Kılavuz: Yönetilen kimlik kullanarak gizlilik bilgileri kullanmadan App Service'ten Azure veritabanlarına bağlanma

App Service, Azure’da yüksek oranda ölçeklenebilen, kendi kendine düzeltme eki uygulayan bir web barındırma hizmeti sunar. Ayrıca uygulamanız için yönetilen bir kimlik sağlar. Bu, aşağıdakiler dahil olmak üzere Azure veritabanlarına erişimi güvenli hale getirmek için anahtar teslimi bir çözümdür:

• Azure SQL Veritabanı
• MySQL için Azure Veritabanı
• PostgreSQL için Azure Veritabanı

Uyarı

Bu öğretici, Microsoft Entra kimlik doğrulamasını farklı şekilde destekleyen Azure Cosmos DB kılavuzlarını içermez. Daha fazla bilgi için Azure Cosmos DB verilerine erişmek için sistem tarafından atanan yönetilen kimlikleri kullanma gibi Azure Cosmos DB belgelerine bakın.

App Service içindeki yönetilen kimlikler, bağlantı dizelerindeki kimlik bilgileri gibi uygulamanızdaki gizli dizileri ortadan kaldırarak uygulamanızı daha güvenli hale getirir. Bu öğreticide, yönetilen kimlikleri kullanarak App Service'ten yukarıda bahsedilen veritabanlarına nasıl bağlanabileceğiniz gösterilir.

Öğreneceğiniz şeyler:

• Microsoft Entra kullanıcısını Azure veritabanınız için yönetici olarak yapılandırın.
• Veritabanınıza Microsoft Entra kullanıcısı olarak bağlanın.
• App Service uygulaması için sistem tarafından atanan veya kullanıcı tarafından atanan yönetilen kimliği yapılandırın.
• Yönetilen kimlik için veritabanı erişimi tanıyın.
• Yönetilen kimlik kullanarak kodunuzdan (.NET Framework 4.8, .NET 6, Node.js, Python, Java) Azure veritabanına bağlanın.
• Microsoft Entra kullanıcısını kullanarak geliştirme ortamınızdan Azure veritabanına bağlanın.

Azure hesabınız yoksa, başlamadan önce ücretsiz hesap oluşturun.

Önkoşullar

• App Service'te .NET, Node.js, Python veya Java tabanlı bir uygulama oluşturun.
• Azure SQL Veritabanı, MySQL için Azure Veritabanı veya PostgreSQL için Azure Veritabanı ile bir veritabanı sunucusu oluşturun.
• Standart bağlantı desenini (kullanıcı adı ve parola ile) tanımanız ve App Service uygulamanızdan tercih ettiğiniz veritabanınıza başarıyla bağlanabilmeniz gerekir.

Ortamınızı Azure CLI için hazırlayın.

• Azure Cloud Shell'de Bash ortamını kullanın. Daha fazla bilgi için bkz. Azure Cloud Shell'i kullanmaya başlama.

  

• CLI referans komutlarını yerel olarak çalıştırmayı tercih ediyorsanız, Azure CLI'yi yükleyin. Windows veya macOS üzerinde çalışıyorsanız, Azure CLI'yi bir Docker konteynerinde çalıştırmayı düşünün. Daha fazla bilgi için Azure CLI'nin bir Docker konteynerında nasıl çalıştırılacağını inceleyin.

  • Yerel bir kurulum kullanıyorsanız, az login komutunu kullanarak Azure CLI'ye giriş yapın. Kimlik doğrulama işlemini tamamlamak için, terminalinizde görüntülenen adımları takip edin. Diğer oturum açma seçenekleri için bkz. Azure CLI kullanarak Azure'da kimlik doğrulaması.

  • İstendiğinde, ilk kullanımda Azure CLI uzantısını yükleyin. Uzantılar hakkında daha fazla bilgi için bkz. Azure CLI ile uzantıları kullanma ve yönetme.

  • Yüklü olan sürümü ve bağımlı kütüphaneleri bulmak için az version komutunu çalıştırın. En son sürüme yükseltmek için az upgrade komutunu çalıştırın.

1. Hizmet Bağlayıcısı parolasız uzantısını yükleyin

Azure CLI için en son Hizmet Bağlayıcısı parolasız uzantısını yükleyin:

az extension add --name serviceconnector-passwordless --upgrade

Uyarı

Lütfen az version komutunu çalıştırarak "serviceconnector-passwordless" uzantısının sürümünün "2.0.2" veya üzeri olduğunu kontrol edin. Uzantı sürümünü yükseltmek için önce Azure CLI'yi yükseltmeniz gerekebilir.

2. Parolasız bağlantı oluşturma

Ardından, Service Connector ile parolasız bir bağlantı oluşturun.

Tavsiye

Azure portalı aşağıdaki komutları oluşturmanıza yardımcı olabilir. Azure portalında Azure App Service kaynağınıza gidin, sol menüden Hizmet Bağlayıcısı'nı seçin ve Oluştur'u seçin. Formu tüm gerekli parametrelerle doldurun. Azure, CLI'da kullanmak veya Azure Cloud Shell'de yürütmek üzere kopyalayabileceğiniz bağlantı oluşturma komutunu otomatik olarak oluşturur.

Azure SQL Veritabanı

Aşağıdaki Azure CLI komutu bir --client-type parametre kullanır.

1. İsteğe bağlı olarak, desteklenen istemci türlerini almak için komutunu az webapp connection create sql -h çalıştırın.

2. bir istemci türü seçin ve karşılık gelen komutu çalıştırın. Aşağıdaki yer tutucuları kendi bilgilerinizle değiştirin.

   Kullanıcı tarafından atanan yönetilen kimlik

   az webapp connection create sql \
       --resource-group <group-name> \
       --name <server-name> \
       --target-resource-group <sql-group-name> \
       --server <sql-name> \
       --database <database-name> \
       --user-identity client-id=<client-id> subs-id=<subscription-id> \
       --client-type <client-type>
   

   Sistem tarafından atanan yönetilen kimlik

   az webapp connection create sql \
       --resource-group <group-name> \
       --name <server-name> \
       --target-resource-group <group-name> \
       --server <sql-name> \
       --database <database-name> \
       --system-identity \
       --client-type <client-type>
   

MySQL için Azure Veritabanı

Uyarı

MySQL için Azure Veritabanı - Esnek Sunucu için öncelikle kullanıcı tarafından atanan ayrı bir yönetilen kimlik ve belirli Microsoft Graph izinleri gerektiren Microsoft Entra kimlik doğrulamasını el ile ayarlamanız gerekir. Bu adım otomatikleştirilemez.

1. MySQL için Azure Veritabanı - Esnek Sunucu için Microsoft Entra kimlik doğrulamasını el ile ayarlayın.

2. İsteğe bağlı olarak, desteklenen istemci türlerini almak için komutunu az webapp connection create mysql-flexible -h çalıştırın.

3. bir istemci türü seçin ve karşılık gelen komutu çalıştırın. Aşağıdaki Azure CLI komutu bir --client-type parametre kullanır.

   Kullanıcı tarafından atanan yönetilen kimlik

   az webapp connection create mysql-flexible \
       --resource-group <group-name> \
       --name <server-name> \
       --target-resource-group <group-name> \
       --server <mysql-name> \
       --database <database-name> \
       --user-identity client-id=XX subs-id=XX mysql-identity-id=$IDENTITY_RESOURCE_ID \
       --client-type <client-type>
   

   Sistem tarafından atanan yönetilen kimlik

   az webapp connection create mysql-flexible \
   --resource-group <group-name> \
   --name <server-name> \
   --target-resource-group <group-name> \
   --server <mysql-name> \
   --database <database-name> \
   --system-identity mysql-identity-id=$IDENTITY_RESOURCE_ID \
   --client-type <client-type>
   

PostgreSQL için Azure Veritabanı

Aşağıdaki Azure CLI komutu bir --client-type parametre kullanır.

1. İsteğe bağlı olarak komutunu az webapp connection create postgres-flexible -h çalıştırarak desteklenen tüm istemci türlerinin listesini alın.

2. bir istemci türü seçin ve karşılık gelen komutu çalıştırın.

   Kullanıcı tarafından atanan yönetilen kimlik

   az webapp connection create postgres-flexible \
       --resource-group <group-name> \
       --name <server-name> \
       --target-resource-group <group-name> \
       --server <postgresql-name> \
       --database <database-name> \
       --user-identity client-id=XX subs-id=XX \
       --client-type java
   

   Sistem tarafından atanan yönetilen kimlik

   az webapp connection create postgres-flexible \
       --resource-group <group-name> \
       --name <server-name> \
       --target-resource-group <group-name> \
       --server <postgresql-name> \
       --database <database-name> \
       --system-identity \
       --client-type <client-type>
   

3. Önceden oluşturulmuş tablolara izin verme

Ardından, Hizmet Bağlayıcısı'nı kullanmadan önce PostgreSQL esnek sunucusunda tablolar ve diziler oluşturduysanız, sahip olarak bağlanmanız ve Hizmet Bağlayıcısı tarafından oluşturulma izni <aad-username> vermeniz gerekir. Hizmet Bağlayıcısı tarafından ayarlanan bağlantı dizesi veya yapılandırmadaki kullanıcı adı gibi aad_<connection name>görünmelidir. Azure portalını kullanıyorsanız sütunun yanındaki Service Type genişlet düğmesini seçin ve değeri alın. Azure CLI kullanıyorsanız CLI komut çıkışını denetleyin configurations .

Ardından, izin vermek için sorguyu çalıştırın

az extension add --name rdbms-connect

az postgres flexible-server execute -n <postgres-name> -u <owner-username> -p "<owner-password>" -d <database-name> --querytext "GRANT ALL PRIVILEGES ON ALL TABLES IN SCHEMA public TO \"<aad-username>\";GRANT ALL PRIVILEGES ON ALL SEQUENCES IN SCHEMA public TO \"<aad username>\";"

<owner-username> ve<owner-password>, başkalarına izin verebilen mevcut tablonun sahibidir. <aad-username> , Service Connector tarafından oluşturulan kullanıcıdır. Bunları gerçek değerle değiştirin.

Sonucu şu komutla doğrulayın:

az postgres flexible-server execute -n <postgres-name> -u <owner-username> -p "<owner-password>" -d <database-name> --querytext "SELECT distinct(table_name) FROM information_schema.table_privileges WHERE grantee='<aad-username>' AND table_schema='public';" --output table

Bu Hizmet Bağlayıcısı komutu arka planda aşağıdaki görevleri tamamlar:

• Sistem tarafından atanan yönetilen kimliği etkinleştirin veya Azure App Service tarafından barındırılan uygulama <server-name> için bir kullanıcı kimliği atayın.
• Microsoft Entra yöneticisini geçerli oturum açmış kullanıcı olarak ayarlayın.
• Sistem tarafından atanan yönetilen kimlik veya kullanıcı tarafından atanan yönetilen kimlik için veritabanı kullanıcısı ekleyin. Veritabanının <database-name> tüm ayrıcalıklarını bu kullanıcıya verin. Kullanıcı adı, önceki komut çıkışındaki bağlantı dizesinde bulunabilir.
• veritabanı türüne göre , AZURE_MYSQL_CONNECTIONSTRINGveya AZURE_POSTGRESQL_CONNECTIONSTRING adlı AZURE_SQL_CONNECTIONSTRINGyapılandırmaları Azure kaynağına ayarlayın.
• App Service için yapılandırmalar Uygulama Ayarları dikey penceresinde ayarlanır.

Bağlantı oluştururken herhangi bir sorunla karşılaşırsanız yardım için Sorun giderme bölümüne bakın.

3. Kodunuzu değiştirme

Azure SQL Veritabanı

.NET

1. Bağımlılıkları yükleyin.

   dotnet add package Microsoft.Data.SqlClient
   

2. Service Connector tarafından eklenen ortam değişkeninden Azure SQL Veritabanı bağlantı dizesi alın.

   using Microsoft.Data.SqlClient;
   
   // AZURE_SQL_CONNECTIONSTRING should be one of the following:
   // For system-assigned managed identity:"Server=tcp:<server-name>.database.windows.net;Database=<database-name>;Authentication=Active Directory Default;TrustServerCertificate=True"
   // For user-assigned managed identity: "Server=tcp:<server-name>.database.windows.net;Database=<database-name>;Authentication=Active Directory Default;User Id=<client-id-of-user-assigned-identity>;TrustServerCertificate=True"
   
   string connectionString = 
       Environment.GetEnvironmentVariable("AZURE_SQL_CONNECTIONSTRING")!;
   
   using var connection = new SqlConnection(connectionString);
   connection.Open();
   

   Daha fazla bilgi için bkz. Active Directory Yönetilen Kimlik kimlik doğrulamasını kullanma.

Java

1. pom.xml dosyanıza aşağıdaki bağımlılıkları ekleyin:

   <dependency>
       <groupId>com.azure</groupId>
       <artifactId>azure-identity</artifactId>
       <version>1.4.6</version>
   </dependency>
   <dependency>
       <groupId>com.microsoft.sqlserver</groupId>
       <artifactId>mssql-jdbc</artifactId>
       <version>10.2.0.jre11</version>
   </dependency>
   

2. Service Connector tarafından eklenen ortam değişkeninden Azure SQL Veritabanı bağlantı dizesi alın.

   import java.sql.Connection;
   import java.sql.ResultSet;
   import java.sql.Statement;
   
   import com.microsoft.sqlserver.jdbc.SQLServerDataSource;
   
   public class Main {
       public static void main(String[] args) {
           // AZURE_SQL_CONNECTIONSTRING should be one of the following:
           // For system-assigned managed identity: "jdbc:sqlserver://{SQLName}.database.windows.net:1433;databaseName={SQLDbName};authentication=ActiveDirectoryMSI;"
           // For user-assigned managed identity: "jdbc:sqlserver://{SQLName}.database.windows.net:1433;databaseName={SQLDbName};msiClientId={UserAssignedMiClientId};authentication=ActiveDirectoryMSI;"
           String connectionString = System.getenv("AZURE_SQL_CONNECTIONSTRING");
           SQLServerDataSource ds = new SQLServerDataSource();
           ds.setURL(connectionString);
           try (Connection connection = ds.getConnection()) {
               System.out.println("Connected successfully.");
           } catch (SQLException e) {
               e.printStackTrace();
           }
       }
   }
   

Daha fazla bilgi için bkz. Microsoft Entra kimlik doğrulamasını kullanarak bağlanma.

Piton

1. Bağımlılıkları yükleyin.

   python -m pip install pyodbc
   

2. Service Connector tarafından eklenen ortam değişkeninden Azure SQL Veritabanı bağlantı yapılandırmalarını alın. Kullanmak istediğiniz kimlik doğrulama türü için kod parçacığının bölümünü yorum satırından çıkarın.

   import os;
   import pyodbc
   
   server = os.getenv('AZURE_SQL_SERVER')
   port = os.getenv('AZURE_SQL_PORT')
   database = os.getenv('AZURE_SQL_DATABASE')
   authentication = os.getenv('AZURE_SQL_AUTHENTICATION')  # The value should be 'ActiveDirectoryMsi'
   
   # Uncomment the following lines according to the authentication type.
   # For system-assigned managed identity.
   # connString = f'Driver={{ODBC Driver 18 for SQL Server}};Server={server},{port};Database={database};Authentication={authentication};Encrypt=yes;'
   
   # For user-assigned managed identity.
   # client_id = os.getenv('AZURE_SQL_USER')
   # connString = f'Driver={{ODBC Driver 18 for SQL Server}};Server={server},{port};Database={database};UID={client_id};Authentication={authentication};Encrypt=yes;'
   
   conn = pyodbc.connect(connString)
   

   Alternatif bir yöntem için erişim belirteci kullanarak Azure SQL Veritabanı'na da bağlanabilirsiniz. Azure SQL Veritabanı ile parolasız bağlantılar kullanmak için Python uygulamasını geçirme bölümüne bakın.

NodeJS

1. Bağımlılıkları yükleyin.

   npm install mssql
   

2. Hizmet Bağlayıcısı tarafından eklenen ortam değişkenlerinden Azure SQL Veritabanı bağlantı yapılandırmalarını alın. Kullanmak istediğiniz kimlik doğrulama türü için kod parçacığının bölümünü yorum satırından çıkarın.

   import sql from 'mssql';
   
   const server = process.env.AZURE_SQL_SERVER;
   const database = process.env.AZURE_SQL_DATABASE;
   const port = parseInt(process.env.AZURE_SQL_PORT);
   const authenticationType = process.env.AZURE_SQL_AUTHENTICATIONTYPE;
   
   // Uncomment the following lines according to the authentication type.
   // For system-assigned managed identity.
   // const config = {
   //     server,
   //     port,
   //     database,
   //     authentication: {
   //         authenticationType
   //     },
   //     options: {
   //        encrypt: true
   //     }
   // };  
   
   // For user-assigned managed identity.
   // const clientId = process.env.AZURE_SQL_CLIENTID;
   // const config = {
   //     server,
   //     port,
   //     database,
   //     authentication: {
   //         type: authenticationType
   //     },
   //     options: {
   //         encrypt: true,
   //         clientId: clientId
   //     }
   // };  
   
   this.poolconnection = await sql.connect(config);
   

Daha fazla bilgi için bkz. Microsoft SQL Server'da istemci programlama için Giriş sayfası. Daha fazla kod örneği için bkz. Service Connector aracılığıyla veritabanı hizmetine parolasız bağlantı oluşturma.

MySQL için Azure Veritabanı

Kodunuzdaki MySQL için Azure Veritabanı bağlantısı, tüm dil yığınları için deseni izler DefaultAzureCredential . DefaultAzureCredential hem geliştirme ortamına hem de Azure ortamına uyum sağlayacak kadar esnektir. Yerel olarak çalışırken, oturum açmış Azure kullanıcısını istediğiniz ortamdan (Visual Studio, Visual Studio Code, Azure CLI veya Azure PowerShell) alabilir. Azure'da çalışırken yönetilen kimlik bilgilerini alır. Bu nedenle hem geliştirme zamanında hem de üretimde veritabanı bağlantısına sahip olmak mümkündür. Desen aşağıdaki gibidir:

1. Azure Identity istemci kitaplığından bir DefaultAzureCredential örneği oluşturun. Kullanıcı tarafından atanan bir kimlik kullanıyorsanız, kimliğin istemci kimliğini belirtin.
2. MySQL için Azure Veritabanı için erişim belirteci alın: https://ossrdbms-aad.database.windows.net/.default.
3. Belirteci bağlantı dizenize ekleyin.
4. Bağlantıyı açın.

.NET

.NET için, Azure.Identity gibi bir istemci kütüphanesi kullanarak yönetilen kimlik için erişim belirteci alın. Ardından veritabanına bağlanmak için erişim belirtecini parola olarak kullanın. Aşağıdaki kodu kullanırken, kod bölümünün kullanmak istediğiniz kimlik doğrulama türüne karşılık gelen kısmını yorum satırından çıkardığınızdan emin olun.

using Azure.Core;
using Azure.Identity;
using MySqlConnector;

// Uncomment the following lines according to the authentication type.
// For system-assigned managed identity.
// var credential = new DefaultAzureCredential();

// For user-assigned managed identity.
// var credential = new DefaultAzureCredential(
//     new DefaultAzureCredentialOptions
//     {
//         ManagedIdentityClientId = Environment.GetEnvironmentVariable("AZURE_MYSQL_CLIENTID");
//     });

var tokenRequestContext = new TokenRequestContext(
    new[] { "https://ossrdbms-aad.database.windows.net/.default" });
AccessToken accessToken = await credential.GetTokenAsync(tokenRequestContext);
// Open a connection to the MySQL server using the access token.
string connectionString =
    $"{Environment.GetEnvironmentVariable("AZURE_MYSQL_CONNECTIONSTRING")};Password={accessToken.Token}";

using var connection = new MySqlConnection(connectionString);
Console.WriteLine("Opening connection using access token...");
await connection.OpenAsync();

// do something

Java

1. pom.xml dosyanıza aşağıdaki bağımlılıkları ekleyin:

   <dependency>
       <groupId>mysql</groupId>
       <artifactId>mysql-connector-java</artifactId>
       <version>8.0.33</version>
   </dependency>
   <dependency>
       <groupId>com.azure</groupId>
       <artifactId>azure-identity-extensions</artifactId>
       <version>1.2.0</version>
   </dependency>
   

2. Ortam değişkeninden bağlantı dizesi alın ve veritabanına bağlanmak için eklenti adını ekleyin:

   String url = System.getenv("AZURE_MYSQL_CONNECTIONSTRING");  
   String pluginName = "com.azure.identity.extensions.jdbc.mysql.AzureMysqlAuthenticationPlugin";
   Connection connection = DriverManager.getConnection(url + "&defaultAuthenticationPlugin=" +
       pluginName + "&authenticationPlugins=" + pluginName);
   

Daha fazla bilgi için bkz. MySQL için Azure Veritabanı - Esnek Sunucu ile Java ve JDBC kullanma.

Piton

1. Bağımlılıkları yükleyin.

   pip install azure-identity
   # install Connector/Python https://dev.mysql.com/doc/connector-python/en/connector-python-installation.html
   pip install mysql-connector-python
   

2. Kimlik doğrulamasını azure-identity kütüphanesinden bir erişim belirteci ile yapın. Service Connector tarafından eklenen ortam değişkeninden bağlantı bilgilerini alın. Aşağıdaki kodu kullanırken, kod bölümünün kullanmak istediğiniz kimlik doğrulama türüne karşılık gelen kısmını yorum satırından çıkardığınızdan emin olun.

   from azure.identity import ManagedIdentityCredential, ClientSecretCredential
   import mysql.connector
   import os
   
   # Uncomment the following lines according to the authentication type.
   # For system-assigned managed identity.
   # cred = ManagedIdentityCredential()    
   
   # For user-assigned managed identity.
   # managed_identity_client_id = os.getenv('AZURE_MYSQL_CLIENTID')
   # cred = ManagedIdentityCredential(client_id=managed_identity_client_id)
   
   # acquire token
   accessToken = cred.get_token('https://ossrdbms-aad.database.windows.net/.default')
   
   # open connect to Azure MySQL with the access token.
   host = os.getenv('AZURE_MYSQL_HOST')
   database = os.getenv('AZURE_MYSQL_NAME')
   user = os.getenv('AZURE_MYSQL_USER')
   password = accessToken.token
   
   cnx = mysql.connector.connect(user=user,
                                 password=password,
                                 host=host,
                                 database=database)
   cnx.close()
   
   

NodeJS

1. Bağımlılıkları yükleyin.

   npm install --save @azure/identity
   npm install --save mysql2
   

2. Service Connector tarafından eklenen ortam değişkenlerinden ve Azure MySQL veritabanı bilgilerini kullanarak @azure/identity bir erişim belirteci alın. Aşağıdaki kodu kullanırken, kod bölümünün kullanmak istediğiniz kimlik doğrulama türüne karşılık gelen kısmını yorum satırından çıkardığınızdan emin olun.

   import { DefaultAzureCredential,ClientSecretCredential } from "@azure/identity";
   
   const mysql = require('mysql2');
   
   // Uncomment the following lines according to the authentication type.
   // for system-assigned managed identity
   // const credential = new DefaultAzureCredential();
   
   // for user-assigned managed identity
   // const clientId = process.env.AZURE_MYSQL_CLIENTID;
   // const credential = new DefaultAzureCredential({
   //    managedIdentityClientId: clientId
   // });
   
   // acquire token
   var accessToken = await credential.getToken('https://ossrdbms-aad.database.windows.net/.default');
   
   const connection = mysql.createConnection({
     host: process.env.AZURE_MYSQL_HOST,
     user: process.env.AZURE_MYSQL_USER,
     password: accessToken.token,
     database: process.env.AZURE_MYSQL_DATABASE,
     port: process.env.AZURE_MYSQL_PORT,
     ssl: process.env.AZURE_MYSQL_SSL
   });
   
   connection.connect((err) => {
     if (err) {
       console.error('Error connecting to MySQL database: ' + err.stack);
       return;
     }
     console.log('Connected to MySQL database');
   });
   

Daha fazla kod örneği için bkz. Service Connector aracılığıyla veritabanı hizmetine parolasız bağlantı oluşturma.

PostgreSQL için Azure Veritabanı

Kodunuzda PostgreSQL için Azure Veritabanı bağlantısı, tüm programlama dilleri için DefaultAzureCredential bağlantı desenini izler. DefaultAzureCredential hem geliştirme ortamına hem de Azure ortamına uyum sağlayacak kadar esnektir. Yerel olarak çalışırken, oturum açmış Azure kullanıcısını istediğiniz ortamdan (Visual Studio, Visual Studio Code, Azure CLI veya Azure PowerShell) alabilir. Azure'da çalışırken yönetilen kimlik bilgilerini alır. Bu nedenle hem geliştirme zamanında hem de üretimde veritabanı bağlantısına sahip olmak mümkündür. Desen aşağıdaki gibidir:

1. Azure Identity istemci kitaplığından bir DefaultAzureCredential örneği oluşturun. Kullanıcı tarafından atanan bir kimlik kullanıyorsanız, kimliğin istemci kimliğini belirtin.
2. PostgreSQL için Azure Veritabanı için erişim belirteci alın: https://ossrdbms-aad.database.windows.net/.default.
3. Belirteci bağlantı dizenize ekleyin.
4. Bağlantıyı açın.

.NET

.NET için, Azure.Identity gibi bir istemci kütüphanesi kullanarak yönetilen kimlik için erişim belirteci alın. Ardından veritabanına bağlanmak için erişim belirtecini parola olarak kullanın. Aşağıdaki kodu kullanırken, kod bölümünün kullanmak istediğiniz kimlik doğrulama türüne karşılık gelen kısmını yorum satırından çıkardığınızdan emin olun.

using Azure.Identity;
using Azure.Core;
using Npgsql;

// Uncomment the following lines according to the authentication type.
// For system-assigned identity.
// var sqlServerTokenProvider = new DefaultAzureCredential();

// For user-assigned identity.
// var sqlServerTokenProvider = new DefaultAzureCredential(
//     new DefaultAzureCredentialOptions
//     {
//         ManagedIdentityClientId = Environment.GetEnvironmentVariable("AZURE_POSTGRESQL_CLIENTID");
//     }
// );

// Acquire the access token. 
AccessToken accessToken = await sqlServerTokenProvider.GetTokenAsync(
    new TokenRequestContext(scopes: new string[]
    {
        "https://ossrdbms-aad.database.windows.net/.default"
    }));

// Combine the token with the connection string from the environment variables provided by Service Connector.
string connectionString =
    $"{Environment.GetEnvironmentVariable("AZURE_POSTGRESQL_CONNECTIONSTRING")};Password={accessToken.Token}";

// Establish the connection.
using (var connection = new NpgsqlConnection(connectionString))
{
    Console.WriteLine("Opening connection using access token...");
    connection.Open();
}

Java

1. pom.xml dosyanıza aşağıdaki bağımlılıkları ekleyin:

   <dependency>
       <groupId>org.postgresql</groupId>
       <artifactId>postgresql</artifactId>
       <version>42.7.5</version>
   </dependency>
   <dependency>
       <groupId>com.azure</groupId>
       <artifactId>azure-identity-extensions</artifactId>
       <version>1.2.0</version>
   </dependency>
   

2. Ortam değişkenlerinden bağlantı dizesini alın ve veritabanına bağlanmak için eklenti adını ekleyin:

   import java.sql.*;
   
   String url = System.getenv("AZURE_POSTGRESQL_CONNECTIONSTRING");
   String pluginName = "com.Azure.identity.extensions.jdbc.postgresql.AzurePostgresqlAuthenticationPlugin";  
   Connection connection = DriverManager.getConnection(url + "&authenticationPluginClassName=" + pluginName);
   

Daha fazla bilgi için aşağıdaki kaynaklara bakın:

• Eğitim: Java Tomcat App Service'ten PostgreSQL Veritabanına yönetilen kimlik kullanarak gizli bilgiler olmadan bağlanma
• Hızlı Başlangıç: PostgreSQL için Azure Veritabanı Esnek Sunucusu ile Java ve JDBC kullanma

Piton

1. Bağımlılıkları yükleyin.

   pip install azure-identity
   pip install psycopg2-binary
   

2. Kitaplıktan azure-identity bir erişim belirteciyle kimlik doğrulaması yapın ve belirteci parola olarak kullanın. Hizmet Bağlayıcısı tarafından eklenen ortam değişkenlerinden bağlantı bilgilerini alın. Aşağıdaki kodu kullanırken, kod bölümünün kullanmak istediğiniz kimlik doğrulama türüne karşılık gelen kısmını yorum satırından çıkardığınızdan emin olun.

   from azure.identity import DefaultAzureCredential
   import psycopg2
   
   # Uncomment the following lines according to the authentication type.
   # For system-assigned identity.
   # cred = DefaultAzureCredential()
   
   # For user-assigned identity.
   # managed_identity_client_id = os.getenv('AZURE_POSTGRESQL_CLIENTID')
   # cred = ManagedIdentityCredential(client_id=managed_identity_client_id)   
   
   # Acquire the access token
   accessToken = cred.get_token('https://ossrdbms-aad.database.windows.net/.default')
   
   # Combine the token with the connection string from the environment variables added by Service Connector to establish the connection.
   conn_string = os.getenv('AZURE_POSTGRESQL_CONNECTIONSTRING')
   conn = psycopg2.connect(conn_string + ' password=' + accessToken.token) 
   

Daha fazla bilgi için aşağıdaki kaynaklara bakın:

• Sistem tarafından atanan yönetilen kimlikle Flask Python web uygulaması oluşturma ve Azure'a dağıtma
• Kullanıcı tanımlı yönetilen kimlikle bir Django web uygulaması oluşturun ve Azure'a dağıtın.

NodeJS

1. Bağımlılıkları yükleyin.

   npm install --save @azure/identity
   npm install --save pg
   

2. Kodda, Service Connector hizmeti tarafından eklenen ortam değişkenlerinden ve PostgreSQL bağlantı bilgileri aracılığıyla @azure/identity erişim belirtecini alın. Bağlantıyı kurmak için bunları birleştirin. Aşağıdaki kodu kullanırken, kod bölümünün kullanmak istediğiniz kimlik doğrulama türüne karşılık gelen kısmını yorum satırından çıkardığınızdan emin olun.

   import { DefaultAzureCredential, ClientSecretCredential } from "@azure/identity";
   const { Client } = require('pg');
   
   // Uncomment the following lines according to the authentication type.  
   // For system-assigned identity.
   // const credential = new DefaultAzureCredential();
   
   // For user-assigned identity.
   // const clientId = process.env.AZURE_POSTGRESQL_CLIENTID;
   // const credential = new DefaultAzureCredential({
   //     managedIdentityClientId: clientId
   // });
   
   // Acquire the access token.
   var accessToken = await credential.getToken('https://ossrdbms-aad.database.windows.net/.default');
   
   // Use the token and the connection information from the environment variables added by Service Connector to establish the connection.
   (async () => {
   const client = new Client({
       host: process.env.AZURE_POSTGRESQL_HOST,
       user: process.env.AZURE_POSTGRESQL_USER,
       password: accesstoken.token,
       database: process.env.AZURE_POSTGRESQL_DATABASE,
       port: Number(process.env.AZURE_POSTGRESQL_PORT) ,
       ssl: process.env.AZURE_POSTGRESQL_SSL
   });
   await client.connect();
   
   await client.end();
   })();
   

Daha fazla kod örneği için bkz. Service Connector aracılığıyla veritabanı hizmetine parolasız bağlantı oluşturma.

4. Geliştirme ortamınızı ayarlama

Bu örnek kod, Microsoft Entra Id'den Azure veritabanınız için kullanılabilir bir belirteç almak için kullanır DefaultAzureCredential ve ardından bunu veritabanı bağlantısına ekler. Özelleştirebilmenize rağmen, DefaultAzureCredential varsayılan olarak zaten çok yönlüdür. Geliştirme ortamınızda yerel olarak mı yoksa App Service üzerinde mi çalıştırdığınıza bağlı olarak, oturum açmış bir Microsoft Entra kullanıcısından veya bir yönetilen kimlikten bir belirteç alır.

Daha fazla değişiklik yapılmadan kodunuz Azure'da çalıştırılmaya hazırdır. Ancak kodunuzun hatalarını yerel olarak ayıklamak için geliştirme ortamınızın oturum açmış bir Microsoft Entra kullanıcısı olması gerekir. Bu adımda, Microsoft Entra kullanıcınızla oturum açarak tercih ettiğiniz ortamı yapılandıracaksınız.

Visual Studio Windows

1. Windows için Visual Studio, Microsoft Entra kimlik doğrulamasıyla tümleşiktir. Visual Studio'da geliştirme ve hata ayıklamayı etkinleştirmek için, menüden Dosya> seçerek Microsoft Entra kullanıcınızı Visual Studio'ya ekleyin ve Oturum aç veya Ekle'yi seçin.

2. Azure hizmet kimlik doğrulaması ve ardından Azure Hizmet Kimlik Doğrulama> Eklediğiniz Microsoft Entra kullanıcısını seçin ve Tamam'ı seçin.

macOS için Visual Studio

1. Mac için Visual Studio, Microsoft Entra kimlik doğrulamasıyla tümleştirilmemiştir. Ancak, daha sonra kullanacağınız Azure Identity istemci kitaplığı, Azure CLI'dan belirteçleri de alabilir. Visual Studio'da geliştirme ve hata ayıklamayı etkinleştirmek için yerel makinenize Azure CLI yükleyin.

2. Microsoft Entra kullanıcınızı kullanarak aşağıdaki komutla Azure CLI'da oturum açın:

   az login --allow-no-subscriptions
   

Visual Studio Code

1. Visual Studio Code, Azure uzantısı aracılığıyla Microsoft Entra kimlik doğrulamasıyla tümleşiktir. Visual Studio Code'da Azure Araçları uzantısını yükleyin.

2. Visual Studio Code'daki Etkinlik Çubuğu'nda Azure logosunu seçin.

3. App Service gezgininde Azure'da oturum aç... öğesini seçin ve yönergeleri izleyin.

Azure CLI

1. Daha sonra kullanacağınız Azure Identity istemci kitaplığı, Azure CLI'dan belirteçleri kullanabilir. Komut satırı tabanlı geliştirmeyi etkinleştirmek için yerel makinenize Azure CLI yükleyin.

2. Microsoft Entra kullanıcınızı kullanarak aşağıdaki komutla Azure'da oturum açın:

   az login --allow-no-subscriptions
   

Azure PowerShell

1. Daha sonra kullanacağınız Azure Identity istemci kitaplığı, Azure PowerShell'den belirteçleri kullanabilir. Komut satırı tabanlı geliştirmeyi etkinleştirmek için yerel makinenize Azure PowerShell'i yükleyin.

2. Microsoft Entra kullanıcınızı kullanarak aşağıdaki cmdlet ile Azure CLI'da oturum açın:

   Connect-AzAccount
   

Microsoft Entra kimlik doğrulaması için geliştirme ortamınızı ayarlama hakkında daha fazla bilgi için bkz . .NET için Azure Identity istemci kitaplığı.

Artık Microsoft Entra kimlik doğrulamasını kullanarak arka uç olarak SQL Veritabanı uygulamanızı geliştirmeye ve hatalarını ayıklamaya hazırsınız.

5. Test edin ve yayımlayın

1. Kodunuzu geliştirme ortamınızda çalıştırın. Kodunuz arka uç veritabanına bağlanmak için ortamınızdaki oturum açmış Microsoft Entra kullanıcısını kullanır. Veritabanı için Microsoft Entra yöneticisi olarak yapılandırıldığından kullanıcı veritabanına erişebilir.

2. Tercih edilen yayımlama yöntemini kullanarak kodunuzu Azure'da yayımlayın. App Service'te kodunuz arka uç veritabanına bağlanmak için uygulamanın yönetilen kimliğini kullanır.

Sıkça sorulan sorular

• Yönetilen kimlik SQL Server'ı destekliyor mu?
• Hatayı alıyorum Login failed for user '<token-identified principal>'.
• App Service kimlik doğrulamasında veya ilişkili uygulama kaydında değişiklikler yaptım. Neden hala eski jetonu alıyorum?
• Yönetilen kimliği bir Microsoft Entra grubuna nasıl ekleyebilirim?
• hatasını SSL connection is required. Please specify SSL options and retryalıyorum.
• Uygulamamı Web Uygulaması + Veritabanı şablonuyla oluşturdum ve şimdi Hizmet Bağlayıcısı komutları ile yönetilen kimlik bağlantısı yapılandıramıyorum.

Yönetilen kimlik SQL Server'ı destekliyor mu?

Evet. Daha fazla bilgi için bakınız:

• Microsoft Entra kimlik doğrulaması , SQL Server için
• Azure VM'lerinde SQL Server için Microsoft Entra kimlik doğrulamasını etkinleştirme

Hatayı alıyorum Login failed for user '<token-identified principal>'.

Belirteç istemeye çalıştığınız yönetilen kimlik, Azure veritabanına erişme yetkisine sahip değil.

App Service kimlik doğrulamasında veya ilişkili uygulama kaydında değişiklikler yaptım. Neden hala eski jetonu alıyorum?

Yönetilen kimliklerin arka uç hizmetleri, hedef kaynağın belirtecini yalnızca süresi dolduğunda güncelleştiren bir belirteç önbelleği de tutar. Uygulamanızla belirteç almaya çalıştıktan sonra yapılandırmayı değiştirirseniz, önbelleğe alınan belirtecin süresi dolana kadar güncelleştirilmiş izinlere sahip yeni bir belirteç almazsınız. Bu sorunu geçici olarak gidermenin en iyi yolu, değişikliklerinizi yeni bir InPrivate (Edge)/private (Safari)/Incognito (Chrome) penceresiyle test etmektir. Bu şekilde, yeni bir kimliği doğrulanmış oturumdan başlayacağınızdan emin olursunuz.

Yönetilen kimliği bir Microsoft Entra grubuna nasıl ekleyebilirim?

İsterseniz, kimliği bir Microsoft Entra grubuna ekleyebilir ve ardından kimlik yerine Microsoft Entra grubuna erişim vekleyebilirsiniz. Örneğin, aşağıdaki komutlar önceki adımdaki yönetilen kimliği myAzureSQLDBAccessGroup adlı yeni bir gruba ekler:

groupid=$(az ad group create --display-name myAzureSQLDBAccessGroup --mail-nickname myAzureSQLDBAccessGroup --query objectId --output tsv)
msiobjectid=$(az webapp identity show --resource-group <group-name> --name <app-name> --query principalId --output tsv)
az ad group member add --group $groupid --member-id $msiobjectid
az ad group member list -g $groupid

Bir Microsoft Entra grubu için veritabanı izinleri vermek için ilgili veritabanı türünün belgelerine bakın.

Ben SSL connection is required. Please specify SSL options and retry hatası alıyorum.

Azure veritabanına bağlanmak için ek ayarlar gerekir ve bu öğreticinin kapsamı dışındadır. Daha fazla bilgi için aşağıdaki bağlantılardan birine bakın:

Azure Database for PostgreSQL - Tek Sunucu'da TLS bağlantısını yapılandırma Uygulamanızda Azure Database for MySQL'e güvenli bir şekilde bağlanmak için SSL bağlantısını yapılandırma

Uygulamamı Web Uygulaması + Veritabanı şablonuyla oluşturdum ve şimdi Hizmet Bağlayıcısı komutları ile yönetilen kimlik bağlantısı yapılandıramıyorum.

Hizmet Bağlayıcısı,uygulama kimliğine erişim vermek için veritabanına ağ erişimine ihtiyaç duyar. Web App + Veritabanı şablonuyla Azure portalında varsayılan olarak güvenli bir uygulama ve veritabanı mimarisi oluşturduğunuzda, mimari veritabanına ağ erişimini kilitler ve yalnızca sanal ağ içinden bağlantılara izin verir. Azure Cloud Shell için de geçerlidir. Ancak, Cloud Shell'i sanal ağda dağıtabilir ve ardından bu Cloud Shell'de Hizmet Bağlayıcısı komutunu çalıştırabilirsiniz.

Sonraki Adımlar

Öğrendikleriniz:

• Microsoft Entra kullanıcısını Azure veritabanınız için yönetici olarak yapılandırın.
• Veritabanınıza Microsoft Entra kullanıcısı olarak bağlanın.
• App Service uygulaması için sistem tarafından atanan veya kullanıcı tarafından atanan yönetilen kimliği yapılandırın.
• Yönetilen kimlik için veritabanı erişimi tanıyın.
• Yönetilen kimlik kullanarak kodunuzdan (.NET Framework 4.8, .NET 6, Node.js, Python, Java) Azure veritabanına bağlanın.
• Microsoft Entra kullanıcısını kullanarak geliştirme ortamınızdan Azure veritabanına bağlanın.

App Service ve Azure İşlevleri için yönetilen kimlikleri kullanma

Eğitim: Yönetilen kimlik kullanarak .NET App Service'ten gizli diziler olmadan SQL Veritabanı'na bağlanma

Öğretici: Yönetilen kimlikleri desteklemeyen Azure hizmetlerine bağlanma (Key Vault kullanarak)

Eğitim: Sanal Ağ tümleştirmesi ile arka uç iletişimini yalıtma