Nazwa użytkownika bazy danych wprowadź nazwę tożsamości zarządzanej. W tym przykładzie wartość to myManagedIdentity.
6. Wybierz pozycję Użyj połączenia źródła danych bez hasła.
7. W polu Tożsamość zarządzana przypisana przez użytkownika wybierz tożsamość zarządzaną utworzoną w poprzednim kroku. W tym przykładzie jego nazwa to myManagedIdentity.
8. Wybierz Dodaj.

Sekcja ustawień Połączenie ion powinna wyglądać podobnie jak na poniższym zrzucie ekranu, który używa klastra Oracle WebLogic Server na maszynach wirtualnych jako przykładu.

Azure SQL Database

1. W przypadku Połączenie do bazy danych?, wybierz pozycję Tak.
2. W obszarze ustawienia Połączenie ion w polu Wybierz typ bazy danych otwórz menu rozwijane, a następnie wybierz pozycję Azure SQL (z obsługą połączenia bez hasła).
3. W polu Nazwa JNDI wprowadź wartość testpasswordordless lub oczekiwaną wartość.
4. W polu DataSource Połączenie ion String wprowadź parametry połączenia uzyskane w ostatniej sekcji.
5. Wybierz pozycję Użyj połączenia źródła danych bez hasła.
6. W polu Tożsamość zarządzana przypisana przez użytkownika wybierz tożsamość zarządzaną utworzoną w poprzednim kroku. W tym przykładzie jego nazwa to myManagedIdentity.
7. Wybierz Dodaj.

Sekcja ustawień Połączenie ion powinna wyglądać podobnie jak na poniższym zrzucie ekranu, który używa klastra Oracle WebLogic Server na maszynach wirtualnych jako przykładu.

Zakończono konfigurowanie połączenia bez hasła. Możesz kontynuować wypełnianie następujących okienk lub wybrać pozycję Przejrzyj i utwórz, a następnie pozycję Utwórz , aby wdrożyć ofertę.

Weryfikowanie połączenia z bazą danych

Połączenie z bazą danych zostało pomyślnie skonfigurowane, jeśli wdrożenie oferty zakończy się bez błędu.

Kontynuuj wykonywanie klastra Oracle WebLogic Server na maszynach wirtualnych jako przykład po zakończeniu wdrażania, wykonaj następujące kroki w witrynie Azure Portal, aby znaleźć adres URL konsoli Administracja.

1. Znajdź grupę zasobów, w której wdrożono usługę WLS.
2. W obszarze Ustawienia wybierz pozycję Wdrożenia.
3. Wybierz wdrożenie z najdłuższym czasem trwania. To wdrożenie powinno znajdować się w dolnej części listy.
4. Wybierz pozycję Dane wyjściowe.
5. Adres URL konsoli webLogic Administracja istration jest wartością danych wyjściowych adminConsoleUrl.
6. Skopiuj wartość zmiennej adminConsoleUrlwyjściowej .
7. Wklej wartość na pasku adresu przeglądarki i naciśnij klawisz Enter, aby otworzyć stronę logowania w konsoli webLogic Administracja istration.

Wykonaj poniższe kroki, aby zweryfikować połączenie z bazą danych.

1. Zaloguj się do konsoli Administracja istration WebLogic przy użyciu nazwy użytkownika i hasła podanego w okienku Podstawy.

2. W obszarze Struktura domeny wybierz pozycję Usługi, Źródła danych, a następnie testpasswordless.

3. Wybierz kartę Monitorowanie, na której jest uruchomiony stan źródła danych, jak pokazano na poniższym zrzucie ekranu.

   Serwer elastyczny MySQL

   

   Serwer elastyczny PostgreSQL

   

   Azure SQL Database

   

4. Wybierz kartę Testowanie , a następnie wybierz przycisk radiowy obok żądanego serwera.

5. Wybierz pozycję Testuj źródło danych. Powinien zostać wyświetlony komunikat informujący o pomyślnym teście, jak pokazano na poniższym zrzucie ekranu.

   

Czyszczenie zasobów

Jeśli te zasoby nie są potrzebne, możesz je usunąć, wykonując następujące polecenia:

az group delete --name ${RESOURCE_GROUP_NAME}
az group delete --name <resource-group-name-that-deploys-the-offer>

Następne kroki

Dowiedz się więcej na temat uruchamiania zabezpieczeń WLS na usłudze AKS lub maszynach wirtualnych, korzystając z następujących linków:

Usługa WLS w usłudze AKS

Usługa WLS na maszynach wirtualnych

Przykłady Połączenie ions bez hasła dla aplikacji Java