Migrar um aplicativo .js nó para usar conexões sem senha com o Banco de Dados SQL do Azure

Aplica-se a:Banco de Dados SQL do Azure

As solicitações de aplicativo para o Banco de Dados SQL do Azure devem ser autenticadas. Embora haja várias opções para autenticação no Banco de Dados SQL do Azure, você deve priorizar conexões sem senha em seus aplicativos quando possível. Os métodos de autenticação tradicionais que usam senhas ou chaves secretas criam riscos e complicações de segurança. Visite as conexões sem senha para o hub de serviços do Azure para saber mais sobre as vantagens de mudar para conexões sem senha.

O tutorial a seguir explica como migrar um aplicativo Node.js existente para se conectar ao Banco de Dados SQL do Azure para usar conexões sem senha em vez de uma solução de nome de usuário e senha.

Configurar o Banco de Dados SQL do Azure

As conexões sem senha usam a autenticação do Microsoft Entra para se conectar aos serviços do Azure, incluindo o Banco de Dados SQL do Azure. Autenticação do Microsoft Entra, você pode gerenciar identidades em um local central para simplificar o gerenciamento de permissões. Saiba mais sobre como configurar a autenticação do Microsoft Entra para seu Banco de Dados SQL do Azure:

• Visão geral da autenticação do Microsoft Entra
• Configurar a autenticação do Microsoft Entra

Para este guia de migração, verifique se você tem um administrador do Microsoft Entra atribuído ao seu Banco de Dados SQL do Azure.

1. Navegue até a página Microsoft Entra do seu servidor lógico.

2. Selecione Definir administrador para abrir o menu suspenso ID do Microsoft Entra .

3. No menu suspenso Microsoft Entra ID , procure o usuário que você deseja atribuir como administrador.

4. Selecione o usuário e escolha Selecionar.

   

Configure seu ambiente de desenvolvimento local

As conexões sem senha podem ser configuradas para funcionar em ambientes locais e hospedados no Azure. Nesta seção, você aplica configurações para permitir que usuários individuais se autentiquem no Banco de Dados SQL do Azure para desenvolvimento local.

Entrar no Azure

Para desenvolvimento local, verifique se você está conectado com a mesma conta do Azure AD que deseja usar para acessar o Banco de Dados SQL do Azure. Você pode autenticar por meio de ferramentas de desenvolvimento populares, como a CLI do Azure ou o Azure PowerShell. As ferramentas de desenvolvimento com as quais você pode autenticar variam entre os idiomas.

CLI do Azure

Entre no Azure por meio da CLI do Azure usando o seguinte comando:

az login

Visual Studio

Selecione o botão Entrar no canto superior direito do Visual Studio.

Entre usando a conta do Azure AD à qual você atribuiu uma função anteriormente.

Visual Studio Code

Você precisará instalar a CLI do Azure para trabalhar com DefaultAzureCredential o Visual Studio Code.

No menu principal do Visual Studio Code, navegue até Terminal New Terminal>.

Entre no Azure por meio da CLI do Azure usando o seguinte comando:

az login

PowerShell

Entre no Azure usando o PowerShell por meio do seguinte comando:

Connect-AzAccount

Criar um usuário de banco de dados e atribuir funções

Crie um usuário no Banco de Dados SQL do Azure. O usuário deve corresponder à conta do Azure que você usou para entrar localmente na seção Entrar no Azure .

1. No portal do Azure, navegue até o banco de dados SQL e selecione Editor de consultas (visualização).

2. Selecione Continuar como <your-username> no lado direito da tela para entrar no banco de dados usando sua conta.

3. No modo de exibição do editor de consultas, execute os seguintes comandos T-SQL:

   CREATE USER [user@domain] FROM EXTERNAL PROVIDER;
   ALTER ROLE db_datareader ADD MEMBER [user@domain];
   ALTER ROLE db_datawriter ADD MEMBER [user@domain];
   ALTER ROLE db_ddladmin ADD MEMBER [user@domain];
   GO
   

   

   A execução desses comandos atribui a função de Colaborador do Banco de Dados SQL à conta especificada. Essa função permite que a identidade leia, escreva e modifique os dados e o esquema do seu banco de dados. Para obter mais informações sobre as funções atribuídas, consulte Funções de banco de dados fixas.

Atualizar a configuração da conexão local

1. Crie configurações de ambiente para seu aplicativo.

   AZURE_SQL_SERVER=<YOURSERVERNAME>.database.windows.net
   AZURE_SQL_DATABASE=<YOURDATABASENAME>
   AZURE_SQL_PORT=1433
   

2. Código de aplicativo existente que se conecta ao Banco de Dados SQL do Azure usando o Node.js SQL Driver - tedioso continua a trabalhar com conexões sem senha com pequenas alterações. Para usar uma identidade gerenciada atribuída pelo usuário, passe as authentication.type propriedades e options.clientId .

   import sql from 'mssql';
   
   // Environment settings - no user or password
   const server = process.env.AZURE_SQL_SERVER;
   const database = process.env.AZURE_SQL_DATABASE;
   const port = parseInt(process.env.AZURE_SQL_PORT);
   
   // Passwordless configuration
   const config = {
       server,
       port,
       database,
       authentication: {
           type: 'azure-active-directory-default',
       },
       options: {
           encrypt: true,
           clientId: process.env.AZURE_CLIENT_ID  // <----- user-assigned managed identity        
       }
   };
   
   // Existing applicaton code
   export default class Database {
       config = {};
       poolconnection = null;
       connected = false;
   
       constructor(config) {
           this.config = config;
           console.log(`Database: config: ${JSON.stringify(config)}`);
       }
   
       async connect() {
           try {
               console.log(`Database connecting...${this.connected}`);
               if (this.connected === false) {
                   this.poolconnection = await sql.connect(this.config);
                   this.connected = true;
                   console.log('Database connection successful');
               } else {
                   console.log('Database already connected');
               }
           } catch (error) {
               console.error(`Error connecting to database: ${JSON.stringify(error)}`);
           }
       }
   
       async disconnect() {
           try {
               this.poolconnection.close();
               console.log('Database connection closed');
           } catch (error) {
               console.error(`Error closing database connection: ${error}`);
           }
       }
   
       async executeQuery(query) {
           await this.connect();
           const request = this.poolconnection.request();
           const result = await request.query(query);
   
           return result.rowsAffected[0];
       }
   }
   
   const databaseClient = new Database(config);
   const result = await databaseClient.executeQuery(`select * from mytable where id = 10`);
   

   A AZURE_CLIENT_ID variável de ambiente é criada posteriormente neste tutorial.

Testar a aplicação

Execute seu aplicativo localmente e verifique se as conexões com o Banco de Dados SQL do Azure estão funcionando conforme o esperado. Lembre-se de que pode levar vários minutos para que as alterações nos usuários e funções do Azure se propaguem pelo seu ambiente do Azure. Seu aplicativo agora está configurado para ser executado localmente sem que os desenvolvedores tenham que gerenciar segredos no próprio aplicativo.

Configurar o ambiente de hospedagem do Azure

Depois que seu aplicativo estiver configurado para usar conexões sem senha localmente, o mesmo código poderá ser autenticado no Banco de Dados SQL do Azure depois de implantado no Azure. As seções a seguir explicam como configurar um aplicativo implantado para se conectar ao Banco de Dados SQL do Azure usando uma identidade gerenciada. As identidades gerenciadas fornecem uma identidade gerenciada automaticamente no Microsoft Entra ID (anteriormente Azure Ative Directory) para os aplicativos usarem ao se conectar a recursos que oferecem suporte à autenticação do Microsoft Entra. Saiba mais sobre identidades gerenciadas:

• Visão geral sem senha
• Práticas recomendadas de identidade gerenciada
• Identidades gerenciadas no Microsoft Entra para Azure SQL

Criar a identidade gerenciada

Crie uma identidade gerenciada atribuída pelo usuário usando o portal do Azure ou a CLI do Azure. Seu aplicativo usa a identidade para autenticar em outros serviços.

Portal do Azure

1. Na parte superior do portal do Azure, procure identidades gerenciadas. Selecione o resultado Identidades gerenciadas.
2. Selecione + Criar na parte superior da página de visão geral de Identidades Gerenciadas .
3. Na guia Noções básicas, insira os seguintes valores:
   • Assinatura: Selecione a assinatura desejada.
   • Grupo de recursos: selecione o grupo de recursos desejado.
   • Região: selecione uma região perto da sua localização.
   • Nome: insira um nome reconhecível para sua identidade, como MigrationIdentity.
4. Selecione Rever + criar na parte inferior da página.
5. Quando as verificações de validação terminarem, selecione Criar. O Azure cria uma nova identidade atribuída pelo usuário.

Depois que o recurso for criado, selecione Ir para o recurso para exibir os detalhes da identidade gerenciada.

CLI do Azure

Use o comando az identity create para criar uma identidade gerenciada atribuída pelo usuário:

az identity create --name MigrationIdentity --resource-group <resource-group>

Associar a identidade gerenciada ao seu aplicativo Web

Configure seu aplicativo Web para usar a identidade gerenciada atribuída pelo usuário que você criou.

Portal do Azure

Conclua as etapas a seguir no portal do Azure para associar a identidade gerenciada atribuída pelo usuário ao seu aplicativo. Estas mesmas etapas se aplicam aos seguintes serviços do Azure:

• Azure Spring Apps
• Azure Container Apps
• Máquinas virtuais do Azure
• Azure Kubernetes Service
• Navegue até a página de visão geral do seu aplicativo Web.

1. Selecione Identidade na navegação à esquerda.

2. Na página Identidade, alterne para a guia Usuário atribuído.

3. Selecione + Adicionar para abrir o submenu Adicionar identidade gerenciada atribuída ao usuário.

4. Selecione a assinatura usada anteriormente para criar a identidade.

5. Procure a MigrationIdentity pelo nome e selecione-a nos resultados da pesquisa.

6. Selecione Adicionar para associar a identidade ao seu aplicativo.

   

CLI do Azure

Use os seguintes comandos da CLI do Azure para associar uma identidade ao seu aplicativo:

Recupere o ID de recurso totalmente qualificado da identidade gerenciada que você criou usando o comando az identity show . Copie o valor de saída para usar na próxima etapa.

az identity show --name MigrationIdentity -g <your-identity-resource-group-name> --query id

Serviço de Aplicações do Azure

Você pode atribuir uma identidade gerenciada a uma instância do Serviço de Aplicativo do Azure com o comando az webapp identity assign . O --identities parâmetro requer o ID de recurso totalmente qualificado da identidade gerenciada recuperada na etapa anterior. Um ID de recurso totalmente qualificado começa com '/subscriptions/{subscriptionId}' ou '/providers/{resourceProviderNamespace}/'.

az webapp identity assign \
    --resource-group <resource-group-name> \
    --name <webapp-name> \
    --identities <managed-identity-id>

Se você estiver trabalhando com o Git Bash, tenha cuidado com as conversões de caminho ao usar IDs de recursos totalmente qualificados. Para desativar a conversão de caminho, adicione MSYS_NO_PATHCONV=1 ao início do comando. Para obter mais informações, consulte Tradução automática de IDs de recursos.

Azure Spring Apps

Você pode atribuir uma identidade gerenciada a uma instância do Azure Spring Apps com o comando az spring app identity assign .

az spring app identity assign \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --service <service-name> \
    --user-assigned <managed-identity-id>

Aplicativos de contêiner do Azure

Você pode atribuir uma identidade gerenciada a uma máquina virtual com o comando az containerapp identity assign .

az containerapp identity assign \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --user-assigned <managed-identity-id>

Máquinas virtuais do Azure

Você pode atribuir uma identidade gerenciada a uma máquina virtual com o comando az vm identity assign .

az vm identity assign \
    --resource-group <resource-group-name> \
    --name <virtual-machine-name> \
    --identities <managed-identity-id>

Azure Kubernetes Service

Você pode atribuir uma identidade gerenciada a uma instância do Serviço Kubernetes do Azure (AKS) com o comando az aks update .

az aks update \
    --resource-group <resource-group-name> \
    --name <cluster-name> \
    --enable-managed-identity \
    --assign-identity <managed-identity-id> \
    --assign-kubelet-identity <managed-identity-id>

Criar um usuário de banco de dados para a identidade e atribuir funções

Crie um usuário do banco de dados SQL que mapeie de volta para a identidade gerenciada atribuída pelo usuário. Atribua as funções SQL necessárias ao usuário para permitir que seu aplicativo leia, grave e modifique os dados e o esquema do banco de dados.

1. No portal do Azure, navegue até o banco de dados SQL e selecione Editor de consultas (visualização).

2. Selecione Continuar como <username> no lado direito da tela para entrar no banco de dados usando sua conta.

3. No modo de exibição do editor de consultas, execute os seguintes comandos T-SQL:

   CREATE USER [user-assigned-identity-name] FROM EXTERNAL PROVIDER;
   ALTER ROLE db_datareader ADD MEMBER [user-assigned-identity-name];
   ALTER ROLE db_datawriter ADD MEMBER [user-assigned-identity-name];
   ALTER ROLE db_ddladmin ADD MEMBER [user-assigned-identity-name];
   GO
   

   

   A execução desses comandos atribui a função de Colaborador do Banco de Dados SQL à identidade gerenciada atribuída pelo usuário. Essa função permite que a identidade leia, escreva e modifique os dados e o esquema do seu banco de dados.

---

Importante

Tenha cuidado ao atribuir funções de usuário de banco de dados em ambientes de produção corporativos. Nesses cenários, o aplicativo não deve executar todas as operações usando uma única identidade elevada. Tente implementar o princípio do menor privilégio configurando várias identidades com permissões específicas para tarefas específicas.

Você pode ler mais sobre como configurar funções de banco de dados e segurança nos seguintes recursos:

• Tutorial: Proteger um banco de dados no Banco de Dados SQL do Azure
• Autorizar o acesso à Base de Dados SQL

Criar uma configuração de aplicativo para a ID do cliente de identidade gerenciada

Para usar a identidade gerenciada atribuída pelo usuário, crie uma variável de AZURE_CLIENT_ID ambiente e defina-a igual ao ID do cliente da identidade gerenciada. Você pode definir essa variável na seção Configuração do seu aplicativo no portal do Azure. Você pode encontrar a ID do cliente na seção Visão geral do recurso de identidade gerenciada no portal do Azure.

Salve suas alterações e reinicie o aplicativo se ele não fizer isso automaticamente.

Se você precisar usar uma identidade gerenciada atribuída ao sistema, omita a options.clientId propriedade. Você ainda precisa passar o authentication.type imóvel.

const config = {
  server,
  port,
  database,
  authentication: {
    type: 'azure-active-directory-default'
  },
  options: {
    encrypt: true
  }
};

Testar a aplicação

Teste seu aplicativo para verificar se tudo ainda está funcionando. Pode levar alguns minutos para que todas as alterações se propaguem pelo seu ambiente do Azure.

Próximos passos

Neste tutorial, você aprendeu como migrar um aplicativo para conexões sem senha.

Você pode ler os seguintes recursos para explorar os conceitos discutidos neste artigo com mais profundidade:

• Visão geral sem senha
• Práticas recomendadas de identidade gerenciada
• Tutorial: Proteger um banco de dados no Banco de Dados SQL do Azure
• Autorizar o acesso à Base de Dados SQL