Een toepassing migreren om verbindingen zonder wachtwoord te gebruiken met Azure Service Bus

Toepassingsaanvragen voor Azure Service Bus moeten worden geverifieerd met behulp van toegangssleutels voor accounts of verbindingen zonder wachtwoord. U moet echter waar mogelijk prioriteit geven aan verbindingen zonder wachtwoord in uw toepassingen. In deze zelfstudie wordt uitgelegd hoe u migreert van traditionele verificatiemethoden naar veiligere, wachtwoordloze verbindingen.

Beveiligingsrisico's met betrekking tot toegangssleutels

In het volgende codevoorbeeld ziet u hoe u verbinding maakt met Azure Service Bus met behulp van een verbindingsreeks die een toegangssleutel bevat. Wanneer u een Service Bus maakt, genereert Azure deze sleutels en verbindingsreeks automatisch. Veel ontwikkelaars trekken zich aan bij deze oplossing, omdat het bekend is met opties waarmee ze in het verleden hebben gewerkt. Als uw toepassing momenteel gebruikmaakt van verbindingsreeks s, kunt u overwegen om te migreren naar verbindingen zonder wachtwoord met behulp van de stappen die in dit document worden beschreven.

.NET

await using ServiceBusClient client = new("<CONNECTION-STRING>");

Go

client, err := azservicebus.NewClientFromConnectionString(
    "<CONNECTION-STRING>",
    nil)

if err != nil {
    // handle error
}

Java

JMS:

ConnectionFactory factory = new ServiceBusJmsConnectionFactory(
    "<CONNECTION-STRING>",
    new ServiceBusJmsConnectionFactorySettings());

Ontvangerclient:

ServiceBusReceiverClient receiver = new ServiceBusClientBuilder()
    .connectionString("<CONNECTION-STRING>")
    .receiver()
    .topicName("<TOPIC-NAME>")
    .subscriptionName("<SUBSCRIPTION-NAME>")
    .buildClient();

Afzenderclient:

ServiceBusSenderClient client = new ServiceBusClientBuilder()
    .connectionString("<CONNECTION-STRING>")
    .sender()
    .queueName("<QUEUE-NAME>")
    .buildClient();

Node.js

const client = new ServiceBusClient("<CONNECTION-STRING>");

Python

client = ServiceBusClient(
    fully_qualified_namespace = "<CONNECTION-STRING>"
)

Verbindingsreeksen moeten voorzichtig worden gebruikt. Ontwikkelaars moeten ijverig zijn om de sleutels nooit beschikbaar te maken op een onbeveiligde locatie. Iedereen die toegang krijgt tot de sleutel, kan worden geverifieerd. Als een accountsleutel bijvoorbeeld per ongeluk is ingecheckt bij broncodebeheer, wordt verzonden via een onbeveiligde e-mail, in de verkeerde chat is geplakt of bekeken door iemand die niet gemachtigd mag zijn, bestaat het risico dat een kwaadwillende gebruiker toegang heeft tot de toepassing. In plaats daarvan kunt u overwegen uw toepassing bij te werken voor het gebruik van verbindingen zonder wachtwoord.

Migreren naar verbindingen zonder wachtwoord

Veel Azure-services ondersteunen verbindingen zonder wachtwoord via Microsoft Entra ID en op rollen gebaseerd toegangsbeheer (RBAC). Deze technieken bieden robuuste beveiligingsfuncties en kunnen worden geïmplementeerd met behulp van DefaultAzureCredential de Azure Identity-clientbibliotheken.

Belangrijk

Sommige talen moeten expliciet in hun code worden geïmplementeerd DefaultAzureCredential , terwijl andere intern worden gebruikt DefaultAzureCredential via onderliggende invoegtoepassingen of stuurprogramma's.

DefaultAzureCredential ondersteunt meerdere verificatiemethoden en bepaalt automatisch welke tijdens runtime moet worden gebruikt. Met deze aanpak kan uw app verschillende verificatiemethoden gebruiken in verschillende omgevingen (lokale ontwikkelomgeving versus productie) zonder omgevingsspecifieke code te implementeren.

De volgorde en locaties waarin DefaultAzureCredential wordt gezocht naar referenties, vindt u in het overzicht van de Azure Identity-bibliotheek en verschilt per taal. Wanneer u bijvoorbeeld lokaal werkt met .NET, DefaultAzureCredential wordt doorgaans geverifieerd met het account dat de ontwikkelaar heeft gebruikt om zich aan te melden bij Visual Studio, Azure CLI of Azure PowerShell. Wanneer de app wordt geïmplementeerd in Azure, DefaultAzureCredential detecteert en gebruikt u automatisch de beheerde identiteit van de gekoppelde hostingservice, zoals Azure-app Service. Er zijn geen codewijzigingen vereist voor deze overgang.

Notitie

Een beheerde identiteit biedt een beveiligingsidentiteit die een app of service vertegenwoordigt. De identiteit wordt beheerd door het Azure-platform en u hoeft geen geheimen in te richten of te draaien. Meer informatie over beheerde identiteiten vindt u in de overzichtsdocumentatie .

In het volgende codevoorbeeld ziet u hoe u verbinding maakt met Service Bus met behulp van verbindingen zonder wachtwoord. In de volgende sectie wordt beschreven hoe u naar deze installatie voor een specifieke service migreert.

Een .NET-toepassing kan een exemplaar van DefaultAzureCredential de constructor van een serviceclientklasse doorgeven. DefaultAzureCredential detecteert automatisch de referenties die beschikbaar zijn in die omgeving.

client = new ServiceBusClient(
    "<NAMESPACE-NAME>.servicebus.windows.net",
    new DefaultAzureCredential());

Stappen voor het migreren van een app voor het gebruik van verificatie zonder wachtwoord

In de volgende stappen wordt uitgelegd hoe u een bestaande toepassing migreert om verbindingen zonder wachtwoord te gebruiken in plaats van een oplossing op basis van een sleutel. Eerst configureert u een lokale ontwikkelomgeving en past u deze concepten vervolgens toe op een azure-app-hostingomgeving. Dezelfde migratiestappen moeten van toepassing zijn, ongeacht of u rechtstreeks toegangssleutels gebruikt of via verbindingsreeks s.

Rollen en gebruikers configureren voor lokale ontwikkelingsverificatie

Zorg er bij het lokaal ontwikkelen voor dat het gebruikersaccount dat toegang heeft tot Service Bus, over de juiste machtigingen beschikt. In dit voorbeeld gebruikt u de rol Azure Service Bus-gegevenseigenaar om gegevens te verzenden en te ontvangen, maar er zijn ook meer gedetailleerde rollen beschikbaar. Als u uzelf deze rol wilt toewijzen, moet u de rol Beheerder voor gebruikerstoegang of een andere rol met de actie Microsoft.Authorization/roleAssignments/write krijgen toegewezen. U kunt Azure RBAC-rollen toewijzen aan een gebruiker met behulp van Azure Portal, Azure CLI of Azure PowerShell. Meer informatie over de beschikbare bereiken voor roltoewijzingen vindt u op de overzichtspagina van het bereik.

In dit scenario wijst u machtigingen toe aan uw gebruikersaccount dat is gericht op een specifieke Service Bus-naamruimte, om het principe van minimale bevoegdheden te volgen. Deze procedure biedt gebruikers alleen de minimale machtigingen die nodig zijn en maakt veiligere productieomgevingen.

In het volgende voorbeeld wordt de rol Azure Service Bus-gegevenseigenaar toegewezen aan uw gebruikersaccount, waarmee u gegevens kunt verzenden en ontvangen.

Belangrijk

In de meeste gevallen duurt het een of twee minuten voordat de roltoewijzing is doorgegeven in Azure, maar in zeldzame gevallen kan het maximaal acht minuten duren. Als u verificatiefouten ontvangt wanneer u de code voor het eerst uitvoert, wacht u even en probeert u het opnieuw.

Azure-portal

1. Zoek in Azure Portal uw Service Bus-naamruimte met behulp van de hoofdzoekbalk of linkernavigatiebalk.

2. Selecteer op de overzichtspagina van Service Bus toegangsbeheer (IAM) in het menu aan de linkerkant.

3. Selecteer op de pagina Toegangsbeheer (IAM) het tabblad Roltoewijzingen .

4. Selecteer + Toevoegen in het bovenste menu en voeg vervolgens roltoewijzing toe in de resulterende vervolgkeuzelijst.

   

5. Gebruik het zoekvak om de resultaten te filteren op de gewenste rol. Zoek voor dit voorbeeld naar Azure Service Bus-gegevenseigenaar en selecteer het overeenkomende resultaat en kies vervolgens Volgende.

6. Selecteer onder Toegang toewijzen de optie Gebruiker, groep of service-principal en kies vervolgens + Leden selecteren.

7. Zoek in het dialoogvenster naar uw Microsoft Entra-gebruikersnaam (meestal uw user@domain e-mailadres) en kies Vervolgens onderaan het dialoogvenster Selecteren .

8. Selecteer Beoordelen + toewijzen om naar de laatste pagina te gaan en vervolgens opnieuw beoordelen en toewijzen om het proces te voltooien.

Azure-CLI

Als u een rol wilt toewijzen op resourceniveau met behulp van de Azure CLI, moet u eerst de resource-id ophalen met behulp van de az servicebus namespace show opdracht. U kunt de uitvoereigenschappen filteren met behulp van de --query parameter.

az servicebus namespace show --resource-group '<your-resource-group-name>' --name '<your-service-bus-namespace>' --query id

Kopieer de uitvoer ID van de voorgaande opdracht. Vervolgens kunt u rollen toewijzen met behulp van de az-rolopdracht van de Azure CLI.

az role assignment create --assignee "<user@domain>" \
    --role "Azure Service Bus Data Owner" \
    --scope "<your-resource-id>"

Powershell

Als u een rol wilt toewijzen op resourceniveau met behulp van Azure PowerShell, moet u eerst de resource-id ophalen met behulp van de Get-AzResource opdracht.

Get-AzResource -ResourceGroupName "<yourResourceGroupname>" -Name "<yourServiceBusName>"

Kopieer de ID waarde uit de voorgaande opdrachtuitvoer. Vervolgens kunt u rollen toewijzen met behulp van de opdracht New-AzRoleAssignment in PowerShell.

New-AzRoleAssignment -SignInName <user@domain> `
    -RoleDefinitionName "Azure Service Bus Data Owner" `
    -Scope <yourServiceBusId>

Aanmelden en de app-code migreren om wachtwoordloze verbindingen te gebruiken

Zorg ervoor dat u voor lokale ontwikkeling bent geverifieerd met hetzelfde Microsoft Entra-account waaraan u de rol hebt toegewezen voor de Service Bus-naamruimte. U kunt zich verifiëren via de Azure CLI, Visual Studio, Azure PowerShell of andere hulpprogramma's, zoals IntelliJ.

Zorg ervoor dat u voor lokale ontwikkeling bent geverifieerd met hetzelfde Microsoft Entra-account waaraan u de rol hebt toegewezen. U kunt zich verifiëren via populaire ontwikkelhulpprogramma's, zoals de Azure CLI of Azure PowerShell. De ontwikkelhulpprogramma's waarmee u zich kunt verifiëren, variëren per taal.

Azure-CLI

Meld u aan bij Azure via de Azure CLI met behulp van de volgende opdracht:

az login

Visual Studio

Selecteer de knop Aanmelden in de rechterbovenhoek van Visual Studio.

Meld u aan met het Microsoft Entra-account waaraan u eerder een rol hebt toegewezen.

Visual Studio Code

U moet de Azure CLI installeren om mee DefaultAzureCredential te werken via Visual Studio Code.

Navigeer in het hoofdmenu van Visual Studio Code naar Terminal > New Terminal.

Meld u aan bij Azure via de Azure CLI met behulp van de volgende opdracht:

az login

Powershell

Meld u aan bij Azure met behulp van PowerShell via de volgende opdracht:

Connect-AzAccount

Werk vervolgens uw code bij voor het gebruik van verbindingen zonder wachtwoord.

.NET

1. Als u wilt gebruiken DefaultAzureCredential in een .NET-toepassing, installeert u het Azure.Identity pakket:

   dotnet add package Azure.Identity
   

2. Voeg boven aan het bestand de volgende code toe:

   using Azure.Identity;
   

3. Identificeer de code waarmee een ServiceBusClient object wordt gemaakt om verbinding te maken met Azure Service Bus. Werk uw code bij zodat deze overeenkomt met het volgende voorbeeld:

    var serviceBusNamespace = $"{namespace}.servicebus.windows.net";
    ServiceBusClient client = new(
        serviceBusNamespace,
        new DefaultAzureCredential());
   

Go

1. Als u wilt gebruiken DefaultAzureCredential in een Go-toepassing, installeert u de azidentity module:

   go get -u github.com/Azure/azure-sdk-for-go/sdk/azidentity
   

2. Voeg boven aan het bestand de volgende code toe:

   import (
       "github.com/Azure/azure-sdk-for-go/sdk/azidentity"
   )
   

3. Identificeer de locaties in uw code die een Client exemplaar maken om verbinding te maken met Azure Service Bus. Werk uw code bij zodat deze overeenkomt met het volgende voorbeeld:

   credential, err := azidentity.NewDefaultAzureCredential(nil)
   
   if err != nil {
       // handle error
   }
   
   serviceBusNamespace := fmt.Sprintf(
       "%s.servicebus.windows.net",
       namespace)
   client, err := azservicebus.NewClient(serviceBusNamespace, credential, nil)
   
   if err != nil {
       // handle error
   }
   

Java

1. Ga als volgt te werk om DefaultAzureCredential te gebruiken:

   • Voeg in een JMS-toepassing ten minste versie 1.0.0 van het azure-servicebus-jms pakket toe aan uw toepassing:

     <dependency>
         <groupId>com.microsoft.azure</groupId>
         <artifactId>azure-servicebus-jms</artifactId>
         <version>1.0.0</version>
     </dependency>
     

   • Installeer het azure-identity pakket in een Java-toepassing op een van de volgende manieren:

     • Neem het BOM-bestand op.
     • Neem een directe afhankelijkheid op.

2. Voeg boven aan het bestand de volgende code toe:

   import com.azure.identity.DefaultAzureCredentialBuilder;
   

3. Werk de code bij die verbinding maakt met Azure Service Bus:

   • Identificeer in een JMS-toepassing de code waarmee een ServiceBusJmsConnectionFactory object wordt gemaakt om verbinding te maken met Azure Service Bus. Werk uw code bij zodat deze overeenkomt met het volgende voorbeeld:

      DefaultAzureCredential credential = new DefaultAzureCredentialBuilder()
          .build();
      String serviceBusNamespace = 
          namespace + ".servicebus.windows.net";
     
      ConnectionFactory factory = new ServiceBusJmsConnectionFactory(
          credential,
          serviceBusNamespace,
          new ServiceBusJmsConnectionFactorySettings());
     

   • Identificeer in een Java-toepassing de code waarmee een Service Bus-afzender of ontvangerclientobject wordt gemaakt om verbinding te maken met Azure Service Bus. Werk uw code bij zodat deze overeenkomt met een van de volgende voorbeelden:

     Ontvangerclient:

     DefaultAzureCredential credential = new DefaultAzureCredentialBuilder()
         .build();
     String serviceBusNamespace = 
         namespace + ".servicebus.windows.net";
     
     ServiceBusReceiverClient receiver = new ServiceBusClientBuilder()
         .credential(serviceBusNamespace, credential)
         .receiver()
         .topicName("<TOPIC-NAME>")
         .subscriptionName("<SUBSCRIPTION-NAME>")
         .buildClient();
     

     Afzenderclient:

     DefaultAzureCredential credential = new DefaultAzureCredentialBuilder()
         .build();
     String serviceBusNamespace = 
         namespace + ".servicebus.windows.net";
     
     ServiceBusSenderClient client = new ServiceBusClientBuilder()
         .credential(serviceBusNamespace, credential)
         .sender()
         .queueName("<QUEUE-NAME>")
         .buildClient();
     

Node.js

1. Als u wilt gebruiken DefaultAzureCredential in een Node.js-toepassing, installeert u het @azure/identity pakket:

   npm install --save @azure/identity
   

2. Voeg boven aan het bestand de volgende code toe:

   const { DefaultAzureCredential } = require("@azure/identity");
   

3. Identificeer de code waarmee een ServiceBusClient object wordt gemaakt om verbinding te maken met Azure Service Bus. Werk uw code bij zodat deze overeenkomt met het volgende voorbeeld:

   const credential = new DefaultAzureCredential();
   const serviceBusNamespace = `${namespace}.servicebus.windows.net`;    
   
   const client = new ServiceBusClient(
     serviceBusNamespace,
     credential
   );
   

Python

1. Als u wilt gebruiken DefaultAzureCredential in een Python-toepassing, installeert u het azure-identity pakket:

   pip install azure-identity
   

2. Voeg boven aan het bestand de volgende code toe:

   from azure.identity import DefaultAzureCredential
   

3. Identificeer de code waarmee een ServiceBusClient object wordt gemaakt om verbinding te maken met Azure Service Bus. Werk uw code bij zodat deze overeenkomt met het volgende voorbeeld:

   credential = DefaultAzureCredential()
   service_bus_namespace = "%s.servicebus.windows.net" % namespace
   
   client = ServiceBusClient(
       fully_qualified_namespace = service_bus_namespace,
       credential = credential
   )
   

De app lokaal uitvoeren

Nadat u deze codewijzigingen hebt aangebracht, voert u uw toepassing lokaal uit. De nieuwe configuratie moet uw lokale referenties ophalen, zoals de Azure CLI, Visual Studio of IntelliJ. Met de rollen die u hebt toegewezen aan uw lokale dev-gebruiker in Azure, kan uw app lokaal verbinding maken met de Azure-service.

De Azure-hostingomgeving configureren

Zodra uw toepassing is geconfigureerd voor het gebruik van verbindingen zonder wachtwoord en lokaal wordt uitgevoerd, kan dezelfde code worden geverifieerd bij Azure-services nadat deze is geïmplementeerd in Azure. Een toepassing die is geïmplementeerd in een Azure-app Service-exemplaar waarvoor een beheerde identiteit is ingeschakeld, kan bijvoorbeeld verbinding maken met Azure Service Bus.

De beheerde identiteit maken met behulp van Azure Portal

De volgende stappen laten zien hoe u een door het systeem toegewezen beheerde identiteit maakt voor verschillende webhostingservices. De beheerde identiteit kan veilig verbinding maken met andere Azure-services met behulp van de app-configuraties die u eerder hebt ingesteld.

Serviceconnector

Sommige app-hostingomgevingen ondersteunen Service Connector, waarmee u Azure-rekenservices kunt verbinden met andere back-upservices. Service Connector configureert automatisch netwerkinstellingen en verbindingsgegevens. Meer informatie over Service Connector en welke scenario's worden ondersteund op de overzichtspagina.

De volgende rekenservices worden momenteel ondersteund:

• Azure App Service
• Azure Spring Cloud
• Azure Container Apps (preview)

Voor deze migratiehandleiding gebruikt u App Service, maar de stappen zijn vergelijkbaar in Azure Spring Apps en Azure Container Apps.

Notitie

Azure Spring Apps ondersteunt momenteel alleen Service Connector met behulp van verbindingsreeks s.

1. Selecteer serviceconnector in de linkernavigatiebalk op de hoofdpagina van uw App Service.

2. Selecteer + Maken in het bovenste menu en het deelvenster Verbinding maken wordt geopend. Voer de volgende waarden in:

   • Servicetype: Kies Service Bus.
   • Abonnement: Selecteer het abonnement dat u wilt gebruiken.
   • Verbindingsnaam: voer een naam in voor uw verbinding, zoals connector_appservice_servicebus.
   • Clienttype: laat de standaardwaarde geselecteerd of kies de specifieke client die u wilt gebruiken.

   Selecteer Volgende: Verificatie.

3. Zorg ervoor dat door het systeem toegewezen beheerde identiteit (aanbevolen) is geselecteerd en kies vervolgens Volgende: Netwerken.

4. Laat de standaardwaarden geselecteerd en kies vervolgens Volgende: Beoordelen en maken.

5. Nadat uw instellingen door Azure zijn gevalideerd, selecteert u Maken.

De serviceconnector maakt automatisch een door het systeem toegewezen beheerde identiteit voor de app-service. De connector wijst ook de beheerde identiteit toe aan de rol Azure Service Bus-gegevenseigenaar voor de servicebus die u hebt geselecteerd.

Azure App Service

1. Selecteer Identiteit in de linkernavigatiebalk op de hoofdpagina van uw Azure-app Service-exemplaar.

2. Zorg ervoor dat u op het tabblad Systeem toegewezen het veld Status instelt op Aan. Een door het systeem toegewezen identiteit wordt intern beheerd door Azure en verwerkt beheertaken voor u. De details en id's van de identiteit worden nooit weergegeven in uw code.

   

Azure Spring Apps

1. Selecteer identiteit in de linkernavigatiebalk op de hoofdpagina van uw Azure Spring Apps-exemplaar.

2. Zorg ervoor dat u op het tabblad Systeem toegewezen het veld Status instelt op Aan. Een door het systeem toegewezen identiteit wordt intern beheerd door Azure en verwerkt beheertaken voor u. De details en id's van de identiteit worden nooit weergegeven in uw code.

   

Azure Container Apps

1. Selecteer identiteit in de linkernavigatiebalk op de hoofdpagina van uw Azure Container Apps-exemplaar.

2. Zorg ervoor dat u op het tabblad Systeem toegewezen het veld Status instelt op Aan. Een door het systeem toegewezen identiteit wordt intern beheerd door Azure en verwerkt beheertaken voor u. De details en id's van de identiteit worden nooit weergegeven in uw code.

   

Azure Virtual Machines

1. Selecteer identiteit in de linkernavigatiebalk op de hoofdpagina van uw virtuele machine.

2. Zorg ervoor dat u op het tabblad Systeem toegewezen het veld Status instelt op Aan. Een door het systeem toegewezen identiteit wordt intern beheerd door Azure en verwerkt beheertaken voor u. De details en id's van de identiteit worden nooit weergegeven in uw code.

   

U kunt ook beheerde identiteiten inschakelen in een Azure-hostingomgeving met behulp van de Azure CLI.

Serviceconnector

U kunt Service Connector gebruiken om een verbinding te maken tussen een Azure Compute-hostingomgeving en een doelservice met behulp van de Azure CLI. De CLI verwerkt het maken van een beheerde identiteit automatisch en wijst de juiste rol toe, zoals wordt uitgelegd in de portalinstructies.

Als u een Azure-app Service gebruikt, gebruikt u de az webapp connection volgende opdracht:

az webapp connection create servicebus \
    --resource-group <resource-group-name> \
    --name <webapp-name> \
    --target-resource-group <target-resource-group-name> \
    --namespace <target-service-bus-namespace> \
    --system-identity

Als u Azure Spring Apps gebruikt, gebruikt u de az spring connection opdracht:

az spring connection create servicebus \
    --resource-group <resource-group-name> \
    --service <service-instance-name> \
    --app <app-name> \
    --deployment <deployment-name> \
    --target-resource-group <target-resource-group> \
    --namespace <target-service-bus-namespace> \
    --system-identity

Als u Azure Container Apps gebruikt, gebruikt u de az containerapp connection opdracht:

az containerapp connection create servicebus \
    --resource-group <resource-group-name> \
    --name <webapp-name> \
    --target-resource-group <target-resource-group-name> \
    --namespace <target-service-bus-namespace> \
    --system-identity

Azure App Service

U kunt een beheerde identiteit toewijzen aan een Azure-app Service-exemplaar met de opdracht az webapp identity assign.

az webapp identity assign \
    --resource-group <resource-group-name> \
    --name <webapp-name>

Azure Spring Apps

U kunt een beheerde identiteit toewijzen aan een Azure Spring Apps-exemplaar met de opdracht az spring app identity assign .

az spring app identity assign \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --service <service-name>

Azure Container Apps

U kunt een beheerde identiteit toewijzen aan een Azure Container Apps-exemplaar met de opdracht az container app identity assign .

az containerapp identity assign \
    --resource-group <resource-group-name> \
    --name <app-name>

Azure Virtual Machines

U kunt een beheerde identiteit toewijzen aan een virtuele machine met de opdracht az vm identity assign .

az vm identity assign \
    --resource-group <resource-group-name> \
    --name <virtual-machine-name>

Azure Kubernetes Service

U kunt een beheerde identiteit toewijzen aan een AKS-exemplaar (Azure Kubernetes Service) met de opdracht az aks update .

az aks update \
    --resource-group <resource-group-name> \
    --name <virtual-machine-name> \
    --enable-managed-identity

Rollen toewijzen aan de beheerde identiteit

Vervolgens moet u machtigingen verlenen aan de beheerde identiteit die u hebt gemaakt voor toegang tot uw Service Bus. U kunt dit doen door een rol toe te wijzen aan de beheerde identiteit, net als bij uw lokale ontwikkelgebruiker.

Serviceconnector

Als u uw services hebt verbonden met behulp van de serviceconnector, hoeft u deze stap niet te voltooien. De benodigde configuraties zijn voor u verwerkt:

• Als u een beheerde identiteit hebt geselecteerd tijdens het maken van de verbinding, is er een door het systeem toegewezen beheerde identiteit gemaakt voor uw app en is de rol Azure Service Bus-gegevenseigenaar toegewezen aan De Service Bus.

• Als u verbindingsreeks hebt geselecteerd, is de verbindingsreeks toegevoegd als een omgevingsvariabele voor apps.

Azure-portal

1. Navigeer naar uw Service Bus-overzichtspagina en selecteer Toegangsbeheer (IAM) in het linkernavigatievenster.

2. Kies Roltoewijzing toevoegen.

   

3. Zoek in het zoekvak voor rollen naar Azure Service Bus-gegevenseigenaar. Dit is een algemene rol die wordt gebruikt voor het beheren van gegevensbewerkingen voor blobs. U kunt elke rol toewijzen die geschikt is voor uw use-case. Selecteer de Azure Service Bus-gegevenseigenaar in de lijst en kies Volgende.

4. Selecteer beheerde identiteit in het scherm Roltoewijzing toevoegen voor de optie Toegang toewijzen aan. Kies vervolgens +Leden selecteren.

5. Zoek in de flyout naar de beheerde identiteit die u hebt gemaakt door de naam van uw app-service in te voeren. Selecteer de door het systeem toegewezen identiteit en kies vervolgens Selecteren om het flyoutmenu te sluiten.

   

6. Selecteer Volgende een paar keer totdat u Controleren en toewijzen kunt selecteren om de roltoewijzing te voltooien.

Azure-CLI

Als u een rol wilt toewijzen op resourceniveau met behulp van de Azure CLI, moet u eerst de resource-id ophalen met behulp van de az servicebus show opdracht. U kunt de uitvoereigenschappen filteren met behulp van de --query parameter.

az servicebus show \
    --resource-group '<your-resource-group-name>' \
    --name '<your-service-bus-namespace>' \
    --query id

Kopieer de uitvoer-id van de voorgaande opdracht. U kunt vervolgens rollen toewijzen met behulp van de az role opdracht van de Azure CLI.

az role assignment create \
    --assignee "<your-username>" \
    --role "Azure Service Bus Data Owner" \
    --scope "<your-resource-id>"

De app testen

Nadat u deze codewijzigingen hebt aangebracht, bladert u naar uw gehoste toepassing in de browser. Uw app moet verbinding kunnen maken met De Service Bus. Houd er rekening mee dat het enkele minuten kan duren voordat de roltoewijzingen zijn doorgegeven via uw Azure-omgeving. Uw toepassing is nu geconfigureerd om zowel lokaal als in een productieomgeving uit te voeren zonder dat de ontwikkelaars geheimen in de toepassing zelf hoeven te beheren.

Volgende stappen

In deze zelfstudie hebt u geleerd hoe u een toepassing migreert naar verbindingen zonder wachtwoord.