Migrera ett .NET-program för att använda lösenordslösa anslutningar med Azure SQL Database

Gäller för:Azure SQL Database

Programbegäranden till Azure SQL Database måste autentiseras. Även om det finns flera alternativ för autentisering till Azure SQL Database bör du prioritera lösenordslösa anslutningar i dina program när det är möjligt. Traditionella autentiseringsmetoder som använder lösenord eller hemliga nycklar skapar säkerhetsrisker och komplikationer. Gå till hubben för lösenordslösa anslutningar för Azure-tjänster för att lära dig mer om fördelarna med att flytta till lösenordslösa anslutningar. I följande självstudie beskrivs hur du migrerar ett befintligt program för att ansluta till Azure SQL Database för att använda lösenordslösa anslutningar i stället för en lösning för användarnamn och lösenord.

Konfigurera Azure SQL Database

Lösenordslösa anslutningar använder Microsoft Entra-autentisering för att ansluta till Azure-tjänster, inklusive Azure SQL Database. Med Microsoft Entra-autentisering kan du hantera identiteter på en central plats för att förenkla behörighetshanteringen. Läs mer om hur du konfigurerar Microsoft Entra-autentisering för din Azure SQL Database:

• Översikt över Microsoft Entra-autentisering
• Konfigurera Microsoft Entra-autentisering

För den här migreringsguiden kontrollerar du att du har en Microsoft Entra-administratör tilldelad till din Azure SQL Database.

1. Gå till Sidan Microsoft Entra på den logiska servern.

2. Välj Ange administratör för att öppna den utfällbara menyn Microsoft Entra ID .

3. I den utfällbara menyn Microsoft Entra ID söker du efter den användare som du vill tilldela som administratör.

4. Välj användaren och välj Välj.

   

Konfigurera din lokala utvecklingsmiljö

Lösenordslösa anslutningar kan konfigureras för att fungera för både lokala miljöer och Azure-värdbaserade miljöer. I det här avsnittet använder du konfigurationer för att tillåta enskilda användare att autentisera till Azure SQL Database för lokal utveckling.

Logga in på Azure

För lokal utveckling kontrollerar du att du är inloggad med samma Azure AD-konto som du vill använda för att få åtkomst till Azure SQL Database. Du kan autentisera via populära utvecklingsverktyg, till exempel Azure CLI eller Azure PowerShell. De utvecklingsverktyg som du kan autentisera med varierar mellan olika språk.

Azure CLI

Logga in på Azure via Azure CLI med följande kommando:

az login

Visual Studio

Välj knappen Logga in längst upp till höger i Visual Studio.

Logga in med det Azure AD-konto som du tilldelade en roll till tidigare.

Visual Studio Code

Du måste installera Azure CLI för att arbeta med DefaultAzureCredential via Visual Studio Code.

Gå till Terminal > Ny terminal på huvudmenyn i Visual Studio Code.

Logga in på Azure via Azure CLI med följande kommando:

az login

PowerShell

Logga in på Azure med hjälp av PowerShell via följande kommando:

Connect-AzAccount

Skapa en databasanvändare och tilldela roller

Skapa en användare i Azure SQL Database. Användaren bör motsvara det Azure-konto som du använde för att logga in lokalt via utvecklingsverktyg som Visual Studio eller IntelliJ.

1. I Azure-portalen bläddrar du till din SQL-databas och väljer Frågeredigeraren (förhandsversion).

2. Välj Fortsätt som <your-username> till höger på skärmen för att logga in på databasen med ditt konto.

3. Kör följande T-SQL-kommandon i frågeredigerarens vy:

   CREATE USER [user@domain] FROM EXTERNAL PROVIDER;
   ALTER ROLE db_datareader ADD MEMBER [user@domain];
   ALTER ROLE db_datawriter ADD MEMBER [user@domain];
   ALTER ROLE db_ddladmin ADD MEMBER [user@domain];
   GO
   

   

   När du kör de här kommandona tilldelas rollen SQL DB-deltagare till det angivna kontot. Med den här rollen kan identiteten läsa, skriva och ändra databasens data och schema. Mer information om tilldelade roller finns i Roller med fast databas.

Uppdatera konfigurationen för lokal anslutning

Befintlig programkod som ansluter till Azure SQL Database med hjälp av Microsoft.Data.SqlClient biblioteket eller Entity Framework Core fortsätter att fungera med lösenordslösa anslutningar. Du måste dock uppdatera databasen anslutningssträng för att kunna använda det lösenordslösa formatet. Följande kod fungerar till exempel med både SQL-autentisering och lösenordslösa anslutningar:

string connectionString = app.Configuration.GetConnectionString("AZURE_SQL_CONNECTIONSTRING")!;

using var conn = new SqlConnection(connectionString);
conn.Open();

var command = new SqlCommand("SELECT * FROM Persons", conn);
using SqlDataReader reader = command.ExecuteReader();

Så här uppdaterar du den refererade anslutningssträng (AZURE_SQL_CONNECTIONSTRING) för att använda det lösenordslösa anslutningssträng formatet:

1. Leta upp anslutningssträng. För lokal utveckling med .NET-program lagras detta vanligtvis på någon av följande platser:

   • Konfigurationsfilen appsettings.json för projektet.
   • Konfigurationsfilen launchsettings.json för Visual Studio-projekt.
   • Lokala system- eller containermiljövariabler.

2. Ersätt värdet anslutningssträng med följande lösenordslösa format. <database-server-name> Uppdatera platshållarna och <database-name> med dina egna värden:

   Server=tcp:<database-server-name>.database.windows.net,1433;Initial Catalog=<database-name>;
   Encrypt=True;TrustServerCertificate=False;Connection Timeout=30;Authentication="Active Directory Default";
   

Testa appen

Kör appen lokalt och kontrollera att anslutningarna till Azure SQL Database fungerar som förväntat. Tänk på att det kan ta flera minuter innan ändringar av Azure-användare och roller sprids via Din Azure-miljö. Ditt program är nu konfigurerat att köras lokalt utan att utvecklare behöver hantera hemligheter i själva programmet.

Konfigurera Azure-värdmiljön

När appen har konfigurerats för att använda lösenordslösa anslutningar lokalt kan samma kod autentiseras till Azure SQL Database när den har distribuerats till Azure. I avsnitten nedan beskrivs hur du konfigurerar ett distribuerat program för att ansluta till Azure SQL Database med hjälp av en hanterad identitet. Hanterade identiteter tillhandahåller en automatiskt hanterad identitet i Microsoft Entra-ID (tidigare Azure Active Directory) för program som ska användas när de ansluter till resurser som stöder Microsoft Entra-autentisering. Läs mer om hanterade identiteter:

• Översikt över lösenordslös
• Metodtips för hanterad identitet

Skapa den hanterade identiteten

Skapa en användartilldelad hanterad identitet med hjälp av Azure-portalen eller Azure CLI. Ditt program använder identiteten för att autentisera till andra tjänster.

Azure-portalen

1. Överst i Azure-portalen söker du efter hanterade identiteter. Välj resultatet Hanterade identiteter .
2. Välj + Skapa överst på översiktssidan för hanterade identiteter .
3. På fliken Grundläggande anger du följande värden:
   • Prenumeration: Välj önskad prenumeration.
   • Resursgrupp: Välj önskad resursgrupp.
   • Region: Välj en region nära din plats.
   • Namn: Ange ett igenkännbart namn för din identitet, till exempel MigrationIdentity.
4. Välj Granska + skapa längst ned på sidan.
5. När verifieringen har slutförts väljer du Skapa. Azure skapar en ny användartilldelad identitet.

När resursen har skapats väljer du Gå till resurs för att visa information om den hanterade identiteten.

Azure CLI

Använd kommandot az identity create för att skapa en användartilldelad hanterad identitet:

az identity create --name MigrationIdentity --resource-group <resource-group>

Associera den hanterade identiteten med din webbapp

Konfigurera webbappen så att den använder den användartilldelade hanterade identitet som du skapade.

Azure-portalen

Slutför följande steg i Azure-portalen för att associera den användartilldelade hanterade identiteten med din app. Samma steg gäller för följande Azure-tjänster:

• Azure Spring Apps
• Azure Container Apps
• Virtuella Azure-datorer
• Azure Kubernetes Service
• Gå till översiktssidan för webbappen.

1. Välj Identitet i det vänstra navigeringsfältet.

2. På sidan Identitet växlar du till fliken Användartilldelad .

3. Välj + Lägg till för att öppna den utfällbara menyn Lägg till användartilldelad hanterad identitet .

4. Välj den prenumeration som du använde tidigare för att skapa identiteten.

5. Sök efter MigrationIdentity efter namn och välj den i sökresultaten.

6. Välj Lägg till för att associera identiteten med din app.

   

Azure CLI

Använd följande Azure CLI-kommandon för att associera en identitet med din app:

Hämta det fullständigt kvalificerade resurs-ID:t för den hanterade identitet som du skapade med kommandot az identity show . Kopiera utdatavärdet som ska användas i nästa steg.

az identity show --name MigrationIdentity -g <your-identity-resource-group-name> --query id

Azure App Service

Du kan tilldela en hanterad identitet till en Azure App Service-instans med kommandot az webapp identity assign . Parametern --identities kräver det fullständigt kvalificerade resurs-ID:t för den hanterade identitet som du hämtade i föregående steg. Ett fullständigt kvalificerat resurs-ID börjar med '/subscriptions/{subscriptionId}' eller '/providers/{resourceProviderNamespace}/'.

az webapp identity assign \
    --resource-group <resource-group-name> \
    --name <webapp-name> \
    --identities <managed-identity-id>

Om du arbetar med Git Bash bör du vara försiktig med sökvägskonverteringar när du använder fullständigt kvalificerade resurs-ID:er. Om du vill inaktivera sökvägskonvertering lägger du till MSYS_NO_PATHCONV=1 i början av kommandot. Mer information finns i Automatisk översättning av resurs-ID:t.

Azure Spring Apps

Du kan tilldela en hanterad identitet till en Azure Spring Apps-instans med kommandot az spring app identity assign .

az spring app identity assign \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --service <service-name> \
    --user-assigned <managed-identity-id>

Azure Container Apps

Du kan tilldela en hanterad identitet till en virtuell dator med kommandot az containerapp identity assign .

az containerapp identity assign \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --user-assigned <managed-identity-id>

Azure Virtual Machines

Du kan tilldela en hanterad identitet till en virtuell dator med kommandot az vm identity assign .

az vm identity assign \
    --resource-group <resource-group-name> \
    --name <virtual-machine-name> \
    --identities <managed-identity-id>

Azure Kubernetes Service

Du kan tilldela en hanterad identitet till en AkS-instans (Azure Kubernetes Service) med kommandot az aks update .

az aks update \
    --resource-group <resource-group-name> \
    --name <cluster-name> \
    --enable-managed-identity \
    --assign-identity <managed-identity-id> \
    --assign-kubelet-identity <managed-identity-id>

Tjänst Anslut eller

Du kan använda Service Anslut or för att skapa en anslutning mellan en Azure Compute-värdmiljö och en måltjänst med hjälp av Azure CLI. Cli-kommandona för tjänst Anslut eller tilldelar automatiskt rätt roll till din identitet. Du kan läsa mer om Service Anslut or och vilka scenarier som stöds på översiktssidan.

1. Hämta klient-ID:t för den hanterade identitet som du skapade med kommandot az identity show . Kopiera värdet för senare användning.

   az identity show --name MigrationIdentity --resource-group <resource-group> --query clientId
   

2. Använd lämpligt CLI-kommando för att upprätta tjänstanslutningen:

   Azure App Service

   Om du använder en Azure App Service använder du kommandot az webapp connection :

   az webapp connection create storage-blob \
       --resource-group <resource-group-name> \
       --name <webapp-name> \
       --target-resource-group <target-resource-group-name> \
       --account <target-storage-account-name> \
       --user-identity "client-id=<your-identity-client-id>" "subs-id=<your-subscription-id>"
   

   Azure Spring Apps

   Om du använder Azure Spring Apps använder du kommandot az spring-cloud connection :

   az spring-cloud connection create storage-blob \
       --resource-group <resource-group-name> \
       --service <service-instance-name> \
       --app <app-name> \
       --deployment <deployment-name> \
       --target-resource-group <target-resource-group> \
       --account <target-storage-account-name> \
       --user-identity "client-id=<your-identity-client-id>" "subs-id=<your-subscription-id>"
   

   Azure Container Apps

   Om du använder Azure Container Apps använder du kommandot az containerapp connection :

   az containerapp connection create storage-blob \
       --resource-group <resource-group-name> \
       --name <containerapp-name> \
       --target-resource-group <target-resource-group-name> \
       --account <target-storage-account-name> \
       --user-identity "client-id=<your-identity-client-id>" "subs-id=<your-subscription-id>"
   

Skapa en databasanvändare för identiteten och tilldela roller

Skapa en SQL-databasanvändare som mappar tillbaka till den användartilldelade hanterade identiteten. Tilldela nödvändiga SQL-roller till användaren så att appen kan läsa, skriva och ändra data och schemat för databasen.

1. I Azure-portalen bläddrar du till din SQL-databas och väljer Frågeredigeraren (förhandsversion).

2. Välj Fortsätt som <username> till höger på skärmen för att logga in på databasen med ditt konto.

3. Kör följande T-SQL-kommandon i frågeredigerarens vy:

   CREATE USER [user-assigned-identity-name] FROM EXTERNAL PROVIDER;
   ALTER ROLE db_datareader ADD MEMBER [user-assigned-identity-name];
   ALTER ROLE db_datawriter ADD MEMBER [user-assigned-identity-name];
   ALTER ROLE db_ddladmin ADD MEMBER [user-assigned-identity-name];
   GO
   

   

   När du kör dessa kommandon tilldelas rollen SQL DB-deltagare till den användartilldelade hanterade identiteten. Med den här rollen kan identiteten läsa, skriva och ändra databasens data och schema.

---

Viktigt!

Var försiktig när du tilldelar databasanvändarroller i företagsproduktionsmiljöer. I dessa scenarier bör appen inte utföra alla åtgärder med en enda upphöjd identitet. Försök att implementera principen om minsta behörighet genom att konfigurera flera identiteter med specifika behörigheter för specifika uppgifter.

Du kan läsa mer om hur du konfigurerar databasroller och säkerhet på följande resurser:

• Självstudie: Skydda en databas i Azure SQL Database
• Auktorisera databasåtkomst till SQL Database

Uppdatera anslutningssträngen

Uppdatera azure-appkonfigurationen så att den använder det lösenordslösa anslutningssträng formatet. Anslut ionssträngar lagras vanligtvis som miljövariabler i din appvärdmiljö. Följande instruktioner fokuserar på App Service, men andra Azure-värdtjänster tillhandahåller liknande konfigurationer.

1. Gå till konfigurationssidan för din App Service-instans och leta upp Azure SQL Database-anslutningssträng.

2. Välj redigeringsikonen och uppdatera värdet för anslutningssträng så att det matchar följande format. <database-server-name> Ändra platshållarna och <database-name> med värdena för din egen tjänst.

   Server=tcp:<database-server-name>.database.windows.net,1433;Initial Catalog=<database-name>;
   Encrypt=True;TrustServerCertificate=False;Connection Timeout=30;Authentication="Active Directory Default";
   

3. Spara ändringarna och starta om programmet om det inte gör det automatiskt.

Testa programmet

Testa din app för att se till att allt fortfarande fungerar. Det kan ta några minuter innan alla ändringar sprids via Din Azure-miljö.

Nästa steg

I den här självstudien har du lärt dig hur du migrerar ett program till lösenordslösa anslutningar.

Du kan läsa följande resurser för att utforska begreppen som beskrivs i den här artikeln mer ingående:

• Översikt över lösenordslös
• Metodtips för hanterad identitet
• Självstudie: Skydda en databas i Azure SQL Database
• Auktorisera databasåtkomst till SQL Database