Freigeben über


Herstellen einer Verbindung mit Azure Database for PostgreSQL – Flexibler Server unter Verwendung einer verwalteten Identität

GILT FÜR: Azure Database for PostgreSQL – Flexibler Server

Sie können sowohl systemseitig als auch benutzerseitig zugewiesene verwaltete Identitäten zur Authentifizierung bei Azure Database for PostgreSQL – Flexibler Server verwenden. In diesem Artikel erfahren Sie, wie Sie mit einer systemseitig zugewiesenen verwalteten Identität für einen virtuellen Azure-Computer (Virtual Machine, VM) auf eine Instanz von Azure Database for PostgreSQL – Flexibler Server zugreifen. Verwaltete Identitäten werden von Azure automatisch verwaltet und ermöglichen Ihnen die Authentifizierung bei Diensten, die die Microsoft Entra-Authentifizierung unterstützen, ohne dass Sie Anmeldeinformationen in Ihren Code einfügen müssen.

Folgendes wird vermittelt:

  • Erteilen Sie der VM Zugriff auf eine Instanz von Azure Database for PostgreSQL – Flexibler Server.
  • Erstellen Sie einen Benutzer oder eine Benutzerin in der Datenbank, die bzw. der die systemseitig zugewiesene Identität der VM darstellt.
  • Rufen Sie einen Zugriffstoken mithilfe der VM-Identität ab, und fragen Sie eine Instanz von Azure Database for PostgreSQL – Flexibler Server mit diesem Token ab.
  • Implementieren Sie den Tokenabruf in einer C#-Beispielanwendung.

Voraussetzungen

  • Wenn Sie mit der Funktion für verwaltete Identitäten für Azure-Ressourcen nicht vertraut sind, finden Sie hier eine Übersicht. Wenn Sie kein Azure-Konto haben, sollten Sie sich für ein kostenloses Konto registrieren, bevor Sie fortfahren.
  • Ihr Konto muss für den entsprechenden Gültigkeitsbereich (Ihr Abonnement oder die Ressourcengruppe) über die Berechtigung „Besitzer“ verfügen, um die erforderliche Ressourcenerstellung und eine Rollenverwaltung durchführen zu können. Wenn Sie Unterstützung bei einer Rollenzuweisung benötigen, finden Sie weitere Informationen unter Zuweisen von Azure-Rollen zum Verwalten des Zugriffs auf Ihre Azure-Abonnementressourcen.
  • Sie benötigen eine Azure-VM (z. B. unter Ubuntu Linux), mit der Sie mithilfe einer verwalteten Identität auf Ihre Datenbank zugreifen möchten.
  • Sie benötigen eine Instanz von Azure Database for PostgreSQL – Flexibler Server, auf der die Microsoft Entra-Authentifizierung konfiguriert ist.
  • Um dem C#-Beispiel zu folgen, sollten Sie zuerst den Leitfaden zur Verbindungsherstellung mit C# lesen.

Erstellen einer systemseitig zugewiesenen verwalteten Identität für Ihre VM

Verwenden Sie az vmss identity assign mit dem Befehl identity assign, um die systemseitig zugewiesene Identität auf einer vorhandenen VM zu aktivieren:

az vm identity assign -g myResourceGroup -n myVm

Rufen Sie die Anwendungs-ID für die systemseitig zugewiesene verwaltete Identität ab, die Sie für die nächsten Schritten benötigen:

# Get the client ID (application ID) of the system-assigned managed identity

az ad sp list --display-name vm-name --query [*].appId --out tsv

Erstellen eines Benutzers oder einer Benutzerin in Azure Database for PostgreSQL – Flexible Server für eine verwaltete Identität

Stellen Sie nun als Microsoft Entra-Administratorbenutzer bzw. -benutzerin eine Verbindung mit Ihrer Datenbank in Azure Database for PostgreSQL – Flexibler Server her, und führen Sie die folgenden SQL-Anweisungen aus, wobei Sie <identity_name> durch den Namen der Ressourcen ersetzen, für die Sie eine systemseitig zugewiesene verwaltete Identität erstellt haben:

Beachten Sie, dass pgaadauth_create_principal auf der Postgres-Datenbank ausgeführt werden müssen.

select * from pgaadauth_create_principal('<identity_name>', false, false);

Bei erfolgreicher Ausführung sieht der Bildschirm etwa wie folgt aus:

    pgaadauth_create_principal
-----------------------------------
 Created role for "<identity_name>"
(1 row)

Weitere Informationen zum Verwalten von Microsoft Entra ID-fähigen Datenbankrollen finden Sie unter Verwalten von Microsoft Entra ID-fähigen Rollen in Azure Database for PostgreSQL – Flexibler Server.

Die verwaltete Identität hat jetzt Zugriff, wenn sie sich mit dem Identitätsnamen als Rollennamen und dem Microsoft Entra-Token als Kennwort authentifiziert.

Hinweis

Wenn die verwaltete Identität ungültig ist, wird ein Fehler zurückgegeben: ERROR: Could not validate AAD user <ObjectId> because its name is not found in the tenant. [...].

Hinweis

Wenn ein Fehler wie „Keine Funktion stimmt überein …“ angezeigt wird, stellen Sie sicher, dass Sie sich mit der postgres-Datenbank verbinden und nicht mit einer anderen Datenbank, die Sie ebenfalls erstellt haben.

Abrufen des Zugriffstokens aus dem Dienst Azure Instance Metadata

Ihre Anwendung kann nun ein Zugriffstoken aus dem Dienst „Azure Instance Metadata“ abrufen und sich damit bei der Datenbank authentifizieren.

Dieses Token wird abgerufen, indem eine HTTP-Anforderung an http://169.254.169.254/metadata/identity/oauth2/token gesendet wird und die folgenden Parameter übergeben werden:

  • api-version = 2018-02-01
  • resource = https://ossrdbms-aad.database.windows.net
  • client_id = CLIENT_ID (die Sie zuvor abgerufen haben)

Es wird ein JSON-Ergebnis zurückgegeben, in dem das Feld access_token enthalten ist. Dieser lange Textwert ist das Zugriffstoken der verwalteten Identität, das Sie bei der Verbindungsherstellung mit der Datenbank als Kennwort verwenden müssen.

Zu Testzwecken können Sie die folgenden Befehle in Ihrer Shell ausführen.

Hinweis

Beachten Sie, dass der curl-, jq- und der psql-Client installiert sein müssen.

# Retrieve the access token

export PGPASSWORD=`curl -s 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https%3A%2F%2Fossrdbms-aad.database.windows.net&client_id=CLIENT_ID' -H Metadata:true | jq -r .access_token`

# Connect to the database

psql -h SERVER --user USER DBNAME

Sie haben nun eine Verbindung mit der Datenbank hergestellt, die Sie zuvor konfiguriert haben.

Herstellen einer Verbindung mithilfe einer verwalteten Identität

In diesem Abschnitt wird gezeigt, wie Sie mithilfe der benutzerseitig zugewiesenen verwalteten Identität der VM ein Zugriffstoken abrufen und damit Azure Database for PostgreSQL – Flexibler Server aufrufen. Azure Database for PostgreSQL – Flexibler Server unterstützt die Microsoft Entra-Authentifizierung nativ, wodurch Zugriffstoken direkt angenommen werden können, die mit verwalteten Identitäten für Azure-Ressourcen abgerufen wurden. Beim Erstellen einer Verbindung mit Azure Database for PostgreSQL – Flexibler Server übergeben Sie das Zugriffstoken im Kennwortfeld.

Herstellen einer Verbindung mithilfe einer verwalteten Identität in Python

Ein Python-Codebeispiel finden Sie unter Schnellstart: Verwenden von Python zum Herstellen einer Verbindung mit Azure Database for PostgreSQL – Flexibler Server sowie zum Abfragen von Daten.

Herstellen einer Verbindung mithilfe einer verwalteten Identität in Java

Ein Java-Codebeispiel finden Sie unter Schnellstart: Verwenden von Java und JDBC mit Azure Database for PostgreSQL – Flexibler Server.

Herstellen einer Verbindung mithilfe einer verwalteten Identität in C#

Hier ist ein .NET-Codebeispiel für das Öffnen einer Verbindung mit Azure Database for PostgreSQL – Flexibler Server mit einem Zugriffstoken. Dieser Code muss auf der VM ausgeführt werden, um die systemseitig zugewiesene verwaltete Identität zum Abrufen eines Zugriffstokens von Microsoft Entra ID zu verwenden. Ersetzen Sie die Werte von HOST, USER (durch <identity_name>) und DATABASE.

using Azure.Identity;
using Npgsql;
using System;

class Program
{
    static void Main(string[] args)
    {
        try
        {
            // Obtain an access token using the system-assigned managed identity
            var tokenCredential = new DefaultAzureCredential();
            var accessToken = tokenCredential.GetToken(
                new Azure.Core.TokenRequestContext(new[] { "https://ossrdbms-aad.database.windows.net/.default" })
            );

            // Build the connection string
            string host = "your-server-name.postgres.database.azure.com"; // Replace with your flexible server's host
            string database = "your-database-name";                      // Replace with your database name
            string user = "<identity_name>";                             // Replace with your identity name (e.g., "myManagedIdentity")

            var connectionString = $"Host={host};Database={database};Username={user};Password={accessToken.Token};SSL Mode=Require;Trust Server Certificate=true";

            // Open a connection to the database
            using var connection = new NpgsqlConnection(connectionString);
            connection.Open();

            Console.WriteLine("Connection successful!");

            // Optional: Perform a simple query
            using var command = new NpgsqlCommand("SELECT version();", connection);
            using var reader = command.ExecuteReader();
            while (reader.Read())
            {
                Console.WriteLine($"PostgreSQL version: {reader.GetString(0)}");
            }
        }
        catch (Exception ex)
        {
            Console.WriteLine($"An error occurred: {ex.Message}");
        }
    }
}

Sie müssen die folgenden Platzhalter einfügen:

  • HOST: Ersetzen Sie your-server-name.postgres.database.azure.com durch den Hostnamen Ihres flexiblen Servers.
  • USER: Ersetzen Sie <identity_name> durch den Namen Ihrer verwalteten Identität.
  • DATABASE: Ersetzen Sie your-database-name durch den Namen Ihrer Azure Database for PostgreSQL-Instanz.
  • Microsoft Entra-Authentifizierung: Der Code verwendet die systemseitig zugewiesene verwaltete Identität der VM, um ein Zugriffstoken von Microsoft Entra ID abzurufen.

Wenn Sie diesen Befehl ausführen, erhalten Sie in etwa die folgende Ausgabe:

Getting access token from Azure AD...
Opening connection using access token...

Connected!

Postgres version: PostgreSQL 11.11, compiled by Visual C++ build 1800, 64-bit