.NET uygulamasını Azure SQL Veritabanı ile parolasız bağlantılar kullanacak şekilde geçirme

Şunlar için geçerlidir:Azure SQL Veritabanı

Azure SQL Veritabanı uygulama isteklerinin kimliği doğrulanmalıdır. Azure SQL Veritabanı kimlik doğrulaması için birden çok seçenek olsa da, mümkün olduğunda uygulamalarınızda parolasız bağlantılara öncelik vermelisiniz. Parola veya gizli anahtar kullanan geleneksel kimlik doğrulama yöntemleri, güvenlik riskleri ve karmaşıklıklar oluşturur. Parolasız bağlantılara geçmenin avantajları hakkında daha fazla bilgi edinmek için Azure services hub'ı için parolasız bağlantılar'ı ziyaret edin. Aşağıdaki öğreticide, kullanıcı adı ve parola çözümü yerine parolasız bağlantılar kullanmak üzere Azure SQL Veritabanı bağlanmak için mevcut bir uygulamanın nasıl geçirilir açıklanmaktadır.

Azure SQL Veritabanı yapılandırma

Parolasız bağlantılar, Azure SQL Veritabanı dahil olmak üzere Azure hizmetlerine bağlanmak için Microsoft Entra kimlik doğrulamasını kullanır. Microsoft Entra kimlik doğrulaması, izin yönetimini basitleştirmek için kimlikleri merkezi bir konumda yönetebilirsiniz. Azure SQL Veritabanı için Microsoft Entra kimlik doğrulamasını yapılandırma hakkında daha fazla bilgi edinin:

• Microsoft Entra kimlik doğrulamasına genel bakış
• Microsoft Entra kimlik doğrulamasını yapılandırma

Bu geçiş kılavuzu için, Azure SQL Veritabanı atanmış bir Microsoft Entra yöneticisine sahip olduğunuzdan emin olun.

1. Mantıksal sunucunuzun Microsoft Entra sayfasına gidin.

2. Microsoft Entra Id açılır menüsünü açmak için Yöneticiyi ayarla'yı seçin.

3. Microsoft Entra Id açılır menüsünde yönetici olarak atamak istediğiniz kullanıcıyı arayın.

4. Kullanıcıyı seçin ve Seç'i seçin.

   

Yerel geliştirme ortamınızı yapılandırma

Parolasız bağlantılar hem yerel hem de Azure tarafından barındırılan ortamlarda çalışacak şekilde yapılandırılabilir. Bu bölümde, tek tek kullanıcıların yerel geliştirme için Azure SQL Veritabanı kimlik doğrulaması yapmalarına izin vermek için yapılandırmalar uygulayacaksınız.

Azure'da oturum açma

Yerel geliştirme için Azure SQL Veritabanı'na erişmek için kullanmak istediğiniz Microsoft Entra hesabıyla oturum açtığınızdan emin olun. Azure CLI veya Azure PowerShell gibi popüler geliştirme araçlarıyla kimlik doğrulaması yapabilirsiniz. Kimlik doğrulaması yapabileceğiniz geliştirme araçları farklı dillerde farklılık gösterir.

Azure CLI

Aşağıdaki komutu kullanarak Azure CLI aracılığıyla Azure'da oturum açın. Bu, Windows, macOS ve Linux'ta çalışır.

az login

Visual Studio

Visual Studio'nun sağ üst kısmındaki Oturum aç düğmesini seçin.

Daha önce bir rol atadığınız Microsoft Entra hesabını kullanarak oturum açın.

Visual Studio Code

Visual Studio Code için tümleşik terminalde Azure CLI kullanarak oturum açın:

1. Terminali VS Code'da (Terminal Yeni Terminal>) açın.

2. Aşağıdaki komutla Azure'da oturum açın:

   az login
   

Bu yöntem Windows, macOS ve Linux genelinde güvenilir bir şekilde çalışır.

PowerShell

Aşağıdaki komutu kullanarak PowerShell kullanarak Azure'da oturum açın:

Connect-AzAccount

Veritabanı kullanıcısı oluşturma ve rol atama

Azure SQL Veritabanı'de bir kullanıcı oluşturun. Kullanıcı, Visual Studio veya IntelliJ gibi geliştirme araçları aracılığıyla yerel olarak oturum açmak için kullandığınız Azure hesabına karşılık gelmelidir.

1. Azure portalında SQL veritabanınıza göz atın ve Sorgu düzenleyicisi (önizleme) öğesini seçin.

2. Hesabınızı kullanarak veritabanında oturum açmak için ekranın sağ tarafındaki Devam et'i <your-username> seçin.

3. Sorgu düzenleyicisi görünümünde aşağıdaki T-SQL komutlarını çalıştırın:

   CREATE USER [user@domain] FROM EXTERNAL PROVIDER;
   ALTER ROLE db_datareader ADD MEMBER [user@domain];
   ALTER ROLE db_datawriter ADD MEMBER [user@domain];
   ALTER ROLE db_ddladmin ADD MEMBER [user@domain];
   GO
   

   

   Bu komutların çalıştırılması, SQL DB Katkıda Bulunanı rolünü belirtilen hesaba atar. Bu rol, kimliğin veritabanınızın verilerini ve şemasını okumasına, yazmasına ve değiştirmesine olanak tanır. Atanan roller hakkında daha fazla bilgi için bkz . Sabit veritabanı rolleri.

Yerel bağlantı yapılandırmasını güncelleştirme

Kitaplığı veya Entity Framework Core'u kullanarak Microsoft.Data.SqlClient Azure SQL Veritabanı bağlanan mevcut uygulama kodu parolasız bağlantılarla çalışmaya devam eder. Ancak, veritabanı bağlantı dizesi parolasız biçimi kullanacak şekilde güncelleştirmeniz gerekir. Örneğin, aşağıdaki kod hem SQL kimlik doğrulaması hem de parolasız bağlantılarla çalışır:

string connectionString = app.Configuration.GetConnectionString("AZURE_SQL_CONNECTIONSTRING")!;

using var conn = new SqlConnection(connectionString);
conn.Open();

var command = new SqlCommand("SELECT * FROM Persons", conn);
using SqlDataReader reader = command.ExecuteReader();

Başvuruda bulunan bağlantı dizesi (AZURE_SQL_CONNECTIONSTRING) parolasız bağlantı dizesi biçimini kullanacak şekilde güncelleştirmek için:

1. bağlantı dizesi bulun. .NET uygulamalarıyla yerel geliştirme için, bu genellikle aşağıdaki konumlardan birinde depolanır:

   • appsettings.json Projenizin yapılandırma dosyası.
   • launchsettings.json Visual Studio projeleri için yapılandırma dosyası.
   • Yerel sistem veya kapsayıcı ortamı değişkenleri.

2. bağlantı dizesi değerini aşağıdaki parolasız biçimle değiştirin. <database-server-name> ve <database-name> yer tutucularını kendi değerlerinizle güncelleştirin:

   Server=tcp:<database-server-name>.database.windows.net,1433;Initial Catalog=<database-name>;
   Encrypt=True;TrustServerCertificate=False;Connection Timeout=30;Authentication="Active Directory Default";
   

Uygulamayı test etme

Uygulamanızı yerel olarak çalıştırın ve Azure SQL Veritabanı bağlantılarının beklendiği gibi çalıştığını doğrulayın. Azure kullanıcılarında ve rollerinde yapılan değişikliklerin Azure ortamınızda yayılması birkaç dakika sürebilir. Uygulamanız artık geliştiricilerin uygulamadaki gizli dizileri yönetmek zorunda kalmadan yerel olarak çalışacak şekilde yapılandırılmıştır.

Azure barındırma ortamını yapılandırma

Uygulamanız yerel olarak parolasız bağlantılar kullanacak şekilde yapılandırıldıktan sonra, aynı kod Azure'a dağıtıldıktan sonra Azure SQL Veritabanı için kimlik doğrulaması yapabilir. Aşağıdaki bölümlerde, yönetilen kimlik kullanarak Azure SQL Veritabanı bağlanmak için dağıtılan bir uygulamanın nasıl yapılandırılacağı açıklanmaktadır. Yönetilen kimlikler, Microsoft Entra kimlik doğrulamasını destekleyen kaynaklara bağlanırken uygulamaların kullanması için Microsoft Entra Id'de (eski adıYla Azure Active Directory) otomatik olarak yönetilen bir kimlik sağlar. Yönetilen kimlikler hakkında daha fazla bilgi edinin:

• Parolasız genel bakış
• Yönetilen kimlik en iyi yöntemleri

Yönetilen kimliği oluşturma

Azure portalını veya Azure CLI'yi kullanarak kullanıcı tarafından atanan bir yönetilen kimlik oluşturun. Uygulamanız diğer hizmetlerde kimlik doğrulaması yapmak için bu kimliği kullanır.

Azure portalı

1. Azure portalının üst kısmında Yönetilen kimlikler'i arayın. Yönetilen Kimlikler sonucunu seçin.
2. Yönetilen Kimliklere genel bakış sayfasının üst kısmındaki + Oluştur'u seçin.
3. Temel Bilgiler sekmesinde aşağıdaki değerleri girin:
   • Abonelik: İstediğiniz aboneliği seçin.
   • Kaynak grubu: İstediğiniz kaynak grubunu seçin.
   • Bölge: Konumunuza yakın bir bölge seçin.
   • Ad: Kimliğiniz için MigrationIdentity gibi tanınabilir bir ad girin.
4. Sayfanın alt kısmındaki Gözden geçir ve oluştur'u seçin.
5. Doğrulama denetimleri tamamlandığında Oluştur'u seçin. Azure, kullanıcı tarafından atanan yeni bir kimlik oluşturur.

Kaynak oluşturulduktan sonra, yönetilen kimliğin ayrıntılarını görüntülemek için Kaynağa git'i seçin.

Azure CLI

Kullanıcı tarafından atanan yönetilen kimlik oluşturmak için az identity create komutunu kullanın:

az identity create --name MigrationIdentity --resource-group <resource-group>

Yönetilen kimliği web uygulamanızla ilişkilendirme

Web uygulamanızı, oluşturduğunuz kullanıcı tarafından atanan yönetilen kimliği kullanacak şekilde yapılandırın.

Azure portalı

Kullanıcı tarafından atanan yönetilen kimliği uygulamanızla ilişkilendirmek için Azure portalında aşağıdaki adımları tamamlayın. Bu adımlar aşağıdaki Azure hizmetleri için de geçerlidir:

• Azure Bahar Uygulamaları
• Azure Konteyner Uygulamaları
• Azure sanal makineleri
• Azure Kubernetes Service
• Web uygulamanızın genel bakış sayfasına gidin.

1. Sol gezinti bölmesinden Kimlik'i seçin.

2. Kimlik sayfasında Kullanıcı tarafından atanan sekmesine geçin.

3. Kullanıcı tarafından atanan yönetilen kimlik ekle açılır öğesini açmak için + Ekle'yi seçin.

4. Kimliği oluşturmak için daha önce kullandığınız aboneliği seçin.

5. MigrationIdentity öğesini ada göre arayın ve arama sonuçlarından seçin.

6. Kimliği uygulamanızla ilişkilendirmek için Ekle'yi seçin.

   

Azure CLI

Bir kimliği uygulamanızla ilişkilendirmek için aşağıdaki Azure CLI komutlarını kullanın:

az identity show komutunu kullanarak oluşturduğunuz yönetilen kimliğin tam kaynak kimliğini alın. Sonraki adımda kullanmak üzere çıkış değerini kopyalayın.

az identity show --name MigrationIdentity -g <your-identity-resource-group-name> --query id

Azure App Service

az webapp identity assign komutuyla bir Azure Uygulaması Hizmeti örneğine yönetilen kimlik atayabilirsiniz. parametresi, --identities önceki adımda aldığınız yönetilen kimliğin tam kaynak kimliğini gerektirir. Tam kaynak kimliği '/subscriptions/{subscriptionId}' veya '/providers/{resourceProviderNamespace}/' ile başlar.

az webapp identity assign \
    --resource-group <resource-group-name> \
    --name <webapp-name> \
    --identities <managed-identity-id>

Git Bash ile çalışıyorsanız, tam kaynak kimliklerini kullanırken yol dönüştürmelerine dikkat edin. Yol dönüştürmeyi devre dışı bırakmak için komutunun başına ekleyin MSYS_NO_PATHCONV=1 . Daha fazla bilgi için bkz . Kaynak kimliklerinin otomatik çevirisi.

Azure Spring Apps

Azure CLI'daki az spring app identity assign komutunu kullanarak Azure Spring Apps örneğine yönetilen kimlik atayabilirsiniz.

az spring app identity assign \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --service <service-name> \
    --user-assigned <managed-identity-id>

Azure Container Apps

az containerapp identity assign komutuyla bir sanal makineye yönetilen kimlik atayabilirsiniz .

az containerapp identity assign \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --user-assigned <managed-identity-id>

Azure sanal makineleri

az vm identity assign komutuyla bir sanal makineye yönetilen kimlik atayabilirsiniz .

az vm identity assign \
    --resource-group <resource-group-name> \
    --name <virtual-machine-name> \
    --identities <managed-identity-id>

Azure Kubernetes Hizmeti

Az aks update komutuyla Azure Kubernetes Service (AKS) örneğine yönetilen kimlik atayabilirsiniz.

az aks update \
    --resource-group <resource-group-name> \
    --name <cluster-name> \
    --enable-managed-identity \
    --assign-identity <managed-identity-id> \
    --assign-kubelet-identity <managed-identity-id>

Hizmet Bağlayıcısı

Azure CLI kullanarak Bir Azure işlem barındırma ortamı ile hedef hizmet arasında bağlantı oluşturmak için Hizmet Bağlayıcısı'nı kullanabilirsiniz. Hizmet Bağlayıcısı CLI komutları, kimliğinize otomatik olarak uygun rolü atar. Genel bakış sayfasında Hizmet Bağlayıcısı ve hangi senaryoların desteklendiği hakkında daha fazla bilgi edinebilirsiniz.

1. komutunu kullanarak az identity show oluşturduğunuz yönetilen kimliğin istemci kimliğini alın. Daha sonra kullanmak üzere değeri kopyalayın.

   az identity show --name MigrationIdentity --resource-group <resource-group> --query clientId
   

2. Hizmet bağlantısını kurmak için uygun CLI komutunu kullanın:

   Azure App Service

   Azure Uygulaması Hizmeti kullanıyorsanız az webapp connection komutunu kullanın:

   az webapp connection create storage-blob \
       --resource-group <resource-group-name> \
       --name <webapp-name> \
       --target-resource-group <target-resource-group-name> \
       --account <target-storage-account-name> \
       --user-identity "client-id=<your-identity-client-id>" "subs-id=<your-subscription-id>"
   

   Azure Spring Apps

   Azure Spring Apps kullanıyorsanız Azure CLI aracılığıyla hizmet bağlantısı kurmak için az spring connection create komutunu kullanın.

   az spring connection create storage-blob \
       --resource-group <resource-group-name> \
       --service <service-instance-name> \
       --app <app-name> \
       --deployment <deployment-name> \
       --target-resource-group <target-resource-group> \
       --account <target-storage-account-name> \
       --user-identity "client-id=<your-identity-client-id>" "subs-id=<your-subscription-id>"
   

   Azure Container Apps

   Azure Container Apps kullanıyorsanız az containerapp connection komutunu kullanın:

   az containerapp connection create storage-blob \
       --resource-group <resource-group-name> \
       --name <containerapp-name> \
       --target-resource-group <target-resource-group-name> \
       --account <target-storage-account-name> \
       --user-identity "client-id=<your-identity-client-id>" "subs-id=<your-subscription-id>"
   

Kimlik için veritabanı kullanıcısı oluşturma ve roller atama

Kullanıcı tarafından atanan yönetilen kimliğe geri eşleyen bir SQL veritabanı kullanıcısı oluşturun. Uygulamanızın veritabanınızın verilerini ve şemasını okumasına, yazmasına ve değiştirmesine izin vermek için kullanıcıya gerekli SQL rollerini atayın.

1. Azure portalında SQL veritabanınıza göz atın ve Sorgu düzenleyicisi (önizleme) öğesini seçin.

2. Hesabınızı kullanarak veritabanında oturum açmak için ekranın sağ tarafındaki Devam et'i <username> seçin.

3. Sorgu düzenleyicisi görünümünde aşağıdaki T-SQL komutlarını çalıştırın:

   CREATE USER [user-assigned-identity-name] FROM EXTERNAL PROVIDER;
   ALTER ROLE db_datareader ADD MEMBER [user-assigned-identity-name];
   ALTER ROLE db_datawriter ADD MEMBER [user-assigned-identity-name];
   ALTER ROLE db_ddladmin ADD MEMBER [user-assigned-identity-name];
   GO
   

   

   Bu komutların çalıştırılması, kullanıcı tarafından atanan yönetilen kimliğe SQL DB Katkıda Bulunanı rolünü atar. Bu rol, kimliğin veritabanınızın verilerini ve şemasını okumasına, yazmasına ve değiştirmesine olanak tanır.

Önemli

Kurumsal üretim ortamlarında veritabanı kullanıcı rolleri atarken dikkatli olun. Bu senaryolarda uygulama, tek bir yükseltilmiş kimlik kullanarak tüm işlemleri gerçekleştirmemelidir. Belirli görevler için belirli izinlere sahip birden çok kimlik yapılandırarak en az ayrıcalık ilkesini uygulamaya çalışın.

Aşağıdaki kaynaklarda veritabanı rollerini ve güvenliğini yapılandırma hakkında daha fazla bilgi edinebilirsiniz:

• Öğretici: Azure SQL Veritabanı'da veritabanının güvenliğini sağlama
• SQL Veritabanı’na veritabanı erişimini yetkilendirme

Bağlantı dizesini güncelleştirme

Azure uygulama yapılandırmanızı parolasız bağlantı dizesi biçimini kullanacak şekilde güncelleştirin. Bağlantı dizeleri genellikle uygulama barındırma ortamınızda ortam değişkenleri olarak depolanır. Aşağıdaki yönergeler App Service'e odaklanır, ancak diğer Azure barındırma hizmetleri benzer yapılandırmalar sağlar.

1. App Service örneğinizin yapılandırma sayfasına gidin ve Azure SQL Veritabanı bağlantı dizesi bulun.

2. Düzenle simgesini seçin ve bağlantı dizesi değerini aşağıdaki biçime uyacak şekilde güncelleştirin. <database-server-name> ve <database-name> yer tutucularını kendi hizmetinizin değerleriyle değiştirin.

   Server=tcp:<database-server-name>.database.windows.net,1433;Initial Catalog=<database-name>;
   Encrypt=True;TrustServerCertificate=False;Connection Timeout=30;Authentication="Active Directory Default";
   

3. Değişikliklerinizi kaydedin ve otomatik olarak yapılmazsa uygulamayı yeniden başlatın.

Uygulamayı test etme

Her şeyin hala çalıştığından emin olmak için uygulamanızı test edin. Tüm değişikliklerin Azure ortamınıza yayılması birkaç dakika sürebilir.

İlgili içerik

• Parolasız genel bakış
• Yönetilen kimlik en iyi yöntemleri
• Öğretici: Azure SQL Veritabanı'da veritabanının güvenliğini sağlama
• SQL Veritabanı’na veritabanı erişimini yetkilendirme