Condividi tramite

Connettersi con l'identità gestita al server flessibile di Database di Azure per PostgreSQL

  • Articolo

SI APPLICA A: Database di Azure per PostgreSQL - Server flessibile

È possibile usare identità gestite assegnate dal sistema e assegnate dall'utente per eseguire l'autenticazione in Database di Azure per il server flessibile PostgreSQL. Questo articolo illustra come usare un'identità gestita assegnata dal sistema per una macchina virtuale di Azure per accedere a un'istanza del server flessibile di Database di Azure per PostgreSQL. Le identità gestite vengono gestite automaticamente da Azure e consentono di eseguire l'autenticazione ai servizi che supportano l'autenticazione di Microsoft Entra senza la necessità di inserire le credenziali nel codice.

Scopri come:

  • Concedere alla macchina virtuale l'accesso a un'istanza del server flessibile di Database di Azure per PostgreSQL.
  • Creare un utente nel database che rappresenta l'identità assegnata dal sistema della macchina virtuale.
  • Ottenere un token di accesso tramite l'identità della VM e usarlo per eseguire query su un’istanza del server flessibile di Database di Azure per PostgreSQL.
  • Implementare il recupero dei token in un'applicazione C# di esempio.

Prerequisiti

Creare un'identità gestita assegnata dal sistema per la macchina virtuale

Usare az vm identity assign con il comando identity assign per abilitare l'identità assegnata dal sistema in una macchina virtuale esistente:

az vm identity assign -g myResourceGroup -n myVm

Recuperare l'ID applicazione per l'identità gestita assegnata dal sistema, necessaria nei passaggi successivi:

# Get the client ID (application ID) of the system-assigned managed identity

az ad sp list --display-name vm-name --query [*].appId --out tsv

Creare un utente server flessibile di Database di Azure per PostgreSQL per l'identità gestita

Connettersi ora come utente amministratore di Microsoft Entra al database del server flessibile di Database di Azure per PostgreSQL ed eseguire le istruzioni SQL seguenti, sostituendo <identity_name> con il nome delle risorse per cui è stata creata un'identità gestita assegnata dal sistema:

Si noti che pgaadauth_create_principal deve essere eseguito nel database Postgres.

select * from pgaadauth_create_principal('<identity_name>', false, false);

L'esito positivo è simile al seguente:

    pgaadauth_create_principal
-----------------------------------
 Created role for "<identity_name>"
(1 row)

Per altre informazioni sulla gestione dei ruoli di database abilitati per Microsoft Entra ID, vedere come gestire i ruoli del server flessibile per Database di Azure abilitato per Microsoft Entra ID per PostgreSQL

L'identità gestita ha ora accesso quando si esegue l'autenticazione con il nome dell'identità come nome del ruolo e il token Microsoft Entra come password.

Nota

Se l'identità gestita non è valida, viene restituito un errore: ERROR: Could not validate AAD user <ObjectId> because its name is not found in the tenant. [...].

Nota

Se viene visualizzato un errore simile a "Nessuna corrispondenza di funzione...", assicurarsi di connettersi al database postgres, non a un database diverso creato.

Recuperare il token di accesso dal servizio metadati dell'istanza di Azure

L'applicazione può ora recuperare un token di accesso dal servizio metadati dell'istanza di Azure e usarlo per l'autenticazione con il database.

Il recupero di questo token viene eseguito effettuando una richiesta HTTP a http://169.254.169.254/metadata/identity/oauth2/token e passando i parametri seguenti:

  • api-version = 2018-02-01
  • resource = https://ossrdbms-aad.database.windows.net
  • client_id = CLIENT_ID (recuperato in precedenza)

Si ottiene un risultato JSON contenente un campo access_token: questo valore di testo lungo è il token di accesso dell'identità gestita, da usare come password per connettersi al database.

A scopo di test, è possibile eseguire i comandi seguenti nella shell.

Nota

Si noti che è necessario che siano installati curl, jq e il client psql.

# Retrieve the access token

export PGPASSWORD=`curl -s 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https%3A%2F%2Fossrdbms-aad.database.windows.net&client_id=CLIENT_ID' -H Metadata:true | jq -r .access_token`

# Connect to the database

psql -h SERVER --user USER DBNAME

A questo punto si è connessi al database configurato in precedenza.

Connettersi usando l'identità gestita

Questa sezione illustra come ottenere un token di accesso usando l'identità gestita assegnata dall'utente della VM e usarlo per chiamare il server flessibile Database di Azure per PostgreSQL. Il server flessibile di Database di Azure per PostgreSQL supporta in modalità nativa l'autenticazione di Microsoft Entra, per cui può accettare direttamente i token di accesso ottenuti tramite identità gestite per le risorse di Azure. Quando si crea una connessione al server flessibile di Database di Azure per PostgreSQL, si passa il token di accesso nel campo password.

Connettersi usando l'identità gestita in Python

Per un esempio di codice Python, vedere Avvio rapido: Usare Python per connettersi ed eseguire query sui dati in Database di Azure per PostgreSQL - Server flessibile

Connettersi con l'identità gestita in Java

Per un esempio di codice Java, vedere Avvio rapido: Usare Java e JDBC con Database di Azure per PostgreSQL - Server flessibile

Connessione tramite identità gestita in C#

Ecco un esempio di codice .NET per aprire una connessione al server flessibile di Database di Azure per PostgreSQL usando un token di accesso. Questo codice deve essere eseguito nella macchina virtuale per usare l'identità gestita assegnata dal sistema per ottenere un token di accesso da Microsoft Entra ID. Sostituire i valori di HOST, USER (con <identity_name>) e DATABASE.

using System;
using System.Net;
using System.IO;
using System.Collections;
using System.Collections.Generic;
using System.Text.Json;
using System.Text.Json.Serialization;
using Npgsql;
using Azure.Identity;

namespace Driver
{
    class Script
    {
        // Obtain connection string information from the portal for use in the following variables
        private static string Host = "HOST";
        private static string User = "USER";
        private static string Database = "DATABASE";

        static async Task Main(string[] args)
        {
            //
            // Get an access token for PostgreSQL.
            //
            Console.Out.WriteLine("Getting access token from Azure AD...");

            // Azure AD resource ID for Azure Database for PostgreSQL Flexible Server is https://ossrdbms-aad.database.windows.net/
            string accessToken = null;

            try
            {
                // Call managed identities for Azure resources endpoint.
                var sqlServerTokenProvider = new DefaultAzureCredential();
                accessToken = (await sqlServerTokenProvider.GetTokenAsync(
                    new Azure.Core.TokenRequestContext(scopes: new string[] { "https://ossrdbms-aad.database.windows.net/.default" }) { })).Token;

            }
            catch (Exception e)
            {
                Console.Out.WriteLine("{0} \n\n{1}", e.Message, e.InnerException != null ? e.InnerException.Message : "Acquire token failed");
                System.Environment.Exit(1);
            }

            //
            // Open a connection to the PostgreSQL server using the access token.
            //
            string connString =
                String.Format(
                    "Server={0}; User Id={1}; Database={2}; Port={3}; Password={4}; SSLMode=Prefer",
                    Host,
                    User,
                    Database,
                    5432,
                    accessToken);

            using (var conn = new NpgsqlConnection(connString))
            {
                Console.Out.WriteLine("Opening connection using access token...");
                conn.Open();

                using (var command = new NpgsqlCommand("SELECT version()", conn))
                {

                    var reader = command.ExecuteReader();
                    while (reader.Read())
                    {
                        Console.WriteLine("\nConnected!\n\nPostgres version: {0}", reader.GetString(0));
                    }
                }
            }
        }
    }
}

Quando viene eseguito, questo comando restituisce un output simile al seguente:

Getting access token from Azure AD...
Opening connection using access token...

Connected!

Postgres version: PostgreSQL 11.11, compiled by Visual C++ build 1800, 64-bit

Passaggi successivi