Migrieren einer .NET-Anwendung zur Verwendung von kennwortlosen Verbindungen mit Azure SQL-Datenbank
Gilt für: Azure SQL-Datenbank
Anwendungsanforderungen an Azure SQL-Datenbank müssen authentifiziert werden. Obwohl es mehrere Optionen für die Authentifizierung bei Azure SQL-Datenbank gibt, sollten Sie nach Möglichkeit kennwortlose Verbindungen in Ihren Anwendungen priorisieren. Traditionelle Authentifizierungsmethoden, die Kennwörter oder geheime Schlüsseln verwenden, sind mit Sicherheitsrisiken und Komplikationen verbunden. Besuchen Sie den Hub für kennwortlose Verbindungen für Azure-Dienste, um mehr über die Vorteile der Umstellung auf kennwortlose Verbindungen zu erfahren. Im folgenden Tutorial wird erklärt, wie eine bestehende Anwendung zur Verbindungsherstellung mit Azure SQL-Datenbank migriert werden kann, um kennwortlose Verbindungen anstelle einer Lösung mit Benutzername und Kennwort zu verwenden.
Konfigurieren der Azure SQL-Datenbank
Kennwortlose Verbindungen verwenden die Microsoft Entra-Authentifizierung für die Verbindung zu Azure-Diensten, einschließlich Azure SQL Database. Mit der Microsoft Entra-Authentifizierung können Sie Identitäten an einem zentralen Ort verwalten und so die Rechteverwaltung vereinfachen. Weitere Informationen finden Sie unter Konfigurieren der Microsoft Entra-Authentifizierung in einer Azure SQL-Datenbank.
Stellen Sie für diesen Migrationsleitfaden sicher, dass Ihrer Instanz von Azure SQL-Datenbank ein*e Azure AD-Administrator*in zugewiesen ist.
Navigieren Sie zur Microsoft EntraSeite Ihres logischen Servers.
Wählen Sie Administrator festlegen aus, um den Bereich Microsoft Entra ID zu öffnen.
Suchen Sie im Flyout-Menü Microsoft Entra ID nach dem Benutzer, den Sie als Administrator zuweisen möchten.
Wählen Sie den Benutzer bzw. die Benutzerin und dann Auswählen aus.
Konfigurieren Ihrer lokalen Entwicklungsumgebung
Kennwortlose Verbindungen können so konfiguriert werden, dass sie sowohl für lokale als auch für in Azure gehostete Umgebungen funktionieren. In diesem Abschnitt wenden Sie Konfigurationen an, damit sich einzelne Benutzer*innen bei Azure SQL-Datenbank für die lokale Entwicklung authentifizieren können.
Anmelden bei Azure
Stellen Sie bei der lokalen Entwicklung sicher, dass Sie mit demselben Azure AD-Konto angemeldet sind, das Sie für den Zugriff auf Azure SQL-Datenbank verwenden möchten. Sie können sich über gängige Entwicklungstools wie die Azure-Befehlszeilenschnittstelle (CLI) oder Azure PowerShell authentifizieren. Die Entwicklungstools, mit denen Sie sich authentifizieren können, variieren je nach Sprache.
Melden Sie sich mit dem folgenden Befehl über die Azure-Befehlszeilenschnittstelle bei Azure an:
az login
Erstellen von Datenbankbenutzer*innen und Zuweisen von Rollen
Erstellen Sie einen Benutzer bzw. eine Benutzerin in Azure SQL-Datenbank. Der Benutzer bzw. die Benutzerin sollte dem Azure-Konto entsprechen, das Sie für die lokale Anmeldung über Entwicklungstools wie Visual Studio oder IntelliJ verwendet haben.
Navigieren Sie im Azure-Portal zu Ihrer SQL-Datenbank-Instanz, und wählen Sie Abfrage-Editor (Vorschau) aus.
Wählen Sie auf der rechten Seite des Bildschirms Weiter als
<your-username>
aus, um sich mit Ihrem Konto bei der Datenbank anzumelden.Führen Sie in der Abfrage-Editor-Ansicht die folgenden T-SQL-Befehle aus:
CREATE USER [user@domain] FROM EXTERNAL PROVIDER; ALTER ROLE db_datareader ADD MEMBER [user@domain]; ALTER ROLE db_datawriter ADD MEMBER [user@domain]; ALTER ROLE db_ddladmin ADD MEMBER [user@domain]; GO
Durch das Ausführen dieser Befehle wird dem angegebenen Konto die Rolle SQL-DB-Mitwirkender zugewiesen. Diese Rolle erlaubt es der Identität, die Daten und das Schema Ihrer Datenbank zu lesen, zu schreiben und zu ändern. Weitere Informationen zu den zugewiesenen Rollen finden Sie unter Feste Datenbankrollen.
Aktualisieren der lokalen Verbindungskonfiguration
Vorhandener Anwendungscode, der über die Bibliothek Microsoft.Data.SqlClient
oder Entity Framework Core eine Verbindung mit Azure SQL-Datenbank herstellt, funktioniert weiterhin mit kennwortlosen Verbindungen. Sie müssen Ihre Datenbankverbindungszeichenfolge jedoch so aktualisieren, dass das kennwortlose Format verwendet wird. Der folgende Code funktioniert beispielsweise sowohl mit SQL-Authentifizierung als auch mit kennwortlosen Verbindungen:
string connectionString = app.Configuration.GetConnectionString("AZURE_SQL_CONNECTIONSTRING")!;
using var conn = new SqlConnection(connectionString);
conn.Open();
var command = new SqlCommand("SELECT * FROM Persons", conn);
using SqlDataReader reader = command.ExecuteReader();
So aktualisieren Sie die Verbindungszeichenfolge (AZURE_SQL_CONNECTIONSTRING
), auf die verwiesen wird, um das kennwortlose Format für Verbindungszeichenfolgen zu verwenden:
Suchen Sie Ihre Verbindungszeichenfolge. Bei der lokalen Entwicklung mit .NET-Anwendungen wird diese in der Regel an einem der folgenden Orte gespeichert:
- Konfigurationsdatei
appsettings.json
für Ihr Projekt - Konfigurationsdatei
launchsettings.json
für Visual Studio-Projekte - Variablen für das lokale System oder Containerumgebungen
- Konfigurationsdatei
Ersetzen Sie den Wert der Verbindungszeichenfolge durch das folgende kennwortlose Format. Ersetzen Sie die Platzhalter
<database-server-name>
und<database-name>
durch Ihre eigenen Werte:Server=tcp:<database-server-name>.database.windows.net,1433;Initial Catalog=<database-name>; Encrypt=True;TrustServerCertificate=False;Connection Timeout=30;Authentication="Active Directory Default";
Testen der App
Führen Sie Ihre App lokal aus, und überprüfen Sie, ob die Verbindungen mit Azure SQL-Datenbank wie erwartet funktionieren. Denken Sie daran, dass es einige Minuten dauern kann, bis die Azure-Benutzer*innen und -Rollen in der Azure-Umgebung weitergegeben werden. Ihre Anwendung ist jetzt so konfiguriert, dass sie lokal ausgeführt werden kann, ohne dass Entwickler*innen Geheimnisse in der Anwendung selbst verwalten müssen.
Konfigurieren der Azure-Hostingumgebung
Sobald Ihre App für die lokale Verwendung kennwortloser Verbindungen konfiguriert ist, kann sich derselbe Code nach der Bereitstellung in Azure bei Azure SQL-Datenbank authentifizieren. In den folgenden Abschnitten wird erläutert, wie Sie eine bereitgestellte Anwendung so konfigurieren, dass sie mithilfe einer verwalteten Identität eine Verbindung mit Azure SQL-Datenbank herstellt. Verwaltete Identitäten bieten eine automatisch verwaltete Identität in Microsoft Entra ID (früher Azure Active Directory), die Anwendungen verwenden können, wenn sie sich mit Ressourcen verbinden, die die Microsoft Entra-Authentifizierung unterstützen. Weitere Informationen zu verwalteten Identitäten:
- Kennwortlose Verbindungen für Azure-Dienste
- Empfehlungen zu bewährten Methoden für verwaltete Identitäten
Erstellen Sie die verwaltete Identität
Erstellen Sie eine benutzerseitig zugewiesene verwaltete Identität über das Azure-Portal oder mithilfe der Azure CLI. Ihre Anwendung verwendet die Identität zur Identifizierung bei anderen Diensten.
- Suchen Sie oben im Azure-Portal nach Verwaltete Identitäten. Wählen Sie das Ergebnis Verwaltete Identitäten aus.
- Wählen Sie oben auf der Übersichtsseite Verwaltete Identitäten die Option + Erstellen aus.
- Geben Sie auf der Registerkarte Grundlagen die folgenden Werte ein:
- Abonnement: Wählen Sie Ihr gewünschtes Abonnement aus.
- Ressourcengruppe: Wählen Sie die gewünschte Ressourcengruppe aus.
- Region: Wählen Sie eine Region in Ihrer Nähe aus.
- Name: Geben Sie einen erkennbaren Namen für Ihre Identität ein, z. B. MigrationIdentity.
- Wählen Sie am unteren Rand der Seite die Option Bewerten + erstellen aus.
- Wenn die Überprüfungen abgeschlossen sind, wählen Sie Erstellen aus. Azure erstellt eine neue benutzerseitig zugewiesene Identität.
Nachdem die Ressource erstellt wurde, wählen Sie Zu Ressource wechseln aus, um die Details der verwalteten Identität anzuzeigen.
Zuordnen der verwalteten Identität zu Ihrer Web-App
Konfigurieren Sie Ihre Web-App so, dass sie die von Ihnen erstellte benutzerseitig zugewiesene verwaltete Identität verwendet.
Führen Sie im Azure-Portal die folgenden Schritte aus, um Ihrer App die benutzerseitig zugewiesene verwaltete Identität zuzuordnen. Dieselben Schritte gelten für die folgenden Azure-Dienste:
- Azure Spring Apps
- Azure Container Apps
- Virtuelle Azure-Computer
- Azure Kubernetes Service
- Navigieren Sie zur Übersichtsseite Ihrer Web-App.
Wählen Sie im linken Navigationsbereich Identität aus.
Wechseln Sie auf der Seite Identität zur Registerkarte Benutzerseitig zugewiesen.
Wählen Sie + Hinzufügen aus, um das Flyout Benutzerseitig zugewiesene verwaltete Identität hinzufügen zu öffnen.
Wählen Sie das Abonnement aus, das Sie vorher zum Erstellen der Identität verwendet haben.
Suchen Sie anhand des Namens nach der MigrationIdentity, und wählen Sie sie aus den Suchergebnissen aus.
Wählen Sie Hinzufügen aus, um die Identität Ihrer App zuzuordnen.
Erstellen von Datenbankbenutzer*innen für die Identität und Zuweisen von Rollen
Erstellen Sie einen SQL-Datenbank-Benutzer bzw. eine SQL-Datenbank-Benutzerin, der bzw. die der benutzerseitig zugewiesenen verwalteten Identität zugeordnet ist. Weisen Sie dem Benutzer bzw. der Benutzerin die erforderlichen SQL-Rollen zu, damit Ihre App die Daten und das Schema Ihrer Datenbank lesen, schreiben und ändern kann.
Navigieren Sie im Azure-Portal zu Ihrer SQL-Datenbank-Instanz, und wählen Sie Abfrage-Editor (Vorschau) aus.
Wählen Sie auf der rechten Seite des Bildschirms Weiter als
<username>
aus, um sich mit Ihrem Konto bei der Datenbank anzumelden.Führen Sie in der Abfrage-Editor-Ansicht die folgenden T-SQL-Befehle aus:
CREATE USER [user-assigned-identity-name] FROM EXTERNAL PROVIDER; ALTER ROLE db_datareader ADD MEMBER [user-assigned-identity-name]; ALTER ROLE db_datawriter ADD MEMBER [user-assigned-identity-name]; ALTER ROLE db_ddladmin ADD MEMBER [user-assigned-identity-name]; GO
Wenn Sie diese Befehle ausführen, wird der benutzerseitig zugewiesenen verwalteten Identität die Rolle SQL-DB-Mitwirkender zugewiesen. Diese Rolle erlaubt es der Identität, die Daten und das Schema Ihrer Datenbank zu lesen, zu schreiben und zu ändern.
Wichtig
Gehen Sie beim Zuweisen von Datenbankbenutzerrollen in Produktionsumgebungen von Unternehmen vorsichtig vor. In diesen Szenarien sollte die App nicht alle Vorgänge mit einer einzelnen Identität mit erhöhten Rechten ausführen. Versuchen Sie, das Prinzip der geringsten Rechte zu implementieren, indem Sie mehrere Identitäten mit bestimmten Berechtigungen für bestimmte Aufgaben konfigurieren.
Weitere Informationen zum Konfigurieren von Datenbankrollen und der Sicherheit finden Sie in den folgenden Ressourcen:
Aktualisieren der Verbindungszeichenfolge
Aktualisieren Sie Ihre Azure-App-Konfiguration, um das Zeichenfolgenformat für kennwortlose Verbindungen zu verwenden. Verbindungszeichenfolgen werden in der Regel als Umgebungsvariablen in Ihrer App-Hostingumgebung gespeichert. Die folgenden Anweisungen konzentrieren sich auf App Service, aber andere Azure-Hostingdienste bieten ähnliche Konfigurationen.
Navigieren Sie zur Konfigurationsseite Ihrer App Service-Instanz, und suchen Sie die Verbindungszeichenfolge für Azure SQL-Datenbank.
Wählen Sie das Bearbeitungssymbol aus, und aktualisieren Sie den Wert der Verbindungszeichenfolge so, dass er dem folgenden Format entspricht. Ersetzen Sie die Platzhalter
<database-server-name>
und<database-name>
durch die Werte Ihres eigenen Diensts.Server=tcp:<database-server-name>.database.windows.net,1433;Initial Catalog=<database-name>; Encrypt=True;TrustServerCertificate=False;Connection Timeout=30;Authentication="Active Directory Default";
Speichern Sie Ihre Änderungen, und starten Sie die Anwendung neu, falls dies nicht automatisch geschieht.
Testen der App
Testen Sie Ihre App, um sicherzustellen, dass noch alles funktioniert. Es kann einige Minuten dauern, bis alle Änderungen in Ihrer Azure-Umgebung weitergegeben werden.
Nächste Schritte
In diesem Tutorial haben Sie gelernt, wie Sie eine Anwendung zu kennwortlosen Verbindungen migrieren.
Sie können die folgenden Ressourcen lesen, um die in diesem Artikel erläuterten Konzepte ausführlicher zu erkunden: