Conectar-se e consultar o Banco de Dados SQL do Azure usando o .NET e o Entity Framework Core

2025-04-22

Aplica-se a:Banco de Dados SQL do Azure

Este início rápido descreve como conectar um aplicativo a um banco de dados no Banco de Dados SQL do Azure e executar consultas usando o .NET e o Entity Framework Core. Este início rápido segue a abordagem sem senha recomendada para se conectar ao banco de dados. Você pode saber mais sobre conexões sem senha no hub sem senha.

Pré-requisitos

Uma assinatura do Azure.
Um banco de dados SQL configurado para autenticação com o Microsoft Entra ID (anteriormente Azure Active Directory). Você pode criar um usando o Início Rápido: Criar um banco de dados individual – Banco de Dados SQL do Azure.
.NET 9.0 ou posterior.
Visual Studio ou posterior com a carga de trabalho Desenvolvimento Web e ASP.NET.
A versão mais recente da CLI do Azure.
A versão mais recente das ferramentas do Entity Framework Core:
- Os usuários do Visual Studio devem instalar as ferramentas do Console do Gerenciador de Pacotes para o Entity Framework Core.
- Os usuários da CLI do .NET devem instalar as ferramentas da CLI do .NET para o Entity Framework Core.

Configurar o servidor de banco de dados

Conexões seguras e sem senha para o Banco de Dados SQL do Azure exigem determinadas configurações do banco de dados. Verifique as seguintes configurações no seu servidor lógico do Azure para se conectar corretamente ao Banco de Dados SQL do Azure em ambientes locais e hospedados:

Para conexões de desenvolvimento local, verifique se o servidor lógico está configurado para permitir que o endereço IP do computador local e outros serviços do Azure se conectem:
- Navegue até a página de Rede do servidor.
- Ative o botão de opção Redes selecionadas para mostrar opções de configuração adicionais.
- Selecione Adicionar o endereço IPv4 do cliente(xx.xx.xx.xx) para adicionar uma regra de firewall que habilitará as conexões do endereço IPv4 do computador local. Como alternativa, você também pode selecionar + Adicionar uma regra de firewall para inserir um endereço IP específico de sua escolha.
- Verifique se a caixa de seleção Permitir que serviços e recursos do Azure acessem este servidor está marcada.
  Aviso
  
  Habilitar a configuração Permitir que serviços e recursos do Azure acessem esse servidor não é uma prática de segurança recomendada para cenários de produção. Os aplicativos reais devem implementar abordagens mais seguras, como restrições de firewall mais fortes ou configurações de rede virtual.
  
  Você pode ler mais sobre configurações de segurança de banco de dados nos seguintes recursos:
  - Configurar regras de firewall do Banco de Dados SQL do Azure.
  - Configure uma rede virtual com pontos de extremidade privados.
O servidor também deve ter a autenticação do Microsoft Entra habilitada e ter uma conta do administrador do Microsoft Entra atribuída. Para conexões de desenvolvimento local, a conta do administrador do Microsoft Entra deve ser uma conta com a qual você também pode fazer logon no Visual Studio ou na CLI do Azure localmente. Você pode verificar se o servidor tem a autenticação do Microsoft Entra habilitada na página Microsoft Entra ID do servidor lógico.
Se você estiver usando uma conta pessoal do Azure, verifique se tem a instalação e configuração do Microsoft Entra para o Banco de Dados SQL do Azure para atribuir sua conta à administração do servidor. Se você estiver usando uma conta corporativa, o Microsoft Entra ID provavelmente já estará configurado.

Criar o projeto

Nesta seção, crie uma API Web Mínima .NET usando a CLI do .NET ou o Visual Studio 2022.

Visual Studio
CLI do .NET

Na barra de menus do Visual Studio, navegue até Arquivo>Novo>Projeto...
Na janela de diálogo, insira ASP.NET na caixa de pesquisa do modelo de projeto e selecione o resultado da API Web ASP.NET Core. Escolha Avançar na parte inferior do diálogo.
Para o Nome do Projeto, insira DotNetSQL. Deixe os outros campos com os valores padrão e selecione Avançar.
Para o Framework, selecione .NET 9.0 e desmarque Usar controladores. Este início rápido usa um modelo de API Mínima para simplificar a criação e configuração do ponto de extremidade.
Escolha Criar. O novo projeto será aberto no ambiente do Visual Studio.

Em uma janela de console (como cmd, PowerShell ou Bash), use o comando dotnet new para criar um aplicativo da API Web com o nome DotNetSQL. Esse comando cria um projeto simples C# "Olá, Mundo" com um arquivo de origem único: Program.cs.
```
dotnet new web -o DotNetSQL
```
Navegue até o diretório DotNetSQL recém-criado e abra o projeto no Visual Studio.

Adicionar o Entity Framework Core ao projeto

Para se conectar ao Banco de Dados SQL do Azure usando o .NET e o Entity Framework Core, você precisa adicionar três pacotes NuGet ao seu projeto usando um dos seguintes métodos:

Visual Studio
CLI do .NET

Na janela Gerenciador de Soluções, clique com o botão direito do mouse no nó Dependências do projeto e selecione Gerenciar Pacotes NuGet.
Na janela resultante, pesquise por EntityFrameworkCore. Localize e instale os seguintes pacotes:

Microsoft.EntityFrameworkCore: fornece funcionalidade essencial do Entity Framework Core
Microsoft.EntityFrameworkCore.SqlServer: fornece componentes extras para se conectar ao servidor lógico
Microsoft.EntityFrameworkCore.Design: fornece suporte para a execução de migrações do Entity Framework
Microsoft.EntityFrameworkCore.Tools: fornece suporte para ferramentas do Console do Gerenciador de Pacotes do Visual Studio (somente PowerShell)
Swashbuckle.AspNetCore: Opcional – fornece suporte para a interação swaggerUI com os pontos de extremidade do aplicativo

Use o seguinte comando dotnet add package para instalar os pacotes:

dotnet add package Microsoft.EntityFrameworkCore
dotnet add package Microsoft.EntityFrameworkCore.SqlServer
dotnet add package Microsoft.EntityFrameworkCore.Design
dotnet add package Swashbuckle.AspNetCore

Adicionar o código para se conectar a um Banco de Dados SQL do Azure

As bibliotecas do Entity Framework Core dependem das bibliotecas Microsoft.Data.SqlClient e Azure.Identity para implementar conexões sem senha para o Banco de Dados SQL do Azure. A biblioteca Azure.Identity fornece uma classe chamada DefaultAzureCredential que manipula a autenticação sem senha no Azure.

O DefaultAzureCredential dá suporte a vários métodos de autenticação e determina qual usar no runtime. Essa abordagem permite que seu aplicativo use diferentes métodos de autenticação em ambientes diferentes (local versus produção) sem implementar código específico do ambiente. A Visão geral da biblioteca de Identidade do Azure explica a ordem e os locais nos quais o DefaultAzureCredential procura por credenciais.

Conclua as seguintes etapas para se conectar ao Banco de Dados SQL do Azure usando o Entity Framework Core e a classe subjacenteDefaultAzureCredential:

Adicione uma seção ConnectionStrings ao arquivo appsettings.Development.json para que ele corresponda ao código a seguir. Substitua <server>.database.windows.net pelo nome do servidor de banco de dados sem senha ao qual você deseja se conectar e <database> pelo nome do banco de dados.
```
{
    "Logging": {
        "LogLevel": {
            "Default": "Information",
            "Microsoft.AspNetCore": "Warning"
        }
    },
    "ConnectionStrings": {
        "AZURE_SQL_CONNECTIONSTRING": "Data Source=<server>.database.windows.net;Initial Catalog=<database>;Authentication=Active Directory Default;Encrypt=True;"
    }
}
```
Observação

Lembre-se de atualizar os espaços reservados <your database-server-name> e <your-database-name> na cadeia de conexão do banco de dados. Cadeias de conexão sem senha são seguras para confirmar o controle do código-fonte, pois elas não contêm segredos, como nomes de usuário, senhas ou chaves de acesso.

A cadeia de conexão sem senha inclui um valor de configuração de Authentication=Active Directory Default, que instrui o Entity Framework Core a usar DefaultAzureCredential para se conectar aos serviços do Azure. Quando o aplicativo é executado localmente, ele é autenticado com o usuário com o qual você está conectado ao Visual Studio. Depois que o aplicativo é implantado no Azure, o mesmo código descobre e aplica a identidade gerenciada associada ao aplicativo hospedado, que você configura posteriormente.

Substitua o conteúdo do Program.cs arquivo pelo seguinte código:

using Microsoft.AspNetCore.Mvc;
using Microsoft.EntityFrameworkCore;

var builder = WebApplication.CreateBuilder();

builder.Services.AddOpenApi();

var connection = String.Empty;
if (builder.Environment.IsDevelopment())
{
    builder.Configuration.AddEnvironmentVariables().AddJsonFile("appsettings.Development.json");
    connection = builder.Configuration.GetConnectionString("AZURE_SQL_CONNECTIONSTRING");
}
else
{
    connection = Environment.GetEnvironmentVariable("AZURE_SQL_CONNECTIONSTRING");
}

builder.Services.AddDbContext<PersonDbContext>(options =>
    options.UseSqlServer(connection));

var app = builder.Build();

if (app.Environment.IsDevelopment())
{
    app.MapOpenApi();
    app.UseSwaggerUI(options =>
    {
        options.SwaggerEndpoint("/openapi/v1.json", "v1");
    });
}

app.MapGet("/", () => "Hello world!");

app.MapGet("/Person", (PersonDbContext context) =>
{
    return context.Person.ToList();
});

app.MapPost("/Person", (Person person, PersonDbContext context) =>
{
    context.Add(person);
    context.SaveChanges();
});

app.Run();

public class Person
{
    public int Id { get; set; }
    public string FirstName { get; set; }
    public string LastName { get; set; }
}

public class PersonDbContext : DbContext
{
    public PersonDbContext(DbContextOptions<PersonDbContext> options)
        : base(options)
    {
    }

    public DbSet<Person> Person { get; set; }
}

O código anterior manipula as seguintes etapas:

Recupera a cadeia de conexão de banco de dados sem senha do arquivo appsettings.Development.json para desenvolvimento local ou das variáveis de ambiente para cenários de produção hospedados.
Registra a classe DbContext do Entity Framework Core com o contêiner de injeção de dependência do .NET. Você pode ler mais sobre DbContext na documentação Introdução do Entity Framework Core.
Configura o suporte ao OpenAPI do .NET 9.0 com SwaggerUI para fornecer uma interface de usuário que pode ser utilizada para interagir com os endpoints e o banco de dados do aplicativo.
Adiciona pontos de extremidade para recuperar e adicionar entidades no banco de dados.
Define uma classe Person para representar um único registro na tabela de banco de dados Persons e a classe PersonDbContext que foi registrada com o contêiner de injeção de dependência do .NET.

Executar as migrações para criar o banco de dados

Para atualizar o esquema de banco de dados para corresponder ao modelo de dados usando o Entity Framework Core, você deve usar uma migração. As migrações podem criar e atualizar incrementalmente um esquema de banco de dados para mantê-lo em sincronia com o modelo de dados do aplicativo. Você pode saber mais sobre esse padrão na visão geral das migrações.

Abra uma janela de terminal na raiz do seu projeto.
Execute o seguinte comando para gerar uma migração inicial que pode criar o banco de dados:
- Visual Studio
- CLI do .NET
```
Add-Migration InitialCreate
```
```
dotnet ef migrations add InitialCreate
```

Uma pasta Migrations deve aparecer no diretório do projeto, juntamente com um arquivo chamado InitialCreate com números exclusivos anexados. Execute a migração para criar o banco de dados usando o seguinte comando:
- Visual Studio
- CLI do .NET
```
Update-Database
```
```
dotnet ef database update
```

A ferramenta Entity Framework Core cria o esquema de banco de dados no Azure definido pela PersonDbContext classe.

Testar o aplicativo localmente

O aplicativo está pronto para ser testado localmente. Verifique se você está conectado ao Visual Studio ou à CLI do Azure com a mesma conta definida como o administrador do banco de dados.

Pressione o botão Executar na parte superior do Visual Studio para iniciar o projeto de API.
Na página interface do usuário do Swagger, expanda o método POST e selecione Experimentar.
Modifique o JSON de exemplo para incluir valores para o primeiro nome e o sobrenome. Selecione Executar para adicionar um novo registro ao banco de dados. A API retorna uma resposta bem-sucedida.
Expanda o método GET na página da interface do usuário do Swagger e selecione Experimentar. Selecione Executar e a pessoa que você acabou de criar será retornada.

Implantar no Serviço de Aplicativo do Azure

O aplicativo está pronto para ser implantado no Azure. O Visual Studio pode criar um Serviço de Aplicativo do Azure e implantar seu aplicativo em um único fluxo de trabalho.

Verifique se o aplicativo foi interrompido e compilado com sucesso.
Na janela Gerenciador de Soluções do Visual Studio, clique com o botão direito do mouse no nó de projeto de nível superior e selecione Publicar.
Na caixa de diálogo de publicação, selecione Azure como destino da implantação e selecione Avançar.
Para o destino específico, selecione Serviço de Aplicativo do Azure (Windows) e selecione Avançar.
Selecione o ícone + verde para criar um novo Serviço de Aplicativo para implantar e insira os seguintes valores:
- Nome: deixe o valor padrão.
- Nome da assinatura: selecione a assinatura na qual implantar.
- Grupo de recursos: selecione Novo e crie um grupo de recursos chamado msdocs-dotnet-sql.
- Plano de Hospedagem: selecione Novo para abrir a caixa de diálogo do plano de hospedagem. Mantenha os valores padrão e selecione OK.
- Selecione Criar para fechar a caixa de diálogo original. O Visual Studio cria o recurso Serviço de Aplicativo no Azure.
Depois que o recurso for criado, selecione na lista de serviços de aplicativo e selecione Avançar.
Na etapa Gerenciamento de API, marque a caixa de seleção Ignorar esta etapa na parte inferior e selecione Concluir.
Selecione Publicar na parte superior direita do resumo do perfil de publicação para implantar o aplicativo no Azure.

Quando a implantação for concluída, o Visual Studio iniciará o navegador para exibir o aplicativo hospedado. Você deve ver a mensagem Hello world do ponto de extremidade padrão. No entanto, neste momento, os endpoints do banco de dados não funcionam corretamente no Azure. Você ainda precisa configurar a conexão segura entre o Serviço de Aplicativo e o banco de dados SQL para recuperar seus dados.

Conectar o Serviço de Aplicativo ao Banco de Dados SQL do Azure

As seguintes etapas são necessárias para conectar a instância do Serviço de Aplicativo ao Banco de Dados SQL do Azure:

Crie uma identidade gerenciada para o Serviço de Aplicativo. A Microsoft.Data.SqlClient biblioteca incluída em seu aplicativo descobre automaticamente a identidade gerenciada, assim como descobriu o usuário local do Visual Studio.
Crie um usuário do banco de dados SQL e associe-o à identidade gerenciada do Serviço de Aplicativo.
Atribua funções SQL ao usuário do banco de dados que permitem leitura, gravação e, potencialmente, outras permissões.

Há várias ferramentas disponíveis para implementar estas etapas:

Conector de Serviço (recomendado)
Portal do Azure

O Conector de Serviço é uma ferramenta que simplifica as conexões autenticadas entre diferentes serviços no Azure. Atualmente, o Service Connector dá suporte à conexão de um Serviço de Aplicativo a um banco de dados SQL usando a extensão sem senha da CLI do Azure.

Instale ou atualize a extensão sem senha do Conector de Serviço:
```
az extension add --name serviceconnector-passwordless --upgrade
```

Execute o az webapp connection create sql comando para conectar seu aplicativo Web ao banco de dados usando uma identidade gerenciada atribuída pelo sistema. Substitua os espaços reservados por valores apropriados:

az webapp connection create sql
-g <your-resource-group>
-n <your-app-service-name>
--tg <your-database-server-resource-group>
--server <your-database-server-name>
--database <your-database-name>
--system-identity

Você pode verificar as alterações feitas pelo Conector de Serviço nas configurações do Serviço de Aplicativo.

Navegue até a página Identidade do seu Serviço de Aplicativo. Na guia Sistema atribuído, o Status deve ser definido como Ativado. Esse valor significa que uma identidade gerenciada atribuída pelo sistema foi habilitada para seu aplicativo.
Navegue até a página Configuração do seu Serviço de Aplicativo. Na guia Cadeias de conexão , você deverá ver uma cadeia de conexão chamada AZURE_SQL_CONNECTIONSTRING. Selecione o texto Clique para mostrar o valor para exibir a cadeia de conexão sem senha gerada. O nome dessa cadeia de conexão se alinha ao que você configurou em seu aplicativo, portanto, ele é descoberto automaticamente ao ser executado no Azure.

O portal do Azure permite que você trabalhe com identidades gerenciadas e execute consultas no Banco de Dados SQL do Azure. Conclua as seguintes etapas para criar uma conexão sem senha da instância do Serviço de Aplicativo para o Banco de Dados SQL do Azure:

Criar a identidade gerenciada

No portal do Azure, navegue até o Serviço de Aplicativo e selecione Identidade na navegação à esquerda.
Na página de identidade, verifique se a opção Habilitar identidade gerenciada atribuída pelo sistema está habilitada. Quando essa configuração está habilitada, uma identidade gerenciada atribuída pelo sistema é criada com o mesmo nome que o Serviço de Aplicativo. As identidades atribuídas pelo sistema são vinculadas à instância de serviço e são destruídas com o aplicativo quando ele é excluído.

Criar o usuário do banco de dados e atribuir funções

No portal do Azure, navegue até o banco de dados SQL e selecione Editor de consultas (versão prévia).
Selecione **Continuar como <your-username> no lado direito da tela para entrar no banco de dados usando sua conta.
Na exibição do editor de consultas, execute os comandos T-SQL a seguir. Substitua <your-app-service-name> pelo nome do serviço de aplicativo.
```
CREATE USER <your-app-service-name> FROM EXTERNAL PROVIDER;
ALTER ROLE db_datareader ADD MEMBER <your-app-service-name>;
ALTER ROLE db_datawriter ADD MEMBER <your-app-service-name>;
ALTER ROLE db_ddladmin ADD MEMBER <your-app-service-name>;
GO
```
Esse script SQL cria um usuário do banco de dados SQL que mapeia de volta para a identidade gerenciada da sua instância do Serviço de Aplicativo. Ele também atribuirá as funções SQL necessárias ao usuário para permitir que seu aplicativo leia, escreva e modifique os dados e o esquema do banco de dados. Depois que essa etapa for concluída, seus serviços serão conectados.

Importante

Embora essa solução forneça uma abordagem simples para começar, ela não é uma prática recomendada para ambientes de produção corporativos. Nesses cenários, o aplicativo não deve executar todas as operações usando uma única identidade elevada. Você deve tentar implementar o princípio de privilégios mínimos configurando várias identidades com permissões específicas para tarefas específicas. Para obter mais informações sobre como configurar funções de banco de dados e segurança, consulte:

Testar o aplicativo implantado

Navegue até a URL do aplicativo para testar se a conexão com o Banco de Dados SQL do Azure está funcionando. Você pode localizar a URL do aplicativo na página de visão geral do Serviço de Aplicativo. Acrescente o caminho /person ao final da URL para navegar até o mesmo ponto de extremidade que você testou localmente.

A pessoa que você criou localmente deve ser exibida no navegador. Parabéns, seu aplicativo agora está conectado ao Banco de Dados SQL do Azure em ambientes locais e hospedados.

Limpar os recursos

Quando terminar de trabalhar com o Banco de Dados SQL do Azure, exclua o recurso para evitar custos não intencionais.

Portal do Azure
CLI do Azure

Na barra de pesquisa portal do Azure, pesquise SQL do Azure e selecione o resultado correspondente.
Localize e selecione seu banco de dados na lista de bancos de dados.
Na página Visão geral do Banco de Dados SQL do Azure, selecione Excluir.
Na página Azure você tem certeza de que deseja excluir... que aparece, digite o nome do seu banco de dados para confirmar e selecione Excluir.

Exclua o banco de dados usando o comando az sql db delete. Substitua os parâmetros do espaço reservado por seus próprios valores.

az sql db delete --name <database-name> --resource-group <resource-group-name> --server <logical-server-name>

Observação

Se você implantou o aplicativo de exemplo no Azure, pesquise e exclua o recurso do Serviço de Aplicativo para evitar custos não intencionais.

Tutorial: Proteger um banco de dados no Banco de Dados SQL do Azure
Autorizar acesso ao Banco de Dados SQL, à Instância Gerenciada de SQL e ao Azure Synapse Analytics
Uma visão geral das funcionalidades de segurança do Banco de Dados SQL do Azure e da Instância Gerenciada de SQL
Guia estratégico para atender aos requisitos comuns de segurança com o Banco de Dados SQL do Azure e a Instância Gerenciada de SQL do Azure