Migrar um aplicativo para usar conexões sem senha com o Banco de Dados do Azure para MySQL
Este artigo explica como migrar de métodos de autenticação tradicionais para conexões mais seguras e sem senha com o Banco de Dados do Azure para MySQL.
As solicitações de aplicativo para o Banco de Dados do Azure para MySQL devem ser autenticadas. O Banco de Dados do Azure para MySQL fornece várias maneiras diferentes para os aplicativos se conectarem com segurança. Uma das maneiras é usar senhas. No entanto, você deve priorizar conexões sem senha em seus aplicativos quando possível.
Comparar opções de autenticação
Quando o aplicativo se autentica com o Banco de Dados do Azure para MySQL, ele fornece um par de nome de usuário e senha para se conectar ao banco de dados. Dependendo de onde as identidades são armazenadas, existem dois tipos de autenticação: autenticação Microsoft Entra e autenticação MySQL.
Autenticação do Microsoft Entra
A autenticação do Microsoft Entra é um mecanismo para se conectar ao Banco de Dados do Azure para MySQL usando identidades definidas na ID do Microsoft Entra. Com a autenticação do Microsoft Entra, você pode gerenciar identidades de usuário de banco de dados e outros serviços da Microsoft em um local central, o que simplifica o gerenciamento de permissões.
Usar o Microsoft Entra ID para autenticação oferece os seguintes benefícios:
- Autenticação de usuários nos Serviços do Azure de maneira uniforme.
- Gerenciamento de políticas de senhas e rotação de senhas em um único lugar.
- Várias formas de autenticação suportadas pelo Microsoft Entra ID, que podem eliminar a necessidade de armazenar senhas.
- Os clientes podem gerenciar permissões de banco de dados usando grupos externos (Microsoft Entra ID).
- A autenticação do Microsoft Entra usa usuários do banco de dados MySQL para autenticar identidades no nível do banco de dados.
- Suporte de autenticação baseada em token para aplicativos que se conectam ao Banco de Dados do Azure para MySQL.
Autenticação MySQL
Você pode criar contas no MySQL. Se você optar por usar senhas como credenciais para as contas, essas credenciais serão armazenadas na user
tabela. Como essas senhas são armazenadas no MySQL, você precisa gerenciar a rotação das senhas por conta própria.
Embora seja possível conectar-se ao Banco de Dados do Azure para MySQL com senhas, você deve usá-las com cuidado. Você deve ser diligente para nunca expor as senhas em um local inseguro. Qualquer pessoa que tenha acesso às senhas pode se autenticar. Por exemplo, há um risco de que um usuário mal-intencionado possa acessar o aplicativo se uma cadeia de conexão for acidentalmente verificada no controle do código-fonte, enviada por meio de um e-mail não seguro, colada no bate-papo errado ou visualizada por alguém que não deveria ter permissão. Em vez disso, considere atualizar seu aplicativo para usar conexões sem senha.
Introdução a ligações sem palavra-passe
Com uma conexão sem senha, você pode se conectar aos serviços do Azure sem armazenar credenciais no código do aplicativo, em seus arquivos de configuração ou em variáveis de ambiente.
Muitos serviços do Azure suportam ligações sem palavra-passe, por exemplo, através da Identidade Gerida do Azure. Essas técnicas fornecem recursos de segurança robustos que você pode implementar usando DefaultAzureCredential das bibliotecas de cliente do Azure Identity. Neste tutorial, você aprenderá como atualizar um aplicativo existente para usar DefaultAzureCredential
em vez de alternativas, como cadeias de conexão.
DefaultAzureCredential
suporta vários métodos de autenticação e determina automaticamente quais devem ser usados em tempo de execução. Essa abordagem permite que seu aplicativo use métodos de autenticação diferentes em ambientes diferentes (desenvolvimento local versus produção) sem implementar código específico do ambiente.
A ordem e os locais em que DefaultAzureCredential
as pesquisas de credenciais podem ser encontradas na visão geral da Biblioteca de Identidades do Azure. Por exemplo, ao trabalhar localmente, DefaultAzureCredential
geralmente autenticará usando a conta que o desenvolvedor usou para entrar no Visual Studio. Quando o aplicativo for implantado no Azure, DefaultAzureCredential
alternará automaticamente para usar uma identidade gerenciada. Não são necessárias alterações de código para esta transição.
Para garantir que as conexões não tenham senha, você deve levar em consideração o desenvolvimento local e o ambiente de produção. Se uma cadeia de conexão for necessária em qualquer lugar, o aplicativo não será sem senha.
Em seu ambiente de desenvolvimento local, você pode autenticar com a CLI do Azure, Azure PowerShell, Visual Studio ou plug-ins do Azure para Visual Studio Code ou IntelliJ. Nesse caso, você pode usar essa credencial em seu aplicativo em vez de configurar propriedades.
Ao implantar aplicativos em um ambiente de hospedagem do Azure, como uma máquina virtual, você pode atribuir identidade gerenciada nesse ambiente. Em seguida, você não precisará fornecer credenciais para se conectar aos serviços do Azure.
Nota
Uma identidade gerenciada fornece uma identidade de segurança para representar um aplicativo ou serviço. A identidade é gerida pela plataforma do Azure e não precisa de aprovisionar nem rodar segredos. Você pode ler mais sobre identidades gerenciadas na documentação de visão geral .
Migrar um aplicativo existente para usar conexões sem senha
As etapas a seguir explicam como migrar um aplicativo existente para usar conexões sem senha em vez de uma solução baseada em senha.
0) Preparar o ambiente de trabalho
Primeiro, use o seguinte comando para configurar algumas variáveis de ambiente.
export AZ_RESOURCE_GROUP=<YOUR_RESOURCE_GROUP>
export AZ_DATABASE_SERVER_NAME=<YOUR_DATABASE_SERVER_NAME>
export AZ_DATABASE_NAME=demo
export AZ_MYSQL_AD_NON_ADMIN_USERNAME=<YOUR_AZURE_AD_NON_ADMIN_USER_DISPLAY_NAME>
export AZ_MYSQL_AD_MI_USERNAME=<YOUR_AZURE_AD_MI_DISPLAY_NAME>
export AZ_USER_IDENTITY_NAME=<YOUR_USER_ASSIGNED_MANAGEMED_IDENTITY_NAME>
export CURRENT_USERNAME=$(az ad signed-in-user show --query userPrincipalName --output tsv)
export CURRENT_USER_OBJECTID=$(az ad signed-in-user show --query id --output tsv)
Substitua os marcadores de posição pelos seguintes valores, que são utilizados ao longo deste artigo:
<YOUR_RESOURCE_GROUP>
: O nome do grupo de recursos em que seus recursos estão.<YOUR_DATABASE_SERVER_NAME>
: O nome do seu servidor MySQL, que deve ser exclusivo no Azure.<YOUR_AZURE_AD_NON_ADMIN_USER_DISPLAY_NAME>
: O nome para exibição do seu usuário não administrador do Microsoft Entra. Verifique se o nome é um usuário válido em seu locatário do Microsoft Entra.<YOUR_AZURE_AD_MI_DISPLAY_NAME>
: O nome de exibição do usuário do Microsoft Entra para sua identidade gerenciada. Verifique se o nome é um usuário válido em seu locatário do Microsoft Entra.<YOUR_USER_ASSIGNED_MANAGEMED_IDENTITY_NAME>
: O nome do seu servidor de identidade gerenciado atribuído pelo usuário, que deve ser exclusivo no Azure.
1) Configurar o Banco de Dados do Azure para MySQL
1.1) Ativar a autenticação baseada em ID do Microsoft Entra
Para usar o acesso ao Microsoft Entra ID com o Banco de Dados do Azure para MySQL, você deve definir o usuário administrador do Microsoft Entra primeiro. Somente um usuário administrador do Microsoft Entra pode criar/habilitar usuários para autenticação baseada em ID do Microsoft Entra.
Se estiver a utilizar a CLI do Azure, execute o seguinte comando para se certificar de que tem permissão suficiente:
az login --scope https://graph.microsoft.com/.default
Execute o seguinte comando para criar identidade de usuário para atribuição:
az identity create \
--resource-group $AZ_RESOURCE_GROUP \
--name $AZ_USER_IDENTITY_NAME
Importante
Depois de criar a identidade atribuída pelo usuário, peça ao seu Administrador Global ou Administrador de Função Privilegiada para conceder as seguintes permissões para essa identidade: User.Read.All
, GroupMember.Read.All
e Application.Read.ALL
. Para obter mais informações, consulte a seção Permissões da autenticação do Ative Directory.
Execute o seguinte comando para atribuir a identidade ao servidor MySQL para criar o administrador do Microsoft Entra:
az mysql flexible-server identity assign \
--resource-group $AZ_RESOURCE_GROUP \
--server-name $AZ_DATABASE_SERVER_NAME \
--identity $AZ_USER_IDENTITY_NAME
Em seguida, execute o seguinte comando para definir o administrador do Microsoft Entra:
az mysql flexible-server ad-admin create \
--resource-group $AZ_RESOURCE_GROUP \
--server-name $AZ_DATABASE_SERVER_NAME \
--display-name $CURRENT_USERNAME \
--object-id $CURRENT_USER_OBJECTID \
--identity $AZ_USER_IDENTITY_NAME
Este comando definirá o administrador do Microsoft Entra como o usuário conectado atual.
Nota
Você só pode criar um administrador do Microsoft Entra por servidor MySQL. A seleção de outro substituirá o administrador existente do Microsoft Entra configurado para o servidor.
2) Configurar o Banco de Dados do Azure para MySQL para desenvolvimento local
2.1) Configurar uma regra de firewall para IP local
As instâncias do Banco de Dados do Azure para MySQL são protegidas por padrão. O serviço tem uma firewall que não permite ligações de entrada.
Você pode pular esta etapa se estiver usando o Bash porque o flexible-server create
comando já detetou seu endereço IP local e o definiu no servidor MySQL.
Se você estiver se conectando ao seu servidor MySQL a partir do Windows Subsystem for Linux (WSL) em um computador Windows, você precisará adicionar o ID de host WSL ao seu firewall. Obtenha o endereço IP da sua máquina host executando o seguinte comando no WSL:
cat /etc/resolv.conf
Copie o endereço IP após o termo nameserver
e, em seguida, use o seguinte comando para definir uma variável de ambiente para o endereço IP WSL:
export AZ_WSL_IP_ADDRESS=<the-copied-IP-address>
Em seguida, use o seguinte comando para abrir o firewall do servidor para seu aplicativo baseado em WSL:
az mysql server firewall-rule create \
--resource-group $AZ_RESOURCE_GROUP \
--name $AZ_DATABASE_SERVER_NAME-database-allow-local-ip-wsl \
--server $AZ_DATABASE_SERVER_NAME \
--start-ip-address $AZ_WSL_IP_ADDRESS \
--end-ip-address $AZ_WSL_IP_ADDRESS \
--output tsv
2.2) Crie um usuário não-administrador do MySQL e conceda permissão
Em seguida, crie um usuário não administrador do Microsoft Entra e conceda todas as permissões no $AZ_DATABASE_NAME
banco de dados a ele. Você pode alterar o nome $AZ_DATABASE_NAME
do banco de dados para atender às suas necessidades.
Crie um script SQL chamado create_ad_user.sql para criar um usuário não administrador. Adicione o seguinte conteúdo e salve-o localmente:
export AZ_MYSQL_AD_NON_ADMIN_USERID=$(az ad signed-in-user show --query id --output tsv)
cat << EOF > create_ad_user.sql
SET aad_auth_validate_oids_in_tenant = OFF;
CREATE AADUSER '$AZ_MYSQL_AD_NON_ADMIN_USERNAME' IDENTIFIED BY '$AZ_MYSQL_AD_NON_ADMIN_USERID';
GRANT ALL PRIVILEGES ON $AZ_DATABASE_NAME.* TO '$AZ_MYSQL_AD_NON_ADMIN_USERNAME'@'%';
FLUSH privileges;
EOF
Em seguida, use o seguinte comando para executar o script SQL para criar o usuário não administrador do Microsoft Entra:
mysql -h $AZ_DATABASE_SERVER_NAME.mysql.database.azure.com --user $CURRENT_USERNAME --enable-cleartext-plugin --password=$(az account get-access-token --resource-type oss-rdbms --output tsv --query accessToken) < create_ad_user.sql
Agora use o seguinte comando para remover o arquivo de script SQL temporário:
rm create_ad_user.sql
Nota
Você pode ler informações mais detalhadas sobre como criar usuários do MySQL em Criar usuários no Banco de Dados do Azure para MySQL.
3) Entre e migre o código do aplicativo para usar conexões sem senha
Para desenvolvimento local, certifique-se de que está autenticado com a mesma conta Microsoft Entra à qual atribuiu a função no seu MySQL. Você pode autenticar por meio da CLI do Azure, Visual Studio, Azure PowerShell ou outras ferramentas, como IntelliJ.
Entre no Azure por meio da CLI do Azure usando o seguinte comando:
az login
Em seguida, use as etapas a seguir para atualizar seu código para usar conexões sem senha. Embora conceitualmente semelhante, cada linguagem usa detalhes de implementação diferentes.
Dentro do seu projeto, adicione a seguinte referência ao
azure-identity-extensions
pacote. Esta biblioteca contém todas as entidades necessárias para implementar conexões sem senha.<dependency> <groupId>com.azure</groupId> <artifactId>azure-identity-extensions</artifactId> <version>1.0.0</version> </dependency>
Habilite o plug-in de autenticação do Azure MySQL na URL JDBC. Identifique os locais em seu código que atualmente criam um
java.sql.Connection
para se conectar ao Banco de Dados do Azure para MySQL. Atualizeurl
euser
no arquivo application.properties para corresponder aos seguintes valores:url=jdbc:mysql://$AZ_DATABASE_SERVER_NAME.mysql.database.azure.com:3306/$AZ_DATABASE_NAME?serverTimezone=UTC&sslMode=REQUIRED&defaultAuthenticationPlugin=com.azure.identity.extensions.jdbc.mysql.AzureMysqlAuthenticationPlugin&authenticationPlugins=com.azure.identity.extensions.jdbc.mysql.AzureMysqlAuthenticationPlugin user=$AZ_MYSQL_AD_NON_ADMIN_USERNAME
Nota
Se você estiver usando a
MysqlConnectionPoolDataSource
classe como a fonte de dados em seu aplicativo, certifique-se de removerdefaultAuthenticationPlugin=com.azure.identity.extensions.jdbc.mysql.AzureMysqlAuthenticationPlugin
da URL.url=jdbc:mysql://$AZ_DATABASE_SERVER_NAME.mysql.database.azure.com:3306/$AZ_DATABASE_NAME?serverTimezone=UTC&sslMode=REQUIRED&authenticationPlugins=com.azure.identity.extensions.jdbc.mysql.AzureMysqlAuthenticationPlugin user=$AZ_MYSQL_AD_NON_ADMIN_USERNAME
Substitua uma
$AZ_DATABASE_SERVER_NAME
variável, uma$AZ_DATABASE_NAME
variável e uma$AZ_MYSQL_AD_NON_ADMIN_USERNAME
variável pelos valores que você configurou no início deste artigo.Remova o
password
da URL JDBC.
Executar a aplicação localmente
Depois de fazer essas alterações de código, execute seu aplicativo localmente. A nova configuração deve pegar suas credenciais locais se você estiver conectado a um IDE compatível ou ferramenta de linha de comando, como a CLI do Azure, Visual Studio ou IntelliJ. As funções que você atribuiu ao seu usuário de desenvolvimento local no Azure permitirão que seu aplicativo se conecte ao serviço do Azure localmente.
4) Configurar o ambiente de hospedagem do Azure
Depois que seu aplicativo é configurado para usar conexões sem senha e é executado localmente, o mesmo código pode se autenticar nos serviços do Azure depois de implantado no Azure. Por exemplo, um aplicativo implantado em uma instância do Serviço de Aplicativo do Azure que tenha uma identidade gerenciada atribuída pode se conectar ao Armazenamento do Azure.
Nesta seção, você executará duas etapas para permitir que seu aplicativo seja executado em um ambiente de hospedagem do Azure sem senha:
- Atribua a identidade gerenciada para seu ambiente de hospedagem do Azure.
- Atribua funções à identidade gerenciada.
Nota
O Azure também fornece o Service Connector, que pode ajudá-lo a conectar seu serviço de hospedagem ao PostgreSQL. Com o Service Connector para configurar seu ambiente de hospedagem, você pode omitir a etapa de atribuir funções à sua identidade gerenciada porque o Service Connector fará isso por você. A seção a seguir descreve como configurar seu ambiente de hospedagem do Azure de duas maneiras: uma por meio do Service Connector e outra configurando cada ambiente de hospedagem diretamente.
Importante
Os comandos do Service Connector exigem a CLI do Azure 2.41.0 ou superior.
Atribuir a identidade gerenciada usando o portal do Azure
As etapas a seguir mostram como atribuir uma identidade gerenciada atribuída ao sistema para vários serviços de hospedagem na Web. A identidade gerenciada pode se conectar com segurança a outros Serviços do Azure usando as configurações de aplicativo que você configurou anteriormente.
- Serviço de Aplicações
- Conector de serviço
- Aplicativos de contêiner
- Azure Spring Apps
- Máquinas Virtuais
- AKS
Na página de visão geral principal da sua instância do Serviço de Aplicativo do Azure, selecione Identidade no painel de navegação.
Na guia Sistema atribuído, certifique-se de definir o campo Status como ativado. Uma identidade atribuída ao sistema é gerenciada pelo Azure internamente e lida com tarefas administrativas para você. Os detalhes e IDs da identidade nunca são expostos no seu código.
Você também pode atribuir identidade gerenciada em um ambiente de hospedagem do Azure usando a CLI do Azure.
- Serviço de Aplicações
- Conector de serviço
- Aplicativos de contêiner
- Azure Spring Apps
- Máquinas Virtuais
- AKS
Você pode atribuir uma identidade gerenciada a uma instância do Serviço de Aplicativo do Azure com o comando az webapp identity assign , conforme mostrado no exemplo a seguir:
export AZ_MI_OBJECT_ID=$(az webapp identity assign \
--resource-group $AZ_RESOURCE_GROUP \
--name <service-instance-name> \
--query principalId \
--output tsv)
Atribuir funções à identidade gerenciada
Em seguida, conceda permissões para a identidade gerenciada que você atribuiu para acessar sua instância do MySQL.
Essas etapas criarão um usuário do Microsoft Entra para a identidade gerenciada e concederão todas as permissões para o banco de dados $AZ_DATABASE_NAME
a ele. Você pode alterar o nome $AZ_DATABASE_NAME
do banco de dados para atender às suas necessidades.
Primeiro, crie um script SQL chamado create_ad_user.sql para criar um usuário não administrador. Adicione o seguinte conteúdo e salve-o localmente:
export AZ_MYSQL_AD_MI_USERID=$(az ad sp show --id $AZ_MI_OBJECT_ID --query appId --output tsv)
cat << EOF > create_ad_user.sql
SET aad_auth_validate_oids_in_tenant = OFF;
CREATE AADUSER '$AZ_MYSQL_AD_MI_USERNAME' IDENTIFIED BY '$AZ_MYSQL_AD_MI_USERID';
GRANT ALL PRIVILEGES ON $AZ_DATABASE_NAME.* TO '$AZ_MYSQL_AD_MI_USERNAME'@'%';
FLUSH privileges;
EOF
Em seguida, use o seguinte comando para executar o script SQL para criar o usuário não administrador do Microsoft Entra:
mysql -h $AZ_DATABASE_SERVER_NAME.mysql.database.azure.com --user $CURRENT_USERNAME --enable-cleartext-plugin --password=$(az account get-access-token --resource-type oss-rdbms --output tsv --query accessToken) < create_ad_user.sql
Agora use o seguinte comando para remover o arquivo de script SQL temporário:
rm create_ad_user.sql
Testar a aplicação
Antes de implantar o aplicativo no ambiente de hospedagem, você precisa fazer mais uma alteração no código, porque o aplicativo vai se conectar ao MySQL usando o usuário criado para a identidade gerenciada.
Atualize seu código para usar o usuário criado para a identidade gerenciada:
properties.put("user", "$AZ_MYSQL_AD_MI_USERNAME");
Depois de fazer essas alterações de código, você pode criar e reimplantar o aplicativo. Em seguida, navegue até o aplicativo hospedado no navegador. Seu aplicativo deve ser capaz de se conectar ao banco de dados MySQL com êxito. Lembre-se de que pode levar vários minutos para que as atribuições de função se propaguem pelo seu ambiente do Azure. Seu aplicativo agora está configurado para ser executado localmente e em um ambiente de produção sem que os desenvolvedores tenham que gerenciar segredos no próprio aplicativo.
Próximos passos
Neste tutorial, você aprendeu como migrar um aplicativo para conexões sem senha.
Você pode ler os seguintes recursos para explorar os conceitos discutidos neste artigo com mais profundidade: