Migrera ett program för att använda lösenordslösa anslutningar med Azure Event Hubs

Programbegäranden till Azure-tjänster måste autentiseras med hjälp av konfigurationer som kontoåtkomstnycklar eller lösenordslösa anslutningar. Du bör dock prioritera lösenordslösa anslutningar i dina program när det är möjligt. Traditionella autentiseringsmetoder som använder lösenord eller hemliga nycklar skapar säkerhetsrisker och komplikationer. Gå till hubben för lösenordslösa anslutningar för Azure-tjänster för att lära dig mer om fördelarna med att flytta till lösenordslösa anslutningar.

I följande självstudie beskrivs hur du migrerar ett befintligt program för att ansluta med lösenordslösa anslutningar. Samma migreringssteg bör gälla oavsett om du använder åtkomstnycklar, niska veze eller någon annan hemlighetsbaserad metod.

Konfigurera din lokala utvecklingsmiljö

Lösenordslösa anslutningar kan konfigureras för att fungera för både lokala och Azure-värdbaserade miljöer. I det här avsnittet använder du konfigurationer för att tillåta enskilda användare att autentisera till Azure Event Hubs för lokal utveckling.

Tilldela användarroller

När du utvecklar lokalt kontrollerar du att användarkontot som har åtkomst till Azure Event Hubs har rätt behörigheter. Du behöver rollerna Azure Event Hubs Data Receiver och Azure Event Hubs Data Sender för att läsa och skriva meddelandedata. Om du vill tilldela dig själv den här rollen måste du tilldelas rollen Administratör för användaråtkomst eller en annan roll som innehåller åtgärden Microsoft.Authorization/roleAssignments/write . Du kan tilldela Azure RBAC-roller till en användare med hjälp av Azure-portalen, Azure CLI eller Azure PowerShell. Läs mer om tillgängliga omfång för rolltilldelningar på översiktssidan för omfång .

I följande exempel tilldelas rollerna Azure Event Hubs Data Sender och Azure Event Hubs Data Receiver till ditt användarkonto. Den här rollen ger läs- och skrivåtkomst till händelsehubbens meddelanden.

Azure-portalen

1. Leta upp din händelsehubb i Azure-portalen med hjälp av huvudsökfältet eller det vänstra navigeringsfältet.

2. På översiktssidan för händelsehubben väljer du Åtkomstkontroll (IAM) på den vänstra menyn.

3. På sidan Åtkomstkontroll (IAM) väljer du fliken Rolltilldelningar .

4. Välj + Lägg till på den översta menyn och sedan Lägg till rolltilldelning från den resulterande nedrullningsbara menyn.

   

5. Använd sökrutan för att filtrera resultatet till önskad roll. I det här exemplet söker du efter Azure Event Hubs Data Sender och väljer matchande resultat och väljer sedan Nästa.

6. Under Tilldela åtkomst till väljer du Användare, grupp eller tjänstens huvudnamn och sedan + Välj medlemmar.

7. I dialogrutan söker du efter ditt Microsoft Entra-användarnamn (vanligtvis din user@domain e-postadress) och väljer sedan Välj längst ned i dialogrutan.

8. Välj Granska + tilldela för att gå till den sista sidan och sedan Granska + tilldela igen för att slutföra processen.

9. Upprepa de här stegen för rollen Azure Event Hubs Data Receiver så att kontot kan skicka och ta emot meddelanden.

Azure CLI

Om du vill tilldela en roll på resursnivå med hjälp av Azure CLI måste du först hämta resurs-ID:t med kommandot az eventhubs eventhub show . Du kan filtrera utdataegenskaperna med hjälp av parametern --query .

az eventhubs eventhub show \
    --resource-group '<your-resource-group-name>' \
    --namespace-name '<your-event-hubs-namespace>' \
    --name '<your-event-hub-name>' \
    --query id

Kopiera utdata Id från föregående kommando. Du kan sedan tilldela roller med kommandot az role för Azure CLI.

az role assignment create --assignee "<user@domain>" \
    --role "Azure Event Hubs Data Receiver" \
    --scope "<your-resource-id>"

az role assignment create --assignee "<user@domain>" \
    --role "Azure Event Hubs Data Sender" \
    --scope "<your-resource-id>"

PowerShell

Om du vill tilldela en roll på resursnivå med Hjälp av Azure PowerShell måste du först hämta resurs-ID:t med kommandot Get-AzResource .

Get-AzResource -ResourceGroupName "<yourResourceGroupname>" -Name "<yourEventHubsNamespace>"

Kopiera värdet Id från föregående kommandoutdata. Du kan sedan tilldela roller med kommandot New-AzRoleAssignment i PowerShell.

New-AzRoleAssignment -SignInName <user@domain> `
    -RoleDefinitionName "Azure Event Hubs Data Receiver" `
    -Scope <yourEventHubsId>

New-AzRoleAssignment -SignInName <user@domain> `
    -RoleDefinitionName "Azure Event Hubs Data Sender" `
    -Scope <yourEventHubsId>

Viktigt!

I de flesta fall tar det en minut eller två för rolltilldelningen att spridas i Azure, men i sällsynta fall kan det ta upp till åtta minuter. Om du får autentiseringsfel när du först kör koden väntar du en stund och försöker igen.

Logga in på Azure lokalt

För lokal utveckling kontrollerar du att du är autentiserad med samma Microsoft Entra-konto som du tilldelade rollen till. Du kan autentisera via populära utvecklingsverktyg, till exempel Azure CLI eller Azure PowerShell. De utvecklingsverktyg som du kan autentisera med varierar mellan olika språk.

Azure CLI

Logga in på Azure via Azure CLI med följande kommando:

az login

Visual Studio

Välj knappen Logga in längst upp till höger i Visual Studio.

Logga in med det Microsoft Entra-konto som du tilldelade en roll till tidigare.

Visual Studio Code

Du måste installera Azure CLI för att arbeta med DefaultAzureCredential via Visual Studio Code.

Gå till Terminal > Ny terminal på huvudmenyn i Visual Studio Code.

Logga in på Azure via Azure CLI med följande kommando:

az login

PowerShell

Logga in på Azure med hjälp av PowerShell via följande kommando:

Connect-AzAccount

Uppdatera programkoden för att använda lösenordslösa anslutningar

Azure Identity-klientbiblioteket för vart och ett av följande ekosystem tillhandahåller en DefaultAzureCredential klass som hanterar lösenordslös autentisering till Azure:

• .NET
• C++
• Kör
• Java
• Node.js
• Python

DefaultAzureCredential stöder flera autentiseringsmetoder. Vilken metod som ska användas bestäms vid körning. Med den här metoden kan din app använda olika autentiseringsmetoder i olika miljöer (lokalt jämfört med produktion) utan att implementera miljöspecifik kod. Se föregående länkar för den ordning och de platser där DefaultAzureCredential autentiseringsuppgifterna söks.

.NET

1. Om du vill använda DefaultAzureCredential i ett .NET-program installerar du Azure.Identity paketet:

   dotnet add package Azure.Identity
   

2. Lägg till följande kod överst i filen:

   using Azure.Identity;
   

3. Identifiera de platser i koden som skapar ett EventHubProducerClient eller EventProcessorClient -objekt för att ansluta till Azure Event Hubs. Uppdatera koden så att den matchar följande exempel:

   DefaultAzureCredential credential = new();
   var eventHubNamespace = $"https://{namespace}.servicebus.windows.net";
   
   // Event Hubs producer
   EventHubProducerClient producerClient = new(
       eventHubNamespace,
       eventHubName,
       credential);
   
   // Event Hubs processor
   EventProcessorClient processorClient = new(
       storageClient,
       EventHubConsumerClient.DefaultConsumerGroupName,
       eventHubNamespace,
       eventHubName,
       credential);
   

Kör

1. Installera modulen för azidentity att använda DefaultAzureCredential i ett Go-program:

   go get -u github.com/Azure/azure-sdk-for-go/sdk/azidentity
   

2. Lägg till följande kod överst i filen:

   import (
       "github.com/Azure/azure-sdk-for-go/sdk/azidentity"
   )
   

3. Identifiera de platser i koden som skapar en eller ConsumerClient en ProducerClient instans för att ansluta till Azure Event Hubs. Uppdatera koden så att den matchar följande exempel:

   credential, err := azidentity.NewDefaultAzureCredential(nil)
   eventHubNamespace := fmt.Sprintf(
       "https://%s.servicebus.windows.net",
       namespace)
   
   if err != nil {
       // handle error
   }
   
   // Event Hubs producer
   producerClient, err = azeventhubs.NewProducerClient(
       eventHubNamespace,
       eventHubName,
       credential,
       nil)
   
   if err != nil {
       // handle error
   }
   
   // Event Hubs processor
   processorClient, err = azeventhubs.NewConsumerClient(
       eventHubNamespace,
       eventHubName,
       azeventhubs.DefaultConsumerGroup,
       credential,
       nil)
   
   if err != nil {
       // handle error
   }
   

Java

1. Om du vill använda DefaultAzureCredential i ett Java-program installerar azure-identity du paketet via någon av följande metoder:

   1. Inkludera BOM-filen.
   2. Inkludera ett direkt beroende.

2. Lägg till följande kod överst i filen:

   import com.azure.identity.DefaultAzureCredentialBuilder;
   

3. Identifiera de platser i koden som skapar ett EventHubProducerClient eller EventProcessorClient -objekt för att ansluta till Azure Event Hubs. Uppdatera koden så att den matchar följande exempel:

   DefaultAzureCredential credential = new DefaultAzureCredentialBuilder()
       .build();
   String eventHubNamespace = "https://" + namespace + ".servicebus.windows.net";
   
   // Event Hubs producer
   EventHubProducerClient producerClient = new EventHubClientBuilder()
       .credential(eventHubNamespace, eventHubName, credential)
       .buildProducerClient();
   
   // Event Hubs processor
   EventProcessorClient processorClient = new EventProcessorClientBuilder()
       .consumerGroup(consumerGroupName)
       .credential(eventHubNamespace, eventHubName, credential)
       .checkpointStore(new SampleCheckpointStore())
       .processEvent(eventContext -> {
           System.out.println(
               "Partition ID = " +
               eventContext.getPartitionContext().getPartitionId() +
               " and sequence number of event = " +
               eventContext.getEventData().getSequenceNumber());
       })
       .processError(errorContext -> {
           System.out.println(
               "Error occurred while processing events " +
               errorContext.getThrowable().getMessage());
       })
       .buildEventProcessorClient();
   

Node.js

1. Installera paketet om du vill använda DefaultAzureCredential i ett Node.js program @azure/identity :

   npm install --save @azure/identity
   

2. Lägg till följande kod överst i filen:

   import { DefaultAzureCredential } from "@azure/identity";
   

3. Identifiera de platser i koden som skapar ett EventHubProducerClient eller EventHubConsumerClient -objekt för att ansluta till Azure Event Hubs. Uppdatera koden så att den matchar följande exempel:

   const credential = new DefaultAzureCredential();
   const eventHubNamespace = `https://${namespace}.servicebus.windows.net`;
   
   // Event Hubs producer    
   const producerClient = new EventHubProducerClient(
       eventHubNamespace,
       eventHubName,
       credential);
   
   // Event Hubs processor
   const processorClient = new EventHubConsumerClient(
       consumerGroupName,
       eventHubNamespace,
       eventHubName,
       credential
   );
   

Python

1. Om du vill använda DefaultAzureCredential i ett Python-program installerar du azure-identity paketet:

   pip install azure-identity
   

2. Lägg till följande kod överst i filen:

   from azure.identity import DefaultAzureCredential
   

3. Identifiera de platser i koden som skapar ett EventHubProducerClient eller EventHubConsumerClient -objekt för att ansluta till Azure Event Hubs. Uppdatera koden så att den matchar följande exempel:

   credential = DefaultAzureCredential()
   event_hub_namespace = "https://%s.servicebus.windows.net" % namespace
   
   # Event Hubs producer
   producer_client = EventHubProducerClient(
       fully_qualified_namespace = event_hub_namespace,
       eventhub_name = event_hub_name,
       credential = credential
   )
   
   # Event Hubs processor
   processor_client = EventHubConsumerClient(
       fully_qualified_namespace = event_hub_namespace,
       eventhub_name = event_hub_name,
       consumer_group = "$Default",
       checkpoint_store = checkpoint_store,
       credential = credential
   )
   

4. Se till att uppdatera händelsehubbens namnområde i URI:n för dina EventHubProducerClient eller EventProcessorClient objekten. Du hittar namnområdets namn på översiktssidan i Azure-portalen.

   

Köra appen lokalt

När du har gjort dessa kodändringar kör du programmet lokalt. Den nya konfigurationen bör hämta dina lokala autentiseringsuppgifter, till exempel Azure CLI, Visual Studio eller IntelliJ. Med de roller som du har tilldelat till din användare i Azure kan din app ansluta till Azure-tjänsten lokalt.

Konfigurera Azure-värdmiljön

När programmet har konfigurerats för att använda lösenordslösa anslutningar och körs lokalt kan samma kod autentisera till Azure-tjänster när den har distribuerats till Azure. I avsnitten nedan beskrivs hur du konfigurerar ett distribuerat program för att ansluta till Azure Event Hubs med hjälp av en hanterad identitet. Hanterade identiteter ger en automatiskt hanterad identitet i Microsoft Entra ID som program kan använda vid anslutning till resurser som stöder autentisering med Microsoft Entra. Läs mer om hanterade identiteter:

• Översikt över lösenordslös
• Metodtips för hanterad identitet

Skapa den hanterade identiteten

Du kan skapa en användartilldelad hanterad identitet med hjälp av Azure-portalen eller Azure CLI. Ditt program använder identiteten för att autentisera till andra tjänster.

Azure-portalen

1. Överst i Azure-portalen söker du efter hanterade identiteter. Välj resultatet Hanterade identiteter .
2. Välj + Skapa överst på översiktssidan för hanterade identiteter .
3. På fliken Grundläggande anger du följande värden:
   • Prenumeration: Välj önskad prenumeration.
   • Resursgrupp: Välj önskad resursgrupp.
   • Region: Välj en region nära din plats.
   • Namn: Ange ett igenkännbart namn för din identitet, till exempel MigrationIdentity.
4. Välj Granska + skapa längst ned på sidan.
5. När verifieringen har slutförts väljer du Skapa. Azure skapar en ny användartilldelad identitet.

När resursen har skapats väljer du Gå till resurs för att visa information om den hanterade identiteten.

Azure CLI

Använd kommandot az identity create för att skapa en användartilldelad hanterad identitet:

az identity create --name MigrationIdentity --resource-group <your-resource-group>

Associera den hanterade identiteten med din webbapp

Du måste konfigurera webbappen så att den använder den hanterade identitet som du skapade. Tilldela identiteten till din app med hjälp av antingen Azure-portalen eller Azure CLI.

Azure-portalen

Slutför följande steg i Azure-portalen för att associera en identitet med din app. Samma steg gäller för följande Azure-tjänster:

• Azure Spring Apps
• Azure Container Apps
• Virtuella Azure-datorer
• Azure Kubernetes Service

1. Gå till översiktssidan för webbappen.

2. Välj Identitet i det vänstra navigeringsfältet.

3. På sidan Identitet växlar du till fliken Användartilldelad .

4. Välj + Lägg till för att öppna den utfällbara menyn Lägg till användartilldelad hanterad identitet .

5. Välj den prenumeration som du använde tidigare för att skapa identiteten.

6. Sök efter MigrationIdentity efter namn och välj den i sökresultaten.

7. Välj Lägg till för att associera identiteten med din app.

   

Azure CLI

Använd följande Azure CLI-kommandon för att associera en identitet med din app:

Hämta ID:t för den hanterade identitet som du skapade med kommandot az identity show . Kopiera utdatavärdet som ska användas i nästa steg.

az identity show --name MigrationIdentity -g <your-identity-resource-group-name> --query id

Azure App Service

Du kan tilldela en hanterad identitet till en Azure App Service-instans med kommandot az webapp identity assign .

az webapp identity assign \
    --resource-group <resource-group-name> \
    --name <webapp-name>
    --identities <managed-identity-id>

Azure Spring Apps

Du kan tilldela en hanterad identitet till en Azure Spring Apps-instans med kommandot az spring app identity assign .

az spring app identity assign \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --service <service-name>
    --user-assigned <managed-identity-id>

Azure Container Apps

Du kan tilldela en hanterad identitet till en virtuell dator med kommandot az containerapp identity assign .

az containerapp identity assign \
    --resource-group <resource-group-name> \
    --name <app-name>
    --user-assigned <managed-identity-id>

Azure Virtual Machines

Du kan tilldela en hanterad identitet till en virtuell dator med kommandot az vm identity assign .

az vm identity assign \
    --resource-group <resource-group-name> \
    --name <virtual-machine-name>
    --identities <managed-identity-id>

Azure Kubernetes Service

Du kan tilldela en hanterad identitet till en AkS-instans (Azure Kubernetes Service) med kommandot az aks update .

az aks update \
    --resource-group <resource-group-name> \
    --name <cluster-name> \
    --enable-managed-identity \
    --assign-identity <managed-identity-id> \
    --assign-kubelet-identity <managed-identity-id>

Tjänstanslutning

Du kan använda Service Connector för att skapa en anslutning mellan en Azure Compute-värdmiljö och en måltjänst med hjälp av Azure CLI. Cli-kommandona för Service Connector tilldelar automatiskt rätt roll till din identitet. Du kan läsa mer om Service Connector och vilka scenarier som stöds på översiktssidan.

1. Hämta klient-ID:t för den hanterade identitet som du skapade med kommandot az identity show . Kopiera värdet för senare användning.

   az identity show \
       --name MigrationIdentity \
       --resource-group <your-resource-group> \
       --query clientId
   

2. Använd lämpligt CLI-kommando för att upprätta tjänstanslutningen:

   Azure App Service

   Om du använder en Azure App Service använder du kommandot az webapp connection :

   az webapp connection create eventhub \
       --resource-group <resource-group-name> \
       --name <webapp-name> \
       --target-resource-group <target-resource-group-name> \
       --account <target-event-hub-namespace> \
       --user-identity "client-id=<your-identity-client-id>" "subs-id=<your-subscription-id>"
   

   Azure Spring Apps

   Om du använder Azure Spring Apps använder du kommandot az spring-cloud connection :

   az spring-cloud connection create eventhub \
       --resource-group <resource-group-name> \
       --service <service-instance-name> \
       --app <app-name> \
       --deployment <deployment-name> \
       --target-resource-group <target-resource-group> \
       --account <target-event-hub-namespace> \
       --user-identity "client-id=<your-identity-client-id>" "subs-id=<your-subscription-id>"
   

   Azure Container Apps

   Om du använder Azure Container Apps använder du kommandot az containerapp connection :

   az containerapp connection create eventhub \
       --resource-group <resource-group-name> \
       --name <containerapp-name> \
       --target-resource-group <target-resource-group> \
       --account <target-event-hub-namespace> \
       --user-identity "client-id=<your-identity-client-id>" "subs-id=<your-subscription-id>"
   

Tilldela roller till den hanterade identiteten

Därefter måste du bevilja behörigheter till den hanterade identitet som du skapade för att få åtkomst till din händelsehubb. Bevilja behörigheter genom att tilldela en roll till den hanterade identiteten, precis som du gjorde med din lokala utvecklingsanvändare.

Azure-portalen

1. Gå till översiktssidan för händelsehubben och välj Åtkomstkontroll (IAM) i det vänstra navigeringsfältet.

2. Välj Lägg till rolltilldelning

   

3. I sökrutan Roll söker du efter Azure Event Hubs Data Sender, som är en vanlig roll som används för att hantera dataåtgärder för köer. Du kan tilldela vilken roll som är lämplig för ditt användningsfall. Välj Azure Event Hubs Data Sender i listan och välj Nästa.

4. På skärmen Lägg till rolltilldelning går du till alternativet Tilldela åtkomst till och väljer Hanterad identitet. Välj sedan +Välj medlemmar.

5. I den utfällbara menyn söker du efter den hanterade identitet som du skapade med namn och väljer den i resultatet. Välj Välj för att stänga den utfällbara menyn.

   

6. Välj Nästa ett par gånger tills du kan välja Granska + tilldela för att slutföra rolltilldelningen.

7. Upprepa de här stegen för rollen Azure Event Hub Data Receiver .

Azure CLI

Om du vill tilldela en roll på resursnivå med hjälp av Azure CLI måste du först hämta resurs-ID:t med kommandot az eventhubs eventhub show show. Du kan filtrera utdataegenskaperna med hjälp av parametern --query .

az eventhubs eventhub show \
    --resource-group '<your-resource-group-name>' \
    --namespace-name '<your-event-hubs-namespace>' \
    --name '<your-event-hub-name>' \
    --query id

Kopiera utdata-ID:t från föregående kommando. Du kan sedan tilldela roller med kommandot az role assignment i Azure CLI.

az role assignment create --assignee "<user@domain>" \
    --role "Azure Event Hubs Data Receiver" \
    --scope "<your-resource-id>"

az role assignment create --assignee "<user@domain>" \
    --role "Azure Event Hubs Data Sender" \
    --scope "<your-resource-id>"

Tjänstanslutning

Om du har anslutit dina tjänster med hjälp av Service Connector behöver du inte slutföra det här steget. De nödvändiga rollkonfigurationerna hanterades åt dig när du körde CLI-kommandona för Service Connector.

Uppdatera programkoden

Du måste konfigurera programkoden för att söka efter den specifika hanterade identitet som du skapade när den distribuerades till Azure. I vissa scenarier förhindrar explicit inställning av den hanterade identiteten för appen även andra miljöidentiteter från att oavsiktligt identifieras och användas automatiskt.

1. På översiktssidan för hanterad identitet kopierar du klient-ID-värdet till Urklipp.

2. Tillämpa följande språkspecifika ändringar:

   .NET

   Skapa ett DefaultAzureCredentialOptions objekt och skicka det till DefaultAzureCredential. Ange egenskapen ManagedIdentityClientId till klient-ID:t.

   DefaultAzureCredential credential = new(
       new DefaultAzureCredentialOptions
       {
           ManagedIdentityClientId = managedIdentityClientId
       });
   

   Kör

   AZURE_CLIENT_ID Ange miljövariabeln till klient-ID för hanterad identitet. DefaultAzureCredential läser den här miljövariabeln.

   Java

   Anropa metoden managedIdentityClientId. Skicka klient-ID:t till det.

   DefaultAzureCredential credential = new DefaultAzureCredentialBuilder()
       .managedIdentityClientId(managedIdentityClientId)
       .build();
   

   Node.js

   Skapa ett DefaultAzureCredentialClientIdOptions objekt med egenskapen managedIdentityClientId inställt på klient-ID:t. Skicka objektet till DefaultAzureCredential konstruktorn.

   const credential = new DefaultAzureCredential({
     managedIdentityClientId
   });
   

   Python

   DefaultAzureCredential Ange konstruktorns managed_identity_client_id parameter till klient-ID:t.

   credential = DefaultAzureCredential(
       managed_identity_client_id = managed_identity_client_id
   )
   

3. Distribuera om koden till Azure när du har gjort den här ändringen för att konfigurationsuppdateringarna ska tillämpas.

Testa appen

När du har distribuerat den uppdaterade koden bläddrar du till ditt värdbaserade program i webbläsaren. Appen bör kunna ansluta till händelsehubben. Tänk på att det kan ta flera minuter innan rolltilldelningarna sprids via din Azure-miljö. Ditt program är nu konfigurerat att köras både lokalt och i en produktionsmiljö utan att utvecklarna behöver hantera hemligheter i själva programmet.

Nästa steg

I den här självstudien har du lärt dig hur du migrerar ett program till lösenordslösa anslutningar.

Du kan läsa följande resurser för att utforska begreppen som beskrivs i den här artikeln mer ingående:

• Lösenordslösa anslutningar för Azure-tjänster
• Mer information om .NET finns i Kom igång med .NET på 10 minuter.