Konfigurowanie połączeń bez hasła między wieloma aplikacjami i usługami platformy Azure

Aplikacje często wymagają bezpiecznych połączeń między wieloma usługami platformy Azure jednocześnie. Na przykład wystąpienie usługi aplikacja systemu Azure przedsiębiorstwa może łączyć się z kilkoma różnymi kontami magazynu, wystąpieniem bazy danych Azure SQL Database, magistralą usług i nie tylko.

Tożsamości zarządzane to zalecana opcja uwierzytelniania dla bezpiecznych połączeń bez hasła między zasobami platformy Azure. Deweloperzy nie muszą ręcznie śledzić wielu różnych wpisów tajnych dla tożsamości zarządzanych i zarządzać nimi, ponieważ większość tych zadań jest obsługiwana wewnętrznie przez platformę Azure. W tym samouczku przedstawiono sposób zarządzania połączeniami między wieloma usługami przy użyciu tożsamości zarządzanych i biblioteki klienta tożsamości platformy Azure.

Porównanie typów tożsamości zarządzanych

Platforma Azure udostępnia następujące typy tożsamości zarządzanych:

• Tożsamości zarządzane przypisane przez system są bezpośrednio powiązane z pojedynczym zasobem platformy Azure. Po włączeniu tożsamości zarządzanej przypisanej przez system w usłudze platforma Azure utworzy połączoną tożsamość i będzie obsługiwać zadania administracyjne dla tej tożsamości wewnętrznie. Po usunięciu zasobu platformy Azure tożsamość zostanie również usunięta.
• Tożsamości zarządzane przypisane przez użytkownika to niezależne tożsamości utworzone przez administratora i mogą być skojarzone z co najmniej jednym zasobem platformy Azure. Cykl życia tożsamości jest niezależny od tych zasobów.

Więcej informacji na temat najlepszych rozwiązań i sposobu używania tożsamości przypisanych przez system w porównaniu z tożsamościami przypisanymi przez użytkownika można przeczytać w zaleceniach dotyczących najlepszych rozwiązań dotyczących tożsamości.

Eksplorowanie domyślneAzureCredential

Tożsamości zarządzane są zwykle implementowane w kodzie aplikacji za pośrednictwem klasy wywoływanej DefaultAzureCredentialAzure.Identity z biblioteki klienta. DefaultAzureCredential obsługuje wiele metod uwierzytelniania i automatycznie określa, które powinny być używane w czasie wykonywania. Więcej informacji na temat tego podejścia można uzyskać w temacie DefaultAzureCredential overview (Omówienie domyślneAzureCredential).

Połączenie hostowaną aplikację platformy Azure do wielu usług platformy Azure

Masz za zadanie połączenie istniejącej aplikacji z wieloma usługami i bazami danych platformy Azure przy użyciu połączeń bez hasła. Aplikacja jest podstawowym interfejsem API sieci Web ASP.NET hostowanym w usłudze aplikacja systemu Azure Service, ale poniższe kroki dotyczą również innych środowisk hostingu platformy Azure, takich jak Azure Spring Apps, Virtual Machines, Container Apps i AKS.

Ten samouczek dotyczy następujących architektur, choć można go dostosować do wielu innych scenariuszy, a także poprzez minimalne zmiany konfiguracji.

W poniższych krokach pokazano, jak skonfigurować aplikację do używania tożsamości zarządzanej przypisanej przez system i lokalnego konta programistycznego w celu nawiązania połączenia z wieloma usługami platformy Azure.

Tworzenie tożsamości zarządzanej przypisanej przez system

1. W witrynie Azure Portal przejdź do hostowanej aplikacji, którą chcesz połączyć z innymi usługami.

2. Na stronie przeglądu usługi wybierz pozycję Tożsamość.

3. Przełącz ustawienie Stan na Włączone , aby włączyć tożsamość zarządzaną przypisaną przez system dla usługi.

   

Przypisywanie ról do tożsamości zarządzanej dla każdej połączonej usługi

1. Przejdź do strony przeglądu konta magazynu, do którego chcesz udzielić dostępu do tożsamości.

2. Wybierz pozycję Kontrola dostępu (Zarządzanie dostępem i tożsamościami) w obszarze nawigacji konta magazynu.

3. Wybierz pozycję + Dodaj , a następnie dodaj przypisanie roli.

   

4. W polu wyszukiwania Rola wyszukaj pozycję Współautor danych obiektu blob usługi Storage, który przyznaje uprawnienia do wykonywania operacji odczytu i zapisu na danych obiektów blob. Możesz przypisać dowolną rolę odpowiednią dla danego przypadku użycia. Wybierz współautora danych obiektu blob usługi Storage z listy, a następnie wybierz pozycję Dalej.

5. Na ekranie Dodawanie przypisania roli dla opcji Przypisz dostęp do wybierz pozycję Tożsamość zarządzana. Następnie wybierz pozycję +Wybierz członków.

6. W oknie wysuwaym wyszukaj utworzoną tożsamość zarządzaną, wprowadzając nazwę usługi app Service. Wybierz tożsamość przypisaną przez system, a następnie wybierz pozycję Wybierz , aby zamknąć menu wysuwane.

   

7. Wybierz pozycję Dalej kilka razy, dopóki nie będzie można wybrać pozycji Przejrzyj i przypisz , aby zakończyć przypisanie roli.

8. Powtórz ten proces dla innych usług, z którymi chcesz nawiązać połączenie.

Zagadnienia dotyczące programowania lokalnego

Możesz również włączyć dostęp do zasobów platformy Azure na potrzeby programowania lokalnego, przypisując role do konta użytkownika w taki sam sposób, jak przypisano role do tożsamości zarządzanej.

1. Po przypisaniu roli Współautor danych obiektu blob usługi Storage do tożsamości zarządzanej w obszarze Przypisz dostęp tym razem wybierz pozycję Użytkownik, grupa lub jednostka usługi. Wybierz pozycję + Wybierz członków , aby ponownie otworzyć menu wysuwane.

2. Wyszukaj konto user@domain lub grupę zabezpieczeń Microsoft Entra, do której chcesz udzielić dostępu za pomocą adresu e-mail lub nazwy, a następnie wybierz je. Powinno to być to samo konto, za pomocą którego logujesz się do lokalnego narzędzia programistycznego, na przykład programu Visual Studio lub interfejsu wiersza polecenia platformy Azure.

Uwaga

Te role można również przypisać do grupy zabezpieczeń firmy Microsoft Entra, jeśli pracujesz nad zespołem z wieloma deweloperami. Następnie możesz umieścić dowolnego dewelopera w tej grupie, który potrzebuje dostępu do tworzenia aplikacji lokalnie.

Implementowanie kodu aplikacji

C#

Wewnątrz projektu dodaj odwołanie do Azure.Identity pakietu NuGet. Ta biblioteka zawiera wszystkie jednostki niezbędne do zaimplementowania DefaultAzureCredentialprogramu . Możesz również dodać inne biblioteki platformy Azure, które są istotne dla aplikacji. W tym przykładzie Azure.Storage.Blobs pakiety i Azure.KeyVault.Keys są dodawane w celu nawiązania połączenia z usługą Blob Storage i usługą Key Vault.

dotnet add package Azure.Identity
dotnet add package Azure.Storage.Blobs
dotnet add package Azure.KeyVault.Keys

W górnej części Program.cs pliku dodaj następujące instrukcje using:

using Azure.Identity;
using Azure.Storage.Blobs;
using Azure.Security.KeyVault.Keys;

Program.cs W pliku kodu projektu utwórz wystąpienia niezbędnych usług, z którymi aplikacja będzie się łączyć. W poniższych przykładach nawiąż połączenie z usługą Blob Storage i usługą Service Bus przy użyciu odpowiednich klas zestawu SDK.

var blobServiceClient = new BlobServiceClient(
    new Uri("https://<your-storage-account>.blob.core.windows.net"),
    new DefaultAzureCredential(credOptions));

var serviceBusClient = new ServiceBusClient("<your-namespace>", new DefaultAzureCredential());
var sender = serviceBusClient.CreateSender("producttracking");

Java

Wewnątrz projektu dodaj azure-identity zależność do pliku pom.xml . Ta biblioteka zawiera wszystkie jednostki niezbędne do zaimplementowania DefaultAzureCredentialprogramu . Możesz również dodać inne zależności platformy Azure, które są istotne dla aplikacji. W tym przykładzie azure-storage-blob dodawane są zależności i azure-messaging-servicebus w celu nawiązania połączenia z usługą Blob Storage i usługą Key Vault.

<dependencyManagement>
  <dependencies>
    <dependency>
      <groupId>com.azure</groupId>
      <artifactId>azure-sdk-bom</artifactId>
      <version>1.2.5</version>
      <type>pom</type>
      <scope>import</scope>
    </dependency>
  </dependencies>
</dependencyManagement>
<dependencies>
  <dependency>
    <groupId>com.azure</groupId>
    <artifactId>azure-identity</artifactId>
  </dependency>
  <dependency>
    <groupId>com.azure</groupId>
    <artifactId>azure-storage-blob</artifactId>
  </dependency>
  <dependency>
    <groupId>com.azure</groupId>
    <artifactId>azure-messaging-servicebus</artifactId>
  </dependency>
</dependencies>

W kodzie projektu utwórz wystąpienia niezbędnych usług, z którymi aplikacja będzie się łączyć. W poniższych przykładach nawiąż połączenie z usługą Blob Storage i usługą Service Bus przy użyciu odpowiednich klas zestawu SDK.

class Demo {

    public static void main(String[] args) {

        DefaultAzureCredential defaultAzureCredential = new DefaultAzureCredentialBuilder().build();

        BlobServiceClient blobServiceClient = new BlobServiceClientBuilder()
            .endpoint("https://<your-storage-account>.blob.core.windows.net")
            .credential(defaultAzureCredential)
            .buildClient();

        ServiceBusClientBuilder clientBuilder = new ServiceBusClientBuilder().credential(defaultAzureCredential);
        ServiceBusSenderClient serviceBusSenderClient = clientBuilder.sender()
                                                                     .queueName("producttracking")
                                                                     .buildClient();
    }

}

Spring

W projekcie wystarczy dodać tylko używane zależności usług. W tym przykładzie spring-cloud-azure-starter-storage-blob dodawane są zależności i spring-cloud-azure-starter-servicebus w celu nawiązania połączenia z usługą Blob Storage i usługą Key Vault.

<dependencyManagement>
  <dependencies>
    <dependency>
      <groupId>com.azure.spring</groupId>
      <artifactId>spring-cloud-azure-dependencies</artifactId>
      <version>4.5.0</version>
      <type>pom</type>
      <scope>import</scope>
    </dependency>
  </dependencies>
</dependencyManagement>
<dependencies>
  <dependency>
    <groupId>com.azure.spring</groupId>
    <artifactId>spring-cloud-azure-starter-storage-blob</artifactId>
  </dependency>
  <dependency>
    <groupId>com.azure.spring</groupId>
    <artifactId>spring-cloud-azure-starter-servicebus</artifactId>
  </dependency>
</dependencies>

W kodzie projektu utwórz wystąpienia niezbędnych usług, z którymi aplikacja będzie się łączyć. W poniższych przykładach nawiąż połączenie z usługą Blob Storage i usługą Service Bus przy użyciu odpowiednich klas zestawu SDK.

spring:
  cloud:
    azure:
      servicebus:
        namespace: <service-bus-name>
        entity-name: <service-bus-entity-name>
        entity-type: <service-bus-entity-type>
      storage:
        blob:
          account-name: <storage-account-name>

@Service
public class ExampleService {

    @Autowired
    private BlobServiceClient blobServiceClient;

    @Autowired
    private ServiceBusSenderClient serviceBusSenderClient;

}

JavaScript

1. Wewnątrz projektu użyj narzędzia npm , aby dodać odwołanie do @azure/identity pakietu. Ta biblioteka zawiera wszystkie jednostki niezbędne do zaimplementowania DefaultAzureCredentialprogramu . Zainstaluj wszystkie inne biblioteki zestawu Azure SDK, które są istotne dla aplikacji.

   npm install --save @azure/identity @azure/storage-blob @azure/keyvault-keys
   

2. W górnej części index.js pliku dodaj następujące import instrukcje, aby zaimportować niezbędne klasy klienta dla usług, z którymi aplikacja będzie się łączyć:

   import { DefaultAzureCredential } from "@azure/identity";
   import { BlobServiceClient } from "@azure/storage-blob";
   import { KeyClient } from "@azure/keyvault-keys";
   

3. index.js W pliku utwórz obiekty klienta dla usług platformy Azure, z którymi aplikacja będzie się łączyć. W poniższych przykładach nawiąż połączenie z usługą Blob Storage i usługą Key Vault przy użyciu odpowiednich klas zestawu SDK.

   // Azure resource names
   const storageAccount = process.env.AZURE_STORAGE_ACCOUNT_NAME;
   const keyVaultName = process.env.AZURE_KEYVAULT_NAME;
   
   // Create client for Blob Storage using managed identity
   const blobServiceClient = new BlobServiceClient(
     `https://${storageAccount}.blob.core.windows.net`,
     new DefaultAzureCredential()
   );
   
   // Create client for Key Vault using managed identity
   const keyClient = new KeyClient(`https://${keyVaultName}.vault.azure.net`, new DefaultAzureCredential());
   
   // Create a new key in Key Vault
   const result = await keyClient.createKey(keyVaultName, "RSA");
   

Gdy ten kod aplikacji zostanie uruchomiony lokalnie, DefaultAzureCredential przeszuka łańcuch poświadczeń pod kątem pierwszych dostępnych poświadczeń. Jeśli wartość Managed_Identity_Client_ID ma wartość null lokalnie, automatycznie użyje poświadczeń z lokalnego interfejsu wiersza polecenia platformy Azure lub logowania programu Visual Studio. Więcej informacji na temat tego procesu można uzyskać w temacie Omówienie biblioteki tożsamości platformy Azure.

Po wdrożeniu aplikacji na platformie Azure DefaultAzureCredential automatycznie pobierze zmienną Managed_Identity_Client_ID ze środowiska usługi App Service. Ta wartość staje się dostępna, gdy tożsamość zarządzana jest skojarzona z aplikacją.

Ten ogólny proces gwarantuje, że aplikacja będzie mogła działać bezpiecznie lokalnie i na platformie Azure bez konieczności wprowadzania zmian w kodzie.

Połączenie wielu aplikacji przy użyciu wielu tożsamości zarządzanych

Mimo że aplikacje w poprzednim przykładzie wszystkie współużytkują te same wymagania dotyczące dostępu do usług, rzeczywiste środowiska są często bardziej szczegółowe. Rozważmy scenariusz, w którym wiele aplikacji łączy się z tymi samymi kontami magazynu, ale dwie aplikacje uzyskują również dostęp do różnych usług lub baz danych.

Aby skonfigurować tę konfigurację w kodzie, upewnij się, że aplikacja rejestruje oddzielne usługi w celu nawiązania połączenia z każdym kontem magazynu lub bazą danych. Pamiętaj, aby ściągnąć poprawne identyfikatory klienta tożsamości zarządzanej dla każdej usługi podczas konfigurowania programu DefaultAzureCredential. Poniższy przykład kodu konfiguruje następujące połączenia usługi:

• Dwa połączenia z oddzielnymi kontami magazynu przy użyciu tożsamości zarządzanej przypisanej przez użytkownika
• Połączenie z usługami Azure Cosmos DB i Azure SQL przy użyciu drugiej tożsamości zarządzanej przypisanej przez użytkownika

C#

// Get the first user-assigned managed identity ID to connect to shared storage
const clientIdStorage = Environment.GetEnvironmentVariable("Managed_Identity_Client_ID_Storage");

// First blob storage client that using a managed identity
BlobServiceClient blobServiceClient = new BlobServiceClient(
    new Uri("https://<receipt-storage-account>.blob.core.windows.net"),
    new DefaultAzureCredential()
    {
        ManagedIdentityClientId = clientIDstorage
    });

// Second blob storage client that using a managed identity
BlobServiceClient blobServiceClient2 = new BlobServiceClient(
    new Uri("https://<contract-storage-account>.blob.core.windows.net"),
    new DefaultAzureCredential()
    {
        ManagedIdentityClientId = clientIDstorage
    });


// Get the second user-assigned managed identity ID to connect to shared databases
var clientIDdatabases = Environment.GetEnvironmentVariable("Managed_Identity_Client_ID_Databases");

// Create an Azure Cosmos DB client
CosmosClient client = new CosmosClient(
    accountEndpoint: Environment.GetEnvironmentVariable("COSMOS_ENDPOINT", EnvironmentVariableTarget.Process),
    new DefaultAzureCredential()
    {
        ManagedIdentityClientId = clientIDdatabases
    });

// Open a connection to Azure SQL using a managed identity
string ConnectionString1 = @"Server=<azure-sql-hostname>.database.windows.net; User Id=ObjectIdOfManagedIdentity; Authentication=Active Directory Default; Database=<database-name>";

using (SqlConnection conn = new SqlConnection(ConnectionString1))
{
    conn.Open();
}

Java

Dodaj następujący kod do pliku pom.xml :

<dependencyManagement>
  <dependencies>
    <dependency>
      <groupId>com.azure</groupId>
      <artifactId>azure-sdk-bom</artifactId>
      <version>1.2.5</version>
      <type>pom</type>
      <scope>import</scope>
    </dependency>
  </dependencies>
</dependencyManagement>
<dependencies>
  <dependency>
    <groupId>com.azure</groupId>
    <artifactId>azure-identity</artifactId>
  </dependency>
  <dependency>
    <groupId>com.azure</groupId>
    <artifactId>azure-storage-blob</artifactId>
  </dependency>
  <dependency>
    <groupId>com.azure</groupId>
    <artifactId>azure-cosmos</artifactId>
  </dependency>
  <dependency>
    <groupId>com.microsoft.sqlserver</groupId>
    <artifactId>mssql-jdbc</artifactId>
    <version>11.2.1.jre17</version>
  </dependency>
</dependencies>

Dodaj następujący kod:

class Demo {

    public static void main(String[] args) {
        // Get the first user-assigned managed identity ID to connect to shared storage
        String clientIdStorage = System.getenv("Managed_Identity_Client_ID_Storage");

        // Get the DefaultAzureCredential from clientIdStorage
        DefaultAzureCredential storageCredential =
            new DefaultAzureCredentialBuilder().managedIdentityClientId(clientIdStorage).build();

        // First blob storage client that using a managed identity
        BlobServiceClient blobServiceClient = new BlobServiceClientBuilder()
            .endpoint("https://<receipt-storage-account>.blob.core.windows.net")
            .credential(storageCredential)
            .buildClient();

        // Second blob storage client that using a managed identity
        BlobServiceClient blobServiceClient2 = new BlobServiceClientBuilder()
            .endpoint("https://<contract-storage-account>.blob.core.windows.net")
            .credential(storageCredential)
            .buildClient();

        // Get the second user-assigned managed identity ID to connect to shared databases
        String clientIdDatabase = System.getenv("Managed_Identity_Client_ID_Databases");

        // Create an Azure Cosmos DB client
        CosmosClient cosmosClient = new CosmosClientBuilder()
            .endpoint("https://<cosmos-db-account>.documents.azure.com:443/")
            .credential(new DefaultAzureCredentialBuilder().managedIdentityClientId(clientIdDatabase).build())
            .buildClient();

        // Open a connection to Azure SQL using a managed identity
        String connectionUrl = "jdbc:sqlserver://<azure-sql-hostname>.database.windows.net:1433;"
            + "database=<database-name>;encrypt=true;trustServerCertificate=false;hostNameInCertificate=*.database"
            + ".windows.net;loginTimeout=30;Authentication=ActiveDirectoryMSI;";
        try {
            Connection connection = DriverManager.getConnection(connectionUrl);
            Statement statement = connection.createStatement();
        } catch (SQLException e) {
            e.printStackTrace();
        }
    }
}

Spring

Dodaj następujący kod do pliku pom.xml :

<dependencyManagement>
  <dependencies>
    <dependency>
      <groupId>com.azure.spring</groupId>
      <artifactId>spring-cloud-azure-dependencies</artifactId>
      <version>4.5.0</version>
      <type>pom</type>
      <scope>import</scope>
    </dependency>
  </dependencies>
</dependencyManagement>
<dependencies>
  <dependency>
    <groupId>com.azure.spring</groupId>
    <artifactId>spring-cloud-azure-starter-storage-blob</artifactId>
  </dependency>
  <dependency>
    <groupId>com.azure.spring</groupId>
    <artifactId>spring-cloud-azure-starter-cosmos</artifactId>
  </dependency>
  <dependency>
    <groupId>com.microsoft.sqlserver</groupId>
    <artifactId>mssql-jdbc</artifactId>
  </dependency>
  <dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-jdbc</artifactId>
  </dependency>
</dependencies>

Dodaj następujące elementy do pliku application.yml :

spring:
  cloud:
    azure:
      cosmos:
        endpoint: https://<cosmos-db-account>.documents.azure.com:443/
        credential:
          client-id: <Managed_Identity_Client_ID_Databases>
          managed-identity-enabled: true
      storage:
        blob:
          endpoint: https://<contract-storage-account>.blob.core.windows.net
          credential:
            client-id: <Managed_Identity_Client_ID_Storage>
            managed-identity-enabled: true
  datasource:
    url: jdbc:sqlserver://<azure-sql-hostname>.database.windows.net:1433;database=<database-name>;encrypt=true;trustServerCertificate=false;hostNameInCertificate=*.database.windows.net;loginTimeout=30;Authentication=ActiveDirectoryMSI;

Dodaj następujący kod:

Uwaga

Platforma Spring Cloud Azure nie obsługuje konfigurowania wielu klientów tej samej usługi. Poniższe kody tworzą wiele fasoli w tej sytuacji.

@Configuration
public class AzureStorageConfiguration {

    @Bean("secondBlobServiceClient")
    public BlobServiceClient secondBlobServiceClient(BlobServiceClientBuilder builder) {
        return builder.endpoint("https://<receipt-storage-account>.blob.core.windows.net").buildClient();
    }

    @Bean("firstBlobServiceClient")
    public BlobServiceClient firstBlobServiceClient(BlobServiceClientBuilder builder) {
        return builder.buildClient();
    }
}

@Service
public class ExampleService {

    @Autowired
    @Qualifier("firstBlobServiceClient")
    private BlobServiceClient blobServiceClient;

    @Autowired
    @Qualifier("secondBlobServiceClient")
    private BlobServiceClient blobServiceClient2;

    @Autowired
    private CosmosClient cosmosClient;

    @Autowired
    private JdbcTemplate jdbcTemplate;

}

JavaScript

1. Wewnątrz projektu użyj narzędzia npm , aby dodać odwołanie do @azure/identity pakietu. Ta biblioteka zawiera wszystkie jednostki niezbędne do zaimplementowania DefaultAzureCredentialprogramu . Zainstaluj wszystkie inne biblioteki zestawu Azure SDK, które są istotne dla aplikacji.

   npm install --save @azure/identity @azure/storage-blob @azure/cosmos mssql
   

2. W górnej części index.js pliku dodaj następujące import instrukcje, aby zaimportować niezbędne klasy klienta dla usług, z którymi aplikacja będzie się łączyć:

   import { DefaultAzureCredential } from "@azure/identity";
   import { BlobServiceClient } from "@azure/storage-blob";
   import { KeyClient } from "@azure/keyvault-keys";
   

3. index.js W pliku utwórz obiekty klienta dla usług platformy Azure, z którymi aplikacja będzie się łączyć. W poniższych przykładach nawiąż połączenie z usługami Blob Storage, Cosmos DB i Azure SQL przy użyciu odpowiednich klas zestawu SDK.

   // Get the first user-assigned managed identity ID to connect to shared storage
   const clientIdStorage = process.env.MANAGED_IDENTITY_CLIENT_ID_STORAGE;
   
   // Storage account names
   const storageAccountName1 = process.env.AZURE_STORAGE_ACCOUNT_NAME_1;
   const storageAccountName2 = process.env.AZURE_STORAGE_ACCOUNT_NAME_2;
   
   // First blob storage client that using a managed identity
   const blobServiceClient = new BlobServiceClient(
     `https://${storageAccountName1}.blob.core.windows.net`,
     new DefaultAzureCredential({
       managedIdentityClientId: clientIdStorage
     })
   );
   
   // Second blob storage client that using a managed identity
   const blobServiceClient2 = new BlobServiceClient(
     `https://${storageAccountName2}.blob.core.windows.net`,
     new DefaultAzureCredential({
       managedIdentityClientId: clientIdStorage
     })
   );
   
   // Get the second user-assigned managed identity ID to connect to shared databases
   const clientIdDatabases = process.env.MANAGED_IDENTITY_CLIENT_ID_DATABASES;
   
   // Cosmos DB Account endpoint
   const cosmosDbAccountEndpoint = process.env.COSMOS_ENDPOINT;
   
   // Create an Azure Cosmos DB client
   const client = new CosmosClient({
     endpoint: cosmosDbAccountEndpoint,
     credential: new DefaultAzureCredential({
       managedIdentityClientId: clientIdDatabases
     })
   });
   
   // Open a connection to Azure SQL using a managed identity with mssql package
   // mssql reads the environment variables to get the managed identity
   const server = process.env.AZURE_SQL_SERVER;
   const database = process.env.AZURE_SQL_DATABASE;
   const port = parseInt(process.env.AZURE_SQL_PORT);
   const type = process.env.AZURE_SQL_AUTHENTICATIONTYPE;
   
   const config = {
       server,
       port,
       database,
       authentication: {
           type                // <---- Passwordless connection
       },
       options: {
           encrypt: true
       }
   };
   
   await sql.connect(sqlConfig);
   

Można również skojarzyć tożsamość zarządzaną przypisaną przez użytkownika, a także tożsamość zarządzaną przypisaną przez system do zasobu jednocześnie. Może to być przydatne w scenariuszach, w których wszystkie aplikacje wymagają dostępu do tych samych usług udostępnionych, ale jedna z aplikacji ma również bardzo specyficzną zależność od dodatkowej usługi. Użycie tożsamości przypisanej przez system gwarantuje również, że tożsamość powiązana z daną aplikacją zostanie usunięta po usunięciu aplikacji, co może pomóc w utrzymaniu czystego środowiska.

Te typy scenariuszy zostały szczegółowo omówione w zaleceniach dotyczących najlepszych rozwiązań dotyczących tożsamości.

Następne kroki

W tym samouczku przedstawiono sposób migrowania aplikacji do połączeń bez hasła. Aby zapoznać się z pojęciami omówionymi w tym artykule, zapoznaj się z następującymi zasobami:

• Autoryzowanie dostępu do obiektów blob przy użyciu identyfikatora Entra firmy Microsoft
• Aby dowiedzieć się więcej na temat platformy .NET Core, zobacz Get started with .NET in 10 minutes (Rozpoczynanie pracy z platformą .NET w 10 minut).