Partilhar via


Tutorial: Criar uma conexão sem senha para um serviço de banco de dados via Service Connector

As conexões sem senha usam identidades gerenciadas para acessar os serviços do Azure. Com essa abordagem, você não precisa rastrear e gerenciar manualmente segredos para identidades gerenciadas. Essas tarefas são tratadas internamente com segurança pelo Azure.

O Service Connector habilita identidades gerenciadas em serviços de hospedagem de aplicativos, como Azure Spring Apps, Azure App Service e Azure Container Apps. O Service Connector também configura serviços de banco de dados, como o Banco de Dados do Azure para PostgreSQL, o Banco de Dados do Azure para MySQL e o Banco de Dados SQL do Azure, para aceitar identidades gerenciadas.

Neste tutorial, você usa a CLI do Azure para concluir as seguintes tarefas:

  • Verifique seu ambiente inicial com a CLI do Azure.
  • Crie uma conexão sem senha com o Service Connector.
  • Use as variáveis de ambiente ou configurações geradas pelo Service Connector para acessar um serviço de banco de dados.

Pré-requisitos

Configurar o ambiente

Account

Entre com a CLI do Azure via az login. Se você estiver usando o Azure Cloud Shell ou já estiver conectado, confirme sua conta autenticada com az account show.

Instalar a extensão sem senha do Service Connector

Instale a extensão sem senha mais recente do Service Connector para a CLI do Azure:

az extension add --name serviceconnector-passwordless --upgrade

Nota

Verifique se a extensão "serviceconnector-passwordless" versão é "2.0.2" ou superior executando az version. Talvez seja necessário atualizar a CLI do Azure primeiro para atualizar a versão da extensão.

Criar uma ligação sem palavra-passe

Em seguida, usamos o Serviço de Aplicativo do Azure como exemplo para criar uma conexão usando a identidade gerenciada.

Se utilizar:

Nota

Se você usar o portal do Azure, vá para a folha Conector de Serviço do Serviço de Aplicativo do Azure, Azure Spring Apps ou Aplicativos de Contêiner do Azure e selecione Criar para criar uma conexão. O portal do Azure comporá automaticamente o comando para você e acionará a execução do comando no Cloud Shell.

O comando CLI do Azure a seguir usa um --client-type parâmetro, pode ser java, dotnet, python, etc. Execute o az webapp connection create postgres-flexible -h para obter os tipos de cliente suportados e escolha o que corresponde ao seu aplicativo.

az webapp connection create postgres-flexible \
    --resource-group $RESOURCE_GROUP \
    --name $APPSERVICE_NAME \
    --target-resource-group $RESOURCE_GROUP \
    --server $POSTGRESQL_HOST \
    --database $DATABASE_NAME \
    --user-identity client-id=XX subs-id=XX \
    --client-type $CLIENT_TYPE

O Banco de Dados do Azure para MySQL - Servidor Flexível requer uma identidade gerenciada atribuída pelo usuário para habilitar a autenticação do Microsoft Entra. Para obter mais informações, consulte Configurar a autenticação do Microsoft Entra para o Banco de Dados do Azure para MySQL - Servidor Flexível. Você pode usar o seguinte comando para criar uma identidade gerenciada atribuída pelo usuário:

USER_IDENTITY_NAME=<YOUR_USER_ASSIGNED_MANAGED_IDENTITY_NAME>
IDENTITY_RESOURCE_ID=$(az identity create \
    --name $USER_IDENTITY_NAME \
    --resource-group $RESOURCE_GROUP \
    --query id \
    --output tsv)

Importante

Depois de criar a identidade gerenciada atribuída pelo usuário, peça ao seu Administrador Global ou Administrador de Função Privilegiada para conceder as seguintes permissões para essa identidade:

  • User.Read.All
  • GroupMember.Read.All
  • Application.Read.All

Para obter mais informações, consulte a seção Permissões da autenticação do Ative Directory.

Em seguida, conecte seu aplicativo a um banco de dados MySQL com uma identidade gerenciada atribuída ao sistema usando o Service Connector.

O comando da CLI do Azure a seguir usa um --client-type parâmetro. Execute o az webapp connection create mysql-flexible -h para obter os tipos de cliente suportados e escolha o que corresponde ao seu aplicativo.

az webapp connection create mysql-flexible \
    --resource-group $RESOURCE_GROUP \
    --name $APPSERVICE_NAME \
    --target-resource-group $RESOURCE_GROUP \
    --server $MYSQL_HOST \
    --database $DATABASE_NAME \
    --user-identity client-id=XX subs-id=XX mysql-identity-id=$IDENTITY_RESOURCE_ID \
    --client-type java

O comando da CLI do Azure a seguir usa um --client-type parâmetro. Execute o az webapp connection create sql -h para obter os tipos de cliente suportados e escolha o que corresponde ao seu aplicativo.

az webapp connection create sql \
    --resource-group $RESOURCE_GROUP \
    --name $APPSERVICE_NAME \
    --target-resource-group $RESOURCE_GROUP \
    --server $SQL_HOST \
    --database $DATABASE_NAME \
    --user-identity client-id=XX subs-id=XX \
    --client-type dotnet

Este comando do Service Connector conclui as seguintes tarefas em segundo plano:

  • Habilite a identidade gerenciada atribuída ao sistema ou atribua uma identidade de usuário para o aplicativo $APPSERVICE_NAME hospedado pelo Serviço de Aplicativo do Azure/Azure Spring Apps/Azure Container Apps.
  • Habilite a Autenticação do Microsoft Entra para o servidor de banco de dados se ela não estiver habilitada antes.
  • Defina o administrador do Microsoft Entra como o usuário conectado atual.
  • Adicione um usuário de banco de dados para a identidade gerenciada atribuída ao sistema, a identidade gerenciada atribuída pelo usuário ou a entidade de serviço. Conceda todos os privilégios do banco de dados $DATABASE_NAME a esse usuário. O nome de usuário pode ser encontrado na cadeia de conexão na saída do comando anterior.
  • Defina configurações nomeadas AZURE_MYSQL_CONNECTIONSTRING, AZURE_POSTGRESQL_CONNECTIONSTRINGou AZURE_SQL_CONNECTIONSTRING para o recurso do Azure com base no tipo de banco de dados.
    • Para o Serviço de Aplicativo, as configurações são definidas na folha Configurações do aplicativo.
    • Para Spring Apps, as configurações são definidas quando o aplicativo é iniciado.
    • Para Aplicativos de Contêiner, as configurações são definidas para as variáveis de ambiente. Você pode obter todas as configurações e seus valores na folha Service Connector no portal do Azure.

O Service Connector atribuirá os seguintes privilégios ao usuário, você poderá revogá-los e ajustar os privilégios com base em suas necessidades.

GRANT ALL PRIVILEGES ON DATABASE "$DATABASE_NAME" TO "username"; 

GRANT ALL PRIVILEGES ON ALL TABLES IN SCHEMA public TO "username"; 

GRANT ALL PRIVILEGES ON ALL SEQUENCES IN SCHEMA public TO "username"; 

GRANT ALL PRIVILEGES ON $DATABASE_NAME.* TO 'username'@'%'; 
GRANT CONTROL ON DATABASE::"$DATABASE_NAME" TO "username";

Conectar-se a um banco de dados com a autenticação do Microsoft Entra

Depois de criar a conexão, você pode usar a cadeia de conexão em seu aplicativo para se conectar ao banco de dados com a autenticação do Microsoft Entra. Por exemplo, você pode usar as seguintes soluções para se conectar ao banco de dados com a autenticação do Microsoft Entra.

Para o .NET, não há um plug-in ou biblioteca para suportar conexões sem senha. Você pode obter um token de acesso para a identidade gerenciada ou entidade de serviço usando a biblioteca de cliente como Azure.Identity. Em seguida, você pode usar o token de acesso como senha para se conectar ao banco de dados. Ao usar o código abaixo, descomente a parte do trecho de código para o tipo de autenticação que você deseja usar.

using Azure.Identity;
using Azure.Core;
using Npgsql;

// Uncomment the following lines corresponding to the authentication type you want to use.
// For system-assigned identity.
// var sqlServerTokenProvider = new DefaultAzureCredential();

// For user-assigned identity.
// var sqlServerTokenProvider = new DefaultAzureCredential(
//     new DefaultAzureCredentialOptions
//     {
//         ManagedIdentityClientId = Environment.GetEnvironmentVariable("AZURE_POSTGRESQL_CLIENTID");
//     }
// );

// For service principal.
// var tenantId = Environment.GetEnvironmentVariable("AZURE_POSTGRESQL_TENANTID");
// var clientId = Environment.GetEnvironmentVariable("AZURE_POSTGRESQL_CLIENTID");
// var clientSecret = Environment.GetEnvironmentVariable("AZURE_POSTGRESQL_CLIENTSECRET");
// var sqlServerTokenProvider = new ClientSecretCredential(tenantId, clientId, clientSecret);

// Acquire the access token. 
AccessToken accessToken = await sqlServerTokenProvider.GetTokenAsync(
    new TokenRequestContext(scopes: new string[]
    {
        "https://ossrdbms-aad.database.windows.net/.default"
    }));

// Combine the token with the connection string from the environment variables provided by Service Connector.
string connectionString =
    $"{Environment.GetEnvironmentVariable("AZURE_POSTGRESQL_CONNECTIONSTRING")};Password={accessToken.Token}";

// Establish the connection.
using (var connection = new NpgsqlConnection(connectionString))
{
    Console.WriteLine("Opening connection using access token...");
    connection.Open();
}

Em seguida, se você criou tabelas e sequências no servidor flexível PostgreSQL antes de usar o Service Connector, precisará se conectar como proprietário e conceder permissão para <aad-username> criar pelo Service Connector. O nome de usuário da cadeia de conexão ou configuração definida pelo Service Connector deve se parecer com aad_<connection name>. Se você usar o portal do Azure, selecione o botão de expansão ao lado da Service Type coluna e obtenha o valor. Se você usar a CLI do Azure, verifique configurations a saída do comando CLI.

Em seguida, execute a consulta para conceder permissão

az extension add --name rdbms-connect

az postgres flexible-server execute -n <postgres-name> -u <owner-username> -p "<owner-password>" -d <database-name> --querytext "GRANT ALL PRIVILEGES ON ALL TABLES IN SCHEMA public TO \"<aad-username>\";GRANT ALL PRIVILEGES ON ALL SEQUENCES IN SCHEMA public TO \"<aad username>\";"

O <owner-username> e <owner-password> é o proprietário da tabela existente que pode conceder permissões a outras pessoas. <aad-username> é o usuário criado pelo Service Connector. Substitua-os pelo valor real.

Valide o resultado com o comando:

az postgres flexible-server execute -n <postgres-name> -u <owner-username> -p "<owner-password>" -d <database-name> --querytext "SELECT distinct(table_name) FROM information_schema.table_privileges WHERE grantee='<aad-username>' AND table_schema='public';" --output table

Para o .NET, não há um plug-in ou biblioteca para suportar conexões sem senha. Você pode obter um token de acesso para a identidade gerenciada ou entidade de serviço usando a biblioteca de cliente como Azure.Identity. Em seguida, você pode usar o token de acesso como senha para se conectar ao banco de dados. Ao usar o código abaixo, descomente a parte do trecho de código para o tipo de autenticação que você deseja usar.

using Azure.Core;
using Azure.Identity;
using MySqlConnector;

// Uncomment the following lines corresponding to the authentication type you want to use.
// For system-assigned managed identity.
// var credential = new DefaultAzureCredential();

// For user-assigned managed identity.
// var credential = new DefaultAzureCredential(
//     new DefaultAzureCredentialOptions
//     {
//         ManagedIdentityClientId = Environment.GetEnvironmentVariable("AZURE_MYSQL_CLIENTID");
//     });

// For service principal.
// var tenantId = Environment.GetEnvironmentVariable("AZURE_MYSQL_TENANTID");
// var clientId = Environment.GetEnvironmentVariable("AZURE_MYSQL_CLIENTID");
// var clientSecret = Environment.GetEnvironmentVariable("AZURE_MYSQL_CLIENTSECRET");
// var credential = new ClientSecretCredential(tenantId, clientId, clientSecret);

var tokenRequestContext = new TokenRequestContext(
    new[] { "https://ossrdbms-aad.database.windows.net/.default" });
AccessToken accessToken = await credential.GetTokenAsync(tokenRequestContext);
// Open a connection to the MySQL server using the access token.
string connectionString =
    $"{Environment.GetEnvironmentVariable("AZURE_MYSQL_CONNECTIONSTRING")};Password={accessToken.Token}";

using var connection = new MySqlConnection(connectionString);
Console.WriteLine("Opening connection using access token...");
await connection.OpenAsync();

// do something

Para obter mais exemplos de código, consulte Conectar-se a bancos de dados do Azure a partir do Serviço de Aplicativo sem segredos usando uma identidade gerenciada.

  1. Instale dependências.

    dotnet add package Microsoft.Data.SqlClient
    
  2. Obtenha a cadeia de conexão do Banco de Dados SQL do Azure da variável de ambiente adicionada pelo Service Connector.

    using Microsoft.Data.SqlClient;
    
    string connectionString = 
        Environment.GetEnvironmentVariable("AZURE_SQL_CONNECTIONSTRING")!;
    
    using var connection = new SqlConnection(connectionString);
    connection.Open();
    

    Para obter mais informações, consulte Usando a autenticação de identidade gerenciada do Ative Directory.

Para obter mais informações, consulte Homepage para programação de cliente para o Microsoft SQL Server.

Implantar o aplicativo em um serviço de hospedagem do Azure

Por fim, implante seu aplicativo em um serviço de hospedagem do Azure. Esse serviço de origem pode usar uma identidade gerenciada para se conectar ao banco de dados de destino no Azure.

Para o Serviço de Aplicativo do Azure, você pode verificar o documento para escolher uma maneira de implantar, consulte Guia de início rápido: implantar um aplicativo Web ASP.NET.

Em seguida, você pode verificar o log ou chamar o aplicativo para ver se ele pode se conectar ao banco de dados do Azure com êxito.

Resolução de Problemas

Permissão

Se você encontrar algum erro relacionado à permissão, confirme o usuário conectado da CLI do Azure com o comando az account show. Certifique-se de que inicia sessão com a conta correta. Em seguida, confirme se você tem as seguintes permissões que podem ser necessárias para criar uma conexão sem senha com o Service Connector.

Permissão Operação
Microsoft.DBforPostgreSQL/flexibleServers/read Necessário para obter informações do servidor de banco de dados
Microsoft.DBforPostgreSQL/flexibleServers/write Necessário para habilitar a autenticação do Microsoft Entra para o servidor de banco de dados
Microsoft.DBforPostgreSQL/flexibleServers/firewallRules/write Necessário para criar uma regra de firewall caso o endereço IP local seja bloqueado
Microsoft.DBforPostgreSQL/flexibleServers/firewallRules/delete Necessário para reverter a regra de firewall criada pelo Service Connector para evitar problemas de segurança
Microsoft.DBforPostgreSQL/flexibleServers/administrators/read Necessário para verificar se o usuário de logon da CLI do Azure é um administrador do Microsoft Entra do servidor de banco de dados
Microsoft.DBforPostgreSQL/flexibleServers/administrators/write Necessário para adicionar o usuário de logon da CLI do Azure como administrador do servidor de banco de dados Microsoft Entra
Permissão Operação
Microsoft.DBforMySQL/flexibleServers/read Necessário para obter informações do servidor de banco de dados
Microsoft.DBforMySQL/flexibleServers/write Necessário para adicionar a identidade gerenciada atribuída ao usuário fornecida ao servidor de banco de dados
Microsoft.DBforMySQL/flexibleServers/firewallRules/write Necessário para criar uma regra de firewall caso o endereço IP local seja bloqueado
Microsoft.DBforMySQL/flexibleServers/firewallRules/delete Necessário para reverter a regra de firewall criada pelo Service Connector para evitar problemas de segurança
Microsoft.DBforMySQL/flexibleServers/administrators/read Necessário para verificar se o usuário de logon da CLI do Azure é um administrador do Microsoft Entra do servidor de banco de dados
Microsoft.DBforMySQL/flexibleServers/administrators/write Necessário para adicionar o usuário de logon da CLI do Azure como administrador do servidor de banco de dados Microsoft Entra
Permissão Operação
Microsoft.Sql/servers/read Necessário para obter informações do servidor de banco de dados
Microsoft.Sql/servers/firewallRules/write Necessário para criar uma regra de firewall caso o endereço IP local seja bloqueado
Microsoft.Sql/servers/firewallRules/delete Necessário para reverter a regra de firewall criada pelo Service Connector para evitar problemas de segurança
Microsoft.Sql/servers/administrators/read Necessário para verificar se o usuário de logon da CLI do Azure é um administrador do Microsoft Entra do servidor de banco de dados
Microsoft.Sql/servers/administrators/write Necessário para adicionar o usuário de logon da CLI do Azure como administrador do servidor de banco de dados Microsoft Entra

Em alguns casos, as permissões não são necessárias. Por exemplo, se o usuário autenticado pela CLI do Azure já for um Administrador do Ative Directory no SQL Server, você não precisará ter a Microsoft.Sql/servers/administrators/write permissão.

Microsoft Entra ID

Se você receber um erro ERROR: AADSTS530003: Your device is required to be managed to access this resource., peça ajuda ao seu departamento de TI para ingressar este dispositivo no Microsoft Entra ID. Para obter mais informações, consulte Microsoft Entra joined devices.

O Service Connector precisa acessar o Microsoft Entra ID para obter informações de sua conta e identidade gerenciada do serviço de hospedagem. Você pode usar o seguinte comando para verificar se seu dispositivo pode acessar o Microsoft Entra ID:

az ad signed-in-user show

Se você não fizer login interativamente, também poderá receber o erro e Interactive authentication is neededo . Para resolver o erro, faça login com o az login comando.

Conectividade de rede

Se o servidor de banco de dados estiver na Rede Virtual, verifique se o ambiente que executa o comando CLI do Azure pode acessar o servidor na Rede Virtual.

Se o servidor de banco de dados estiver na Rede Virtual, verifique se o ambiente que executa o comando CLI do Azure pode acessar o servidor na Rede Virtual.

Se o servidor de banco de dados não permitir acesso público, certifique-se de que seu ambiente que executa o comando da CLI do Azure possa acessar o servidor por meio do ponto de extremidade privado.

Próximos passos

Para obter mais informações sobre o Service Connector e conexões sem senha, consulte os seguintes recursos: