Databaseverbindingen zonder wachtwoord configureren voor Java-apps op Oracle WebLogic Server

Artikel
02/09/2025

In dit artikel leest u hoe u databaseverbindingen zonder wachtwoord configureert voor Java-apps in Oracle WebLogic Server met azure Portal.

In deze handleiding voert u de volgende taken uit:

Databasebronnen inrichten met behulp van Azure CLI.
Schakel de Microsoft Entra-beheerder in de database in.
Richt een door de gebruiker toegewezen beheerde identiteit in en maak er een databasegebruiker voor.
Configureer een databaseverbinding zonder wachtwoord in Oracle WebLogic-aanbiedingen met Azure Portal.
Valideer de databaseverbinding.

De aanbiedingen bieden ondersteuning voor verbindingen zonder wachtwoord voor PostgreSQL-, MySQL- en Azure SQL-databases.

Vereisten

Een Azure-abonnement. Als u geen Azure-abonnement hebt, maakt u een gratis account voordat u begint.
Gebruik Azure Cloud Shell met behulp van de Bash-omgeving. Zorg ervoor dat de Azure CLI-versie 2.43.0 of hoger is.
Als u wilt, installeert u de Azure CLI 2.43.0 of hoger om Azure CLI-opdrachten uit te voeren.
- Als u een lokale installatie gebruikt, meldt u zich aan met Azure CLI met behulp van de opdracht az login. Volg de stappen die worden weergegeven in de terminal, om het verificatieproces te voltooien. Zie Aanmelden met Azure CLI voor andere aanmeldingsopties.
- Installeer de Azure CLI-extensie bij het eerste gebruik, wanneer u hierom wordt gevraagd. Zie Extensies gebruiken met Azure CLI voor meer informatie over extensies.
- Voer az version uit om de versie en afhankelijke bibliotheken te vinden die zijn geïnstalleerd. Voer az upgradeuit om een upgrade uit te voeren naar de nieuwste versie.
Zorg ervoor dat de Azure-identiteit die u gebruikt om u aan te melden en te voltooien, de rol Eigenaar in het huidige abonnement heeft of de rollen Inzender en Beheerder voor gebruikerstoegang in het huidige abonnement. Zie Wat is op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC)voor een overzicht van Azure-rollen? Zie ingebouwde Azure-rollen voor meer informatie over de specifieke rollen die vereist zijn voor de aanbieding van Oracle WebLogic Marketplace.

Een brongroep maken

Maak een resourcegroep met az group create. Omdat resourcegroepen uniek moeten zijn binnen een abonnement, kiest u een unieke naam. Een eenvoudige manier om unieke namen te hebben, is door een combinatie van uw initialen, de datum van vandaag en een id te gebruiken, abc1228rgbijvoorbeeld. In dit voorbeeld wordt een resourcegroep gemaakt met de naam abc1228rg op de eastus locatie:

export RESOURCE_GROUP_NAME="abc1228rg"
az group create \
    --name ${RESOURCE_GROUP_NAME} \
    --location eastus

Een databaseserver en een database maken

Maak een flexibele server met de opdracht az mysql flexible-server create. In dit voorbeeld wordt een flexibele server gemaakt met de naam mysql20221201 admin user azureuser en admin password Secret123456. Vervang het wachtwoord door uw wachtwoord. Zie Een Azure Database for MySQL Flexible Server maken met behulp van Azure CLI voor meer informatie.

export MYSQL_NAME="mysql20221201"
export MYSQL_ADMIN_USER="azureuser"
export MYSQL_ADMIN_PASSWORD="Secret123456"

az mysql flexible-server create \
    --resource-group $RESOURCE_GROUP_NAME \
    --name $MYSQL_NAME \
    --location eastus \
    --admin-user $MYSQL_ADMIN_USER \
    --admin-password $MYSQL_ADMIN_PASSWORD \
    --public-access 0.0.0.0 \
    --tier Burstable \
    --sku-name Standard_B1ms

Een database maken met az mysql flexible-server db create.

export DATABASE_NAME="contoso"

# create mysql database
az mysql flexible-server db create \
    --resource-group $RESOURCE_GROUP_NAME \
    --server-name $MYSQL_NAME \
    --database-name $DATABASE_NAME

Wanneer de opdracht is voltooid, ziet u uitvoer die vergelijkbaar is met het volgende voorbeeld:

Creating database with utf8 charset and utf8_general_ci collation
{
  "charset": "utf8",
  "collation": "utf8_general_ci",
  "id": "/subscriptions/contoso-hashcode/resourceGroups/abc1228rg/providers/Microsoft.DBforMySQL/flexibleServers/mysql20221201/databases/contoso",
  "name": "contoso",
  "resourceGroup": "abc1228rg",
  "systemData": null,
  "type": "Microsoft.DBforMySQL/flexibleServers/databases"
}

Maak een flexibele server met de opdracht az postgres flexible-server create. In dit voorbeeld wordt een flexibele server gemaakt met de naam postgresql20221223 admin user azureuser en admin password Secret123456. Vervang het wachtwoord door uw wachtwoord. Zie Een Azure Database for PostgreSQL Flexible Server maken met behulp van Azure CLI voor meer informatie.

export POSTGRESQL_NAME="postgresql20221223"
export POSTGRESQL_ADMIN_USER="azureuser"
export POSTGRESQL_ADMIN_PASSWORD="Secret123456"

az postgres flexible-server create \
    --resource-group $RESOURCE_GROUP_NAME \
    --name $POSTGRESQL_NAME \
    --location eastus \
    --admin-user $POSTGRESQL_ADMIN_USER \
    --admin-password $POSTGRESQL_ADMIN_PASSWORD \
    --public-access 0.0.0.0 \
    --tier Burstable \
    --sku-name Standard_B1ms \
    --active-directory-auth Enabled

Een database maken met az postgres flexible-server db create.

export DATABASE_NAME="contoso"

# create postgresql database
az postgres flexible-server db create \
    --resource-group $RESOURCE_GROUP_NAME \
    --server-name $POSTGRESQL_NAME \
    --database-name $DATABASE_NAME

Openbare toegang vanuit elke Azure-service binnen Azure tot deze server toestaan.

az postgres flexible-server firewall-rule create \
    --resource-group $RESOURCE_GROUP_NAME \
    --name $POSTGRESQL_NAME \
    --rule-name AllowAllAzureServices \
    --start-ip-address 0.0.0.0 \
    --end-ip-address 0.0.0.0

Maak een server met de opdracht az sql server create. In dit voorbeeld wordt een server gemaakt met de naam myazuresql20130213 admin user azureuser en admin password Secret123456. Vervang het wachtwoord door uw wachtwoord. Zie quickstart: Een individuele database maken - Azure SQL Database voor meer informatie.

export AZURESQL_SERVER_NAME="myazuresql20130213"
export AZURESQL_ADMIN_USER="azureuser"
export AZURESQL_ADMIN_PASSWORD="Secret123456"

az sql server create \
    --resource-group $RESOURCE_GROUP_NAME \
    --name $AZURESQL_SERVER_NAME \
    --location eastus \
    --admin-user $AZURESQL_ADMIN_USER \
    --admin-password $AZURESQL_ADMIN_PASSWORD

Maak een database met de opdracht az sql db create in de serverloze rekenlaag.

export DATABASE_NAME="mysingledatabase20230213"

az sql db create \
    --resource-group $RESOURCE_GROUP_NAME \
    --server $AZURESQL_SERVER_NAME \
    --name $DATABASE_NAME \
    --sample-name AdventureWorksLT \
    --edition GeneralPurpose \
    --compute-model Serverless \
    --family Gen5 \
    --capacity 2

Een Microsoft Entra-beheerder configureren voor uw database

Nu u de database hebt gemaakt, moet u deze gereed maken om wachtwoordloze verbindingen te ondersteunen. Een verbinding zonder wachtwoord vereist een combinatie van beheerde identiteiten voor Azure-resources en Microsoft Entra-verificatie. Zie Wat zijn beheerde identiteiten voor Azure-resources voor een overzicht van beheerde identiteiten voor Azure-resources?

Zie de documentatie voor Azure Database for MySQLvoor meer informatie over hoe MySQL Flexible Server communiceert met beheerde identiteiten.

In het volgende voorbeeld wordt de huidige Azure CLI-gebruiker geconfigureerd als een Microsoft Entra-beheerdersaccount. Als u Azure-verificatie wilt inschakelen, moet u een identiteit toewijzen aan MySQL Flexible Server.

Maak eerst een beheerde identiteit met az identity create en wijs de identiteit toe aan de MySQL-server met az mysql flexible-server identity assign.

export MYSQL_UMI_NAME="id-mysql-aad-20221205"

# create a User Assigned Managed Identity for MySQL to be used for AAD authentication
az identity create \
    --resource-group $RESOURCE_GROUP_NAME \
    --name $MYSQL_UMI_NAME

## assign the identity to the MySQL server
az mysql flexible-server identity assign \
    --resource-group $RESOURCE_GROUP_NAME \
    --server-name $MYSQL_NAME \
    --identity $MYSQL_UMI_NAME

Stel vervolgens de huidige gebruiker van de Azure CLI in als Microsoft Entra-beheerder met az mysql flexible-server ad-admin create.

export CURRENT_USER=$(az account show --query user.name --output tsv)
export CURRENT_USER_OBJECTID=$(az ad signed-in-user show --query id --output tsv)

az mysql flexible-server ad-admin create \
    --resource-group $RESOURCE_GROUP_NAME \
    --server-name $MYSQL_NAME \
    --object-id $CURRENT_USER_OBJECTID \
    --display-name $CURRENT_USER \
    --identity $MYSQL_UMI_NAME

Zie Microsoft Entra ID gebruiken voor verificatie met Azure Database for PostgreSQL - Flexible Server voor meer informatie over hoe PostgreSQL Flexible Server communiceert met beheerde identiteiten.

Voeg de huidige aangemelde gebruiker toe als Microsoft Entra-beheerder aan het exemplaar van Azure Database for PostgreSQL Flexible Server met behulp van de volgende opdrachten:

export CURRENT_USER=$(az account show --query user.name --output tsv)
az postgres flexible-server ad-admin create \
    --resource-group $RESOURCE_GROUP_NAME \
    --server-name $POSTGRESQL_NAME \
    --display-name $CURRENT_USER \
    --object-id $(az ad signed-in-user show --query id --output tsv)

Een door de gebruiker toegewezen beheerde identiteit maken

Maak vervolgens in Azure CLI een identiteit in uw abonnement met behulp van de opdracht az identity create. U gebruikt deze beheerde identiteit om verbinding te maken met uw database.

az identity create \
    --resource-group ${RESOURCE_GROUP_NAME} \
    --name myManagedIdentity

Als u de identiteit in de volgende stappen wilt configureren, gebruikt u de opdracht az identity show om de client-id van de identiteit op te slaan in een shellvariabele.

# Get client ID of the user-assigned identity
export CLIENT_ID=$(az identity show \
    --resource-group ${RESOURCE_GROUP_NAME} \
    --name myManagedIdentity \
    --query clientId \
    --output tsv)

Een databasegebruiker maken voor uw beheerde identiteit

Eerst moet u een firewallregel maken voor toegang tot de databaseserver vanuit uw CLI-client. Voer de volgende opdrachten uit om uw huidige IP-adres op te halen:

export MY_IP=$(curl http://whatismyip.akamai.com)

Als u werkt met windows-subsysteem voor Linux (WSL) waarvoor VPN is ingeschakeld, retourneert de volgende opdracht mogelijk een onjuist IPv4-adres. Een manier om uw IPv4-adres te verkrijgen, is door whatismyipaddress.com te bezoeken. Stel de omgevingsvariabele in MY_IP als het IPv4-adres waaruit u verbinding wilt maken met de database. U configureert de firewall van de database later met dit IP-adres.

Maak verbinding als de Microsoft Entra-beheerdergebruiker met uw MySQL-database en maak een MySQL-gebruiker voor uw beheerde identiteit.

Maak een tijdelijke firewallregel met az mysql flexible-server firewall-rule create.

az mysql flexible-server firewall-rule create \
    --resource-group $RESOURCE_GROUP_NAME \
    --name $MYSQL_NAME \
    --rule-name AllowCurrentMachineToConnect \
    --start-ip-address ${MY_IP} \
    --end-ip-address ${MY_IP}

Bereid vervolgens een SQL-bestand voor om een databasegebruiker te maken voor de beheerde identiteit. In het volgende voorbeeld wordt een gebruiker met aanmeldingsnaam identity-contoso toegevoegd en worden de gebruikersbevoegdheden verleend voor toegang tot de database contoso:

export IDENTITY_LOGIN_NAME="identity-contoso"

cat <<EOF >createuser.sql
SET aad_auth_validate_oids_in_tenant = OFF;
DROP USER IF EXISTS '${IDENTITY_LOGIN_NAME}'@'%';
CREATE AADUSER '${IDENTITY_LOGIN_NAME}' IDENTIFIED BY '${CLIENT_ID}';
GRANT ALL PRIVILEGES ON ${DATABASE_NAME}.* TO '${IDENTITY_LOGIN_NAME}'@'%';
FLUSH privileges;
EOF

Voer het SQL-bestand uit met de opdracht az mysql flexible-server execute. U kunt uw toegangstoken ophalen met de opdracht az account get-access-token.

export RDBMS_ACCESS_TOKEN=$(az account get-access-token \
    --resource-type oss-rdbms \
    --query accessToken \
    --output tsv) 

az mysql flexible-server execute \
    --name ${MYSQL_NAME} \
    --admin-user ${CURRENT_USER} \
    --admin-password ${RDBMS_ACCESS_TOKEN} \
    --file-path "createuser.sql"

Mogelijk wordt u gevraagd om de rdbms-connect-extensie te installeren, zoals wordt weergegeven in de volgende uitvoer. Druk op y- om door te gaan. Als u niet met de root gebruiker werkt, moet u het gebruikerswachtwoord invoeren.

The command requires the extension rdbms-connect. Do you want to install it now? The command will continue to run after the extension is installed. (Y/n): y
Run 'az config set extension.use_dynamic_install=yes_without_prompt' to allow installing extensions without prompt.
This extension depends on gcc, libpq-dev, python3-dev and they will be installed first.
[sudo] password for user:

Als het SQL-bestand wordt uitgevoerd, is de uitvoer vergelijkbaar met het volgende voorbeeld:

Running *.sql* file 'createuser.sql'...
Successfully executed the file.
Closed the connection to mysql20221201

De beheerde identiteit myManagedIdentity heeft nu toegang tot de database bij het verifiëren met de gebruikersnaam identity-contoso.

Als u vanaf dit IP-adres geen toegang meer wilt krijgen tot de server, kunt u de firewallregel verwijderen met behulp van de volgende opdracht:

az mysql flexible-server firewall-rule delete \
    --resource-group $RESOURCE_GROUP_NAME \
    --name $MYSQL_NAME \
    --rule-name AllowCurrentMachineToConnect \
    --yes

Gebruik ten slotte de volgende opdracht om de verbindingsreeks op te halen die u in de volgende sectie gebruikt:

export CONNECTION_STRING="jdbc:mysql://${MYSQL_NAME}.mysql.database.azure.com:3306/${DATABASE_NAME}?useSSL=true"
echo ${CONNECTION_STRING}

Maak verbinding als de Microsoft Entra-beheerdergebruiker met uw PostgreSQL-database en maak een PostgreSQL-gebruiker voor uw beheerde identiteit.

Maak een tijdelijke firewallregel met az postgres flexible-server firewall-rule create, zoals wordt weergegeven in het volgende voorbeeld:

az postgres flexible-server firewall-rule create \
    --resource-group $RESOURCE_GROUP_NAME \
    --name $POSTGRESQL_NAME \
    --rule-name $POSTGRESQL_NAME-database-allow-local-ip \
    --start-ip-address $MY_IP \
    --end-ip-address $MY_IP

Haal in dezelfde Azure CLI-shell die u hebt gebruikt een token op voor verbinding met behulp van de volgende opdracht:

export RDBMS_ACCESS_TOKEN=$(az account get-access-token --resource-type oss-rdbms --query accessToken --output tsv)

Bereid vervolgens een SQL-bestand voor om een databasegebruiker te maken voor de beheerde identiteit. In het volgende voorbeeld wordt een gebruiker met aanmeldingsnaam myManagedIdentity toegevoegd en worden de gebruikersbevoegdheden verleend voor toegang tot de database contoso:

cat <<EOF >createuser.sql
select * from pgaadauth_create_principal('myManagedIdentity', false, false);
select * from pgaadauth_list_principals(false);
GRANT ALL PRIVILEGES ON DATABASE "contoso" TO "myManagedIdentity";
GRANT ALL PRIVILEGES ON ALL TABLES IN SCHEMA public TO "myManagedIdentity";
GRANT ALL PRIVILEGES ON ALL SEQUENCES IN SCHEMA public TO "myManagedIdentity";
EOF

Gebruik de volgende opdrachten om het SQL-bestand uit te voeren:

az config set extension.use_dynamic_install=yes_without_prompt

az postgres flexible-server execute --verbose \
    --name ${POSTGRESQL_NAME} \
    --admin-user ${CURRENT_USER} \
    --admin-password ${RDBMS_ACCESS_TOKEN} \
    --file-path createuser.sql

De uitvoer lijkt op die in het volgende voorbeeld:

Connecting to postgres database by default.
Running sql file 'dbuser.sql'...
Successfully executed the file.
Closed the connection to postgresql20221223
Command ran in 2.752 seconds (init: 0.144, invoke: 2.609)

Gebruik de volgende opdracht om de verbindingsreeks op te halen die u in de volgende sectie gebruikt:

export CONNECTION_STRING="jdbc:postgresql://${POSTGRESQL_NAME}.postgres.database.azure.com:5432/${DATABASE_NAME}?sslmode=require"
echo ${CONNECTION_STRING}

Maak vanuit Azure Portal verbinding als de Microsoft Entra-beheerdergebruiker met uw Azure SQL-database en maak een gebruiker voor uw beheerde identiteit.

Maak eerst een firewallregel voor toegang tot de Azure SQL-server vanuit de portal, zoals wordt weergegeven in de volgende stappen:

Open in de Azure Portalhet Azure SQL Server-exemplaar myazuresql20130213.
Selecteer Beveiligingen selecteer Netwerken.
Selecteer onder Firewallregels de optie Voeg je client IPV4 IP-adres toe.
Selecteer onder Uitzonderingen de optie Azure-services en -resources toegang geven tot deze server.
Selecteer Opslaan.

Nadat de firewallregel is gemaakt, hebt u toegang tot de Azure SQL-server vanuit Azure Portal. Gebruik de volgende stappen om een databasegebruiker te maken:

Selecteer Instellingen en selecteer vervolgens SQL-databases. Selecteer mysingledatabase20230213.
Selecteer Query-editor. Zoek op de pagina Welkom bij SQL Database Query Editor onder Active Directory-verificatieeen bericht dat lijkt op 'Aangemeld als user@contoso.com'.
Selecteer Doorgaan als user@contoso.com, waarbij gebruiker de naam van uw AD-beheerdersaccount is.

Nadat u zich hebt aangemeld, gebruikt u in de editor Query 1 de volgende opdrachten om een databasegebruiker te maken voor beheerde identiteiten myManagedIdentity:

CREATE USER "myManagedIdentity" FROM EXTERNAL PROVIDER
ALTER ROLE db_datareader ADD MEMBER "myManagedIdentity";
ALTER ROLE db_datawriter ADD MEMBER "myManagedIdentity";
ALTER ROLE db_ddladmin ADD MEMBER "myManagedIdentity";
GO

Selecteer Uitvoeren in de query 1-editor om de SQL-opdrachten uit te voeren.
Als de opdrachten succesvol zijn voltooid, reageert het systeem met het bericht 'Query succeeded: Affected rows: 0'.

Gebruik de volgende opdracht om de verbindingsreeks op te halen die u in de volgende sectie gebruikt:

export CONNECTION_STRING="jdbc:sqlserver://myazuresql20130213.database.windows.net:1433;database=mysingledatabase20230213;encrypt=true;trustServerCertificate=false;hostNameInCertificate=*.database.windows.net;loginTimeout=30;"
echo ${CONNECTION_STRING}

Een databaseverbinding zonder wachtwoord configureren voor Oracle WebLogic Server op Azure-VM's

In deze sectie wordt beschreven hoe u de verbinding met de gegevensbron zonder wachtwoord configureert met behulp van de Azure Marketplace-aanbiedingen voor Oracle WebLogic Server.

Begin eerst met het implementeren van een aanbieding. De volgende aanbiedingen bieden ondersteuning voor databaseverbindingen zonder wachtwoord:

Voer de vereiste gegevens in het deelvenster Basisinformatie basisinformatie en andere deelvensters in als u de functies wilt inschakelen. Wanneer u het deelvenster Database bereikt, voert u de configuratie zonder wachtwoord in, zoals wordt weergegeven in de volgende stappen:

Voor Verbinding maken met database?, selecteert u Ja.
Selecteer onder de Verbindingsinstellingenvoor het kiezen van het databasetypein het vervolgkeuzemenu MySQL (met ondersteuning voor verbinding zonder wachtwoord).
Voer voor JNDI-naamtestpasswordless of de verwachte waarde in.
Voer voor datasource-verbindingsreeksde verbindingsreeks in die u in de laatste sectie hebt verkregen.
Voer voor databasegebruikersnaamde gebruikersnaam van de database in van uw beheerde identiteit. Dit is de waarde van ${IDENTITY_LOGIN_NAME}. In dit voorbeeld is de waarde identity-contoso.
Selecteer Wachtwoordloze gegevensbronverbinding gebruiken.
Selecteer voor door de gebruiker toegewezen beheerde identiteit de beheerde identiteit die u eerder hebt gemaakt. In dit voorbeeld is zijn naam myManagedIdentity.

De sectie Verbindingsinstellingen moet eruitzien als in de volgende schermopname, waarin Oracle WebLogic Server-cluster op VM's als voorbeeld wordt gebruikt.

U hebt de verbinding zonder wachtwoord geconfigureerd. U kunt de volgende deelvensters blijven invullen of Beoordelen en maken selecteren en vervolgens Maken om de aanbieding te implementeren.

De databaseverbinding controleren

De databaseverbinding is geconfigureerd als de implementatie van de aanbieding zonder fouten is voltooid.

Ga door met het nemen van Oracle WebLogic Server-cluster op VM's als voorbeeld, nadat de implementatie is voltooid, deze stappen in Azure Portal om de URL van de beheerconsole te vinden.

Zoek de resourcegroep waarin u WLS hebt geïmplementeerd.
Selecteer Onder Instellingen de optie Implementaties.
Selecteer de implementatie met de langste duur. Deze implementatie moet onder aan de lijst staan.
Selecteer Uitvoer.
De URL van de WebLogic Administration Console is de waarde van de adminConsoleUrl-uitvoer .
Kopieer de waarde van de uitvoervariabele adminConsoleUrl.
Plak de waarde in de adresbalk van de browser en druk op Enter om de aanmeldingspagina van de WebLogic-beheerconsole te openen.

Gebruik de volgende stappen om de databaseverbinding te controleren:

Meld u aan bij de WebLogic-beheerconsole met de gebruikersnaam en het wachtwoord die u hebt opgegeven in het deelvenster Basisbeginselen .
Selecteer Onder de domeinstructuur services, gegevensbronnen en testpasswordless.
Selecteer het tabblad Bewaking, waar de status van de gegevensbron Actiefis, zoals weergegeven in de volgende schermopname:
Selecteer het tabblad Testen en klik vervolgens op de radioknop naast de gewenste server.
Selecteer Testgegevensbron. U ziet nu een bericht dat een geslaagde test aangeeft, zoals wordt weergegeven in de volgende schermopname:

Resources opschonen

Als u deze resources niet nodig hebt, kunt u ze verwijderen met behulp van de volgende opdrachten:

az group delete --name ${RESOURCE_GROUP_NAME}
az group delete --name <resource-group-name-that-deploys-the-offer>

Volgende stappen

Volg deze koppelingen voor meer informatie over het uitvoeren van WLS op AKS of virtuele machines:

WebLogic Server op AKS verkennen

WebLogic Server verkennen op virtuele Azure-machines

Voorbeelden van wachtwoordloze verbindingen voor Java-apps

Delen via