Migrera ett .NET-program för att använda lösenordslösa anslutningar med Azure SQL Database

gäller för:Azure SQL Database

Programbegäranden till Azure SQL Database måste autentiseras. Även om det finns flera alternativ för autentisering till Azure SQL Database bör du prioritera lösenordslösa anslutningar i dina program när det är möjligt. Traditionella autentiseringsmetoder som använder lösenord eller hemliga nycklar skapar säkerhetsrisker och komplikationer. Gå till hubben för lösenordslösa anslutningar för Azure-tjänster för att lära dig mer om fördelarna med att flytta till lösenordslösa anslutningar. I följande självstudie beskrivs hur du migrerar ett befintligt program för att ansluta till Azure SQL Database för att använda lösenordslösa anslutningar i stället för en lösning för användarnamn och lösenord.

Konfigurera Azure SQL-databas

Lösenordslösa anslutningar använder Microsoft Entra-autentisering för att ansluta till Azure-tjänster, inklusive Azure SQL Database. Med Microsoft Entra-autentisering kan du hantera identiteter på en central plats för att förenkla behörighetshanteringen. Läs mer om hur du konfigurerar Microsoft Entra-autentisering för din Azure SQL Database:

• Översikt över Microsoft Entra-autentisering
• Konfigurera Microsoft Entra-autentisering

För den här migreringsguiden kontrollerar du att du har en Microsoft Entra-administratör tilldelad till din Azure SQL Database.

1. Gå till Microsoft Entra-sidan på din logiska server.

2. Välj Ange administratör för att öppna den utfällbara menyn Microsoft Entra ID .

3. I den utfällbara menyn Microsoft Entra ID söker du efter den användare som du vill tilldela som administratör.

4. Välj användaren och välj Välj.

   

Konfigurera din lokala utvecklingsmiljö

Lösenordslösa anslutningar kan konfigureras för att fungera för både lokala miljöer och Azure-värdbaserade miljöer. I det här avsnittet använder du konfigurationer för att tillåta enskilda användare att autentisera till Azure SQL Database för lokal utveckling.

Logga in på Azure

För lokal utveckling kontrollerar du att du är inloggad med samma Azure AD-konto som du vill använda för att få åtkomst till Azure SQL Database. Du kan autentisera via populära utvecklingsverktyg, till exempel Azure CLI eller Azure PowerShell. De utvecklingsverktyg som du kan autentisera med varierar mellan olika språk.

Azure CLI

Logga in på Azure via Azure CLI med följande kommando:

az login

Visual Studio

Välj knappen Logga in längst upp till höger i Visual Studio.

Logga in med det Azure AD-konto som du tilldelade en roll till tidigare.

Visual Studio Code

Du måste installera Azure CLI för att arbeta med DefaultAzureCredential via Visual Studio Code.

Gå till Terminal > Ny terminal på huvudmenyn i Visual Studio Code.

Logga in på Azure via Azure CLI med följande kommando:

az login

PowerShell

Logga in på Azure med hjälp av PowerShell via följande kommando:

Connect-AzAccount

Skapa en databasanvändare och tilldela roller

Skapa en användare i Azure SQL Database. Användaren bör motsvara det Azure-konto som du använde för att logga in lokalt via utvecklingsverktyg som Visual Studio eller IntelliJ.

1. I Azure-portalen bläddrar du till din SQL-databas och väljer Frågeredigeraren (förhandsversion).

2. Välj Fortsätt som <your-username> till höger på skärmen för att logga in på databasen med ditt konto.

3. Kör följande T-SQL-kommandon i frågeredigerarens vy:

   CREATE USER [user@domain] FROM EXTERNAL PROVIDER;
   ALTER ROLE db_datareader ADD MEMBER [user@domain];
   ALTER ROLE db_datawriter ADD MEMBER [user@domain];
   ALTER ROLE db_ddladmin ADD MEMBER [user@domain];
   GO
   

   

   När du kör de här kommandona tilldelas rollen SQL DB-deltagare till det angivna kontot. Med den här rollen kan identiteten läsa, skriva och ändra databasens data och schema. Mer information om tilldelade roller finns i Roller med fast databas.

Uppdatera konfigurationen för lokal anslutning

Befintlig programkod som ansluter till Azure SQL Database med hjälp av Microsoft.Data.SqlClient biblioteket eller Entity Framework Core fortsätter att fungera med lösenordslösa anslutningar. Du måste dock uppdatera databasanslutningssträngen för att använda det lösenordslösa formatet. Följande kod fungerar till exempel med både SQL-autentisering och lösenordslösa anslutningar:

string connectionString = app.Configuration.GetConnectionString("AZURE_SQL_CONNECTIONSTRING")!;

using var conn = new SqlConnection(connectionString);
conn.Open();

var command = new SqlCommand("SELECT * FROM Persons", conn);
using SqlDataReader reader = command.ExecuteReader();

Så här uppdaterar du den refererade anslutningssträngen (AZURE_SQL_CONNECTIONSTRING) så att det lösenordslösa anslutningssträngformatet används:

1. Leta upp anslutningssträngen. För lokal utveckling med .NET-program lagras detta vanligtvis på någon av följande platser:

   • Konfigurationsfilen appsettings.json för projektet.
   • Konfigurationsfilen launchsettings.json för Visual Studio-projekt.
   • Lokala system- eller containermiljövariabler.

2. Ersätt anslutningssträngvärdet med följande lösenordslösa format. <database-server-name> Uppdatera platshållarna och <database-name> med dina egna värden:

   Server=tcp:<database-server-name>.database.windows.net,1433;Initial Catalog=<database-name>;
   Encrypt=True;TrustServerCertificate=False;Connection Timeout=30;Authentication="Active Directory Default";
   

Testa appen

Kör appen lokalt och kontrollera att anslutningarna till Azure SQL Database fungerar som förväntat. Tänk på att det kan ta flera minuter innan ändringar av Azure-användare och roller sprids via din Azure-miljö. Ditt program är nu konfigurerat att köras lokalt utan att utvecklare behöver hantera hemligheter i själva programmet.

Konfigurera Azure-värdmiljön

När appen har konfigurerats för att använda lösenordslösa anslutningar lokalt kan samma kod autentiseras till Azure SQL Database när den har distribuerats till Azure. I avsnitten nedan beskrivs hur du konfigurerar ett distribuerat program för att ansluta till Azure SQL Database med hjälp av en hanterad identitet. Hanterade identiteter tillhandahåller en automatiskt hanterad identitet i Microsoft Entra-ID (tidigare Azure Active Directory) för program som ska användas när de ansluter till resurser som stöder Microsoft Entra-autentisering. Läs mer om hanterade identiteter:

• Lösenordslöst: En översikt
• Metodtips för hanterad identitet

Skapa den hanterade identiteten

Skapa en användartilldelad hanterad identitet med hjälp av Azure-portalen eller Azure CLI. Ditt program använder identiteten för att autentisera till andra tjänster.

Azure Portal

1. Överst i Azure Portal söker du efter hanterade identiteter. Välj resultatet Hanterade identiteter .
2. Välj + Skapa överst på översiktssidan för hanterade identiteter .
3. På fliken Grundläggande anger du följande värden:
   • Prenumeration: Välj önskad prenumeration.
   • Resursgrupp: Välj önskad resursgrupp.
   • Region: Välj en region nära din plats.
   • Namn: Ange ett igenkännbart namn för din identitet, till exempel MigrationIdentity.
4. Välj Granska och skapa längst ned på sidan.
5. När verifieringen har slutförts väljer du Skapa. Azure skapar en ny användartilldelad identitet.

När resursen har skapats väljer du Gå till resurs för att visa information om den hanterade identiteten.

Azure CLI

Använd kommandot az identity create för att skapa en användartilldelad hanterad identitet:

az identity create --name MigrationIdentity --resource-group <resource-group>

Associera den hanterade identiteten med din webbapp

Konfigurera webbappen så att den använder den användartilldelade hanterade identitet som du skapade.

Azure Portal

Slutför följande steg i Azure-portalen för att associera den användartilldelade hanterade identiteten med din app. Samma steg gäller för följande Azure-tjänster:

• Azure Spring Apps
• Azure Container-applikationer
• Azure-virtuella datorer
• Azure Kubernetes Service
• Gå till översiktssidan för webbappen.

1. Välj Identitet i det vänstra navigeringsfältet.

2. På sidan Identitet växlar du till fliken Användartilldelad .

3. Välj + Lägg till för att öppna den utfällbara menyn Lägg till användartilldelad hanterad identitet .

4. Välj den prenumeration som du använde tidigare för att skapa identiteten.

5. Sök efter MigrationIdentity efter namn och välj den i sökresultaten.

6. Välj Lägg till för att associera identiteten med din app.

   

Azure CLI

Använd följande Azure CLI-kommandon för att associera en identitet med din app:

Hämta det fullständigt kvalificerade resurs-ID:t för den hanterade identitet som du skapade med kommandot az identity show . Kopiera utdatavärdet som ska användas i nästa steg.

az identity show --name MigrationIdentity -g <your-identity-resource-group-name> --query id

Azure App Service

Du kan tilldela en hanterad identitet till en Azure App Service-instans med kommandot az webapp identity assign . Parametern --identities kräver det fullständigt kvalificerade resurs-ID:t för den hanterade identitet som du hämtade i föregående steg. Ett fullständigt kvalificerat resurs-ID börjar med '/subscriptions/{subscriptionId}' eller '/providers/{resourceProviderNamespace}/'.

az webapp identity assign \
    --resource-group <resource-group-name> \
    --name <webapp-name> \
    --identities <managed-identity-id>

Om du arbetar med Git Bash bör du vara försiktig med sökvägskonverteringar när du använder fullständigt kvalificerade resurs-ID:er. Om du vill inaktivera sökvägskonvertering lägger du till MSYS_NO_PATHCONV=1 i början av kommandot. Mer information finns i Automatisk översättning av resurs-ID:t.

Azure Spring Apps

Du kan tilldela en hanterad identitet till din Azure Spring Apps-instans med kommandot az spring app identity assign i Azure CLI.

az spring app identity assign \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --service <service-name> \
    --user-assigned <managed-identity-id>

Azure Container Apps

Du kan tilldela en hanterad identitet till en virtuell dator med kommandot az containerapp identity assign .

az containerapp identity assign \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --user-assigned <managed-identity-id>

Azure Virtual Machines

Du kan tilldela en hanterad identitet till en virtuell dator med kommandot az vm identity assign .

az vm identity assign \
    --resource-group <resource-group-name> \
    --name <virtual-machine-name> \
    --identities <managed-identity-id>

Azure Kubernetes Service

Du kan tilldela en hanterad identitet till en AkS-instans (Azure Kubernetes Service) med kommandot az aks update .

az aks update \
    --resource-group <resource-group-name> \
    --name <cluster-name> \
    --enable-managed-identity \
    --assign-identity <managed-identity-id> \
    --assign-kubelet-identity <managed-identity-id>

Tjänstanslutning

Du kan använda Service Connector för att skapa en anslutning mellan en Azure Compute-värdmiljö och en måltjänst med hjälp av Azure CLI. Cli-kommandona för Service Connector tilldelar automatiskt rätt roll till din identitet. Du kan läsa mer om Service Connector och vilka scenarier som stöds på översiktssidan.

1. Hämta klient-ID:t för den hanterade identitet som du skapade med kommandot az identity show . Kopiera värdet för senare användning.

   az identity show --name MigrationIdentity --resource-group <resource-group> --query clientId
   

2. Använd lämpligt CLI-kommando för att upprätta tjänstanslutningen:

   Azure App Service

   Om du använder en Azure App Service använder du kommandot az webapp connection :

   az webapp connection create storage-blob \
       --resource-group <resource-group-name> \
       --name <webapp-name> \
       --target-resource-group <target-resource-group-name> \
       --account <target-storage-account-name> \
       --user-identity "client-id=<your-identity-client-id>" "subs-id=<your-subscription-id>"
   

   Azure Spring Apps

   Om du använder Azure Spring Apps använder du kommandot az spring connection create för att upprätta en tjänstanslutning via Azure CLI.

   az spring connection create storage-blob \
       --resource-group <resource-group-name> \
       --service <service-instance-name> \
       --app <app-name> \
       --deployment <deployment-name> \
       --target-resource-group <target-resource-group> \
       --account <target-storage-account-name> \
       --user-identity "client-id=<your-identity-client-id>" "subs-id=<your-subscription-id>"
   

   Azure Container Apps

   Om du använder Azure Container Apps använder du kommandot az containerapp connection :

   az containerapp connection create storage-blob \
       --resource-group <resource-group-name> \
       --name <containerapp-name> \
       --target-resource-group <target-resource-group-name> \
       --account <target-storage-account-name> \
       --user-identity "client-id=<your-identity-client-id>" "subs-id=<your-subscription-id>"
   

Skapa en databasanvändare för identiteten och tilldela roller

Skapa en SQL-databasanvändare som mappar tillbaka till den användartilldelade hanterade identiteten. Tilldela nödvändiga SQL-roller till användaren så att appen kan läsa, skriva och ändra data och schemat för databasen.

1. I Azure-portalen bläddrar du till din SQL-databas och väljer Frågeredigeraren (förhandsversion).

2. Välj Fortsätt som <username> till höger på skärmen för att logga in på databasen med ditt konto.

3. Kör följande T-SQL-kommandon i frågeredigerarens vy:

   CREATE USER [user-assigned-identity-name] FROM EXTERNAL PROVIDER;
   ALTER ROLE db_datareader ADD MEMBER [user-assigned-identity-name];
   ALTER ROLE db_datawriter ADD MEMBER [user-assigned-identity-name];
   ALTER ROLE db_ddladmin ADD MEMBER [user-assigned-identity-name];
   GO
   

   

   När du kör dessa kommandon tilldelas rollen SQL DB Contributor till den användartilldelade hanterade identiteten. Med den här rollen kan identiteten läsa, skriva och ändra databasens data och schema.

Viktigt!

Var försiktig när du tilldelar databasanvändarroller i företagsproduktionsmiljöer. I dessa scenarier bör appen inte utföra alla åtgärder med en enda upphöjd identitet. Försök att implementera principen om minsta behörighet genom att konfigurera flera identiteter med specifika behörigheter för specifika uppgifter.

Du kan läsa mer om hur du konfigurerar databasroller och säkerhet på följande resurser:

• Självstudie: Skydda en databas i Azure SQL Database
• Auktorisera databasåtkomst till SQL Database

Uppdatera anslutningssträngen

Uppdatera azure-appkonfigurationen så att den använder formatet för lösenordslös anslutningssträng. Anslutningssträngar lagras vanligtvis som miljövariabler i din appvärdmiljö. Följande instruktioner fokuserar på App Service, men andra Azure-värdtjänster tillhandahåller liknande konfigurationer.

1. Gå till konfigurationssidan för App Service-instansen och leta upp Anslutningssträngen för Azure SQL Database.

2. Välj redigeringsikonen och uppdatera värdet för anslutningssträngen så att det matchar följande format. Ändra platshållarna <database-server-name> och <database-name> med värdena för din egen tjänst.

   Server=tcp:<database-server-name>.database.windows.net,1433;Initial Catalog=<database-name>;
   Encrypt=True;TrustServerCertificate=False;Connection Timeout=30;Authentication="Active Directory Default";
   

3. Spara ändringarna och starta om programmet om det inte gör det automatiskt.

Testa programmet

Testa din app för att se till att allt fortfarande fungerar. Det kan ta några minuter innan alla ändringar sprids via Din Azure-miljö.

Relaterat innehåll

• Lösenordslöst: En översikt
• Metodtips för hanterad identitet
• Självstudie: Skydda en databas i Azure SQL Database
• Auktorisera databasåtkomst till SQL Database