Migración de una aplicación .NET para usar conexiones sin contraseña con Azure SQL Database

Se aplica a:Azure SQL Database

Las solicitudes de aplicación a Azure SQL Database deben autenticarse. Aunque hay varias opciones para autenticarse en Azure SQL Database, debe priorizar las conexiones sin contraseña en las aplicaciones siempre que sea posible. Los métodos de autenticación tradicionales que usan contraseñas o claves secretas crean riesgos y complicaciones de seguridad. Visite el centro de Conexiones sin contraseña para servicios de Azure para obtener más información sobre las ventajas de pasar a conexiones sin contraseña. El siguiente tutorial explica cómo migrar una aplicación existente para conectarse a Azure SQL Database y utilizar conexiones sin contraseña en lugar de una solución basada en nombre de usuario y contraseña.

Configuración de Azure SQL Database

Las conexiones sin contraseña usan la autenticación de Microsoft Entra para conectarse a los servicios de Azure, incluida la base de datos de Azure SQL. Con la autenticación de Microsoft Entra, puede administrar identidades en una ubicación central para simplificar la administración de permisos. Obtenga más información sobre cómo configurar la autenticación de Microsoft Entra para la base de datos de Azure SQL:

• Información general sobre la autenticación de Microsoft Entra
• Configurar la autenticación de Microsoft Entra

Para esta guía de migración, asegúrese de que tiene asignado un administrador de Microsoft Entra a la base de datos de Azure SQL.

1. Vaya a la página de Microsoft Entra del servidor lógico.

2. Seleccione Establecer administrador para abrir el menú de control flotante de Microsoft Entra ID.

3. En el menú de control flotante de Microsoft Entra ID, busque el usuario que quiere asignar como administrador.

4. Seleccione el usuario y elija Seleccionar.

   

Configuración del entorno de desarrollo local

Las conexiones sin contraseña se pueden configurar para que funcionen en entornos locales y hospedados en Azure. En esta sección, aplicará configuraciones para permitir que los usuarios individuales se autentiquen en Azure SQL Database para el desarrollo local.

Inicio de sesión en Azure

Para el desarrollo local, asegúrese de que ha iniciado sesión con la misma cuenta de Azure AD que quiere usar para acceder a Azure SQL Database. Puede autenticarse a través de herramientas de desarrollo populares, como la CLI de Azure o Azure PowerShell. Las herramientas de desarrollo con las que puede autenticarse varían en todos los idiomas.

CLI de Azure

Inicie sesión en Azure a través de la CLI de Azure mediante el siguiente comando:

az login

Visual Studio

Seleccione el botón Iniciar sesión en la parte superior derecha de Visual Studio.

Inicie sesión con la cuenta de Azure AD a la que asignó un rol anteriormente.

Visual Studio Code

Hay que instalar la CLI de Azure para trabajar con DefaultAzureCredential mediante Visual Studio Code.

En el menú principal de Visual Studio Code, vaya a Terminal > Nueva terminal.

Inicie sesión en Azure a través de la CLI de Azure mediante el siguiente comando:

az login

PowerShell

Inicie sesión en Azure mediante PowerShell a través del siguiente comando:

Connect-AzAccount

Creación del usuario de la base de datos y asignación de roles

Cree un usuario en Azure SQL Database. El usuario debe corresponder a la cuenta de Azure que usó para iniciar sesión localmente mediante herramientas de desarrollo como Visual Studio o IntelliJ.

1. En Azure Portal, vaya a la base de datos SQL y seleccione Editor de consultas (versión preliminar).

2. Seleccione Continuar como <your-username> en el lado derecho de la pantalla para iniciar sesión en la base de datos con su cuenta.

3. En la vista del editor de consultas, ejecute los siguientes comandos de T-SQL:

   CREATE USER [user@domain] FROM EXTERNAL PROVIDER;
   ALTER ROLE db_datareader ADD MEMBER [user@domain];
   ALTER ROLE db_datawriter ADD MEMBER [user@domain];
   ALTER ROLE db_ddladmin ADD MEMBER [user@domain];
   GO
   

   

   Al ejecutar estos comandos, se asigna el rol Colaborador de base de datos SQL a la cuenta especificada. Este rol permite que la identidad lea, escriba y modifique los datos y el esquema de la base de datos. Para más información sobre los roles asignados, consulte Roles fijos de base de datos.

Actualización de la configuración de conexión local

El código de aplicación existente que se conecta a Azure SQL Database mediante la biblioteca Microsoft.Data.SqlClient o Entity Framework Core seguirá funcionando con conexiones sin contraseña. Sin embargo, debe actualizar la cadena de conexión de la base de datos para usar el formato sin contraseña. Por ejemplo, el código siguiente funciona con la autenticación de SQL y las conexiones sin contraseña:

string connectionString = app.Configuration.GetConnectionString("AZURE_SQL_CONNECTIONSTRING")!;

using var conn = new SqlConnection(connectionString);
conn.Open();

var command = new SqlCommand("SELECT * FROM Persons", conn);
using SqlDataReader reader = command.ExecuteReader();

Para actualizar la cadena de conexión a la que se hace referencia (AZURE_SQL_CONNECTIONSTRING) para usar el formato de cadena de conexión sin contraseña:

1. Busque la cadena de conexión. Para el desarrollo local con aplicaciones .NET, normalmente se almacena en una de las siguientes ubicaciones:

   • El archivo de configuración appsettings.json para el proyecto.
   • El archivo de configuración launchsettings.json para proyectos de Visual Studio.
   • Variables de entorno del sistema local o del contenedor.

2. Reemplace el valor de la cadena de conexión por el siguiente formato sin contraseña. Reemplace los marcadores de posición <database-server-name> y <database-name> por sus propios valores.

   Server=tcp:<database-server-name>.database.windows.net,1433;Initial Catalog=<database-name>;
   Encrypt=True;TrustServerCertificate=False;Connection Timeout=30;Authentication="Active Directory Default";
   

Prueba de la aplicación

Ejecute la aplicación localmente y compruebe que las conexiones a Azure SQL Database funcionan según lo previsto. Tenga en cuenta que los cambios en los usuarios y roles de Azure pueden tardar varios minutos en propagarse por su entorno de Azure. Ahora la aplicación está configurada para ejecutarse localmente sin que los desarrolladores tengan que administrar los secretos en la propia aplicación.

Configuración del entorno de hospedaje de Azure

Una vez que la aplicación se ha configurado para usar conexiones sin contraseña localmente, el mismo código se puede autenticar en los servicios de Azure SQL Database después de implementarla en Azure. En las secciones siguientes se explica cómo configurar una aplicación implementada para conectarse a Azure SQL Database mediante una identidad administrada. Las identidades administradas proporcionan una identidad administrada automáticamente en Microsoft Entra ID (anteriormente Azure Active Directory) para que las aplicaciones la utilicen al conectarse a los recursos que admiten la autenticación de Microsoft Entra. Más información sobre las identidades administradas:

• Introducción al inicio de sesión sin contraseña
• Procedimientos recomendados de identidad administrada

Creación de la identidad administrada

Cree una identidad administrada asignada por el usuario mediante Azure Portal o la CLI de Azure. La aplicación usa la identidad para autenticarse en otros servicios.

Azure Portal

1. En la parte superior del Azure Portal, busque Identidades administradas. Seleccione el resultado de Identidades administradas.
2. Seleccione + Crear en la parte superior de la página de información general de Identidades administradas.
3. En la pestaña Datos básicos, escriba los valores siguientes:
   • Suscripción: Seleccione la opción de suscripción que desee.
   • Grupo de recursos: seleccione el grupo de recursos que desee.
   • Región: seleccione una región cercana a su ubicación.
   • Nombre: Escriba un nombre reconocible para la identidad, como MigrationIdentity.
4. En la parte inferior de la página, seleccione Revisar y crear.
5. Cuando finalicen las comprobaciones de validación, seleccione Crear. Azure crea una nueva identidad asignada por el usuario.

Una vez creado el recurso, seleccione Ir al recurso para ver los detalles de la identidad administrada.

CLI de Azure

Use el comando az identity create para crear una identidad administrada asignada por el usuario:

az identity create --name MigrationIdentity --resource-group <resource-group>

Asociación de la identidad administrada a la aplicación web

Configure la aplicación web para que use la identidad administrada asignada por el usuario que ha creado.

Azure Portal

Complete los pasos siguientes en Azure Portal para asociar una identidad administrada asignada por el usuario con la aplicación. Estos mismos pasos se aplican a los siguientes servicios de Azure:

• Azure Spring Apps
• Azure Container Apps
• Máquinas virtuales de Azure
• Azure Kubernetes Service
• Vaya a la página de información general de la aplicación web.

1. En el menú de navegación de la izquierda, seleccione Identidad.

2. En la página Identidad, cambie a la pestaña Asignado por el usuario.

3. Seleccione + Agregar para abrir el control flotante Agregar identidad administrada asignada por el usuario.

4. Seleccione la suscripción que usó anteriormente para crear la identidad.

5. Busque MigrationIdentity por nombre y selecciónelo en los resultados de la búsqueda.

6. Seleccione Agregar para asociar la identidad a la aplicación.

   

CLI de Azure

Use los siguientes comandos de la CLI de Azure para asociar una identidad a la aplicación:

Recupere el identificador de recurso completo de la identidad administrada que creó mediante el comando az identity show. Copie el valor de salida que se usará en el paso siguiente.

az identity show --name MigrationIdentity -g <your-identity-resource-group-name> --query id

Azure App Service

Puede asignar una identidad administrada a una instancia de Azure App Service con el comando az webapp identity assign. El parámetro --identities requiere el identificador de recurso completo de la identidad administrada que recuperó en el paso anterior. El identificador de recurso completo empieza por "/subscriptions/{subscriptionId}" o "/providers/{resourceProviderNamespace}/".

az webapp identity assign \
    --resource-group <resource-group-name> \
    --name <webapp-name> \
    --identities <managed-identity-id>

Si trabaja con Git Bash, tenga cuidado con las conversiones de ruta de acceso al usar identificadores de recurso completo. Para deshabilitar la conversión de ruta de acceso, agregue MSYS_NO_PATHCONV=1 al principio del comando. Para más información, consulte Traducción automática de identificadores de recurso.

Azure Spring Apps

Puede asignar una identidad administrada a una instancia de Azure Spring Apps con el comando az spring app identity assign.

az spring app identity assign \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --service <service-name> \
    --user-assigned <managed-identity-id>

Azure Container Apps

Puede asignar una identidad administrada a una máquina virtual con el comando az containerapp identity assign.

az containerapp identity assign \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --user-assigned <managed-identity-id>

Máquinas virtuales de Azure

Puede asignar una identidad administrada a una máquina virtual con el comando az vm identity assign.

az vm identity assign \
    --resource-group <resource-group-name> \
    --name <virtual-machine-name> \
    --identities <managed-identity-id>

Azure Kubernetes Service

Puede asignar una identidad administrada a una instancia de Azure Kubernetes Service (AKS) con el comando az aks update.

az aks update \
    --resource-group <resource-group-name> \
    --name <cluster-name> \
    --enable-managed-identity \
    --assign-identity <managed-identity-id> \
    --assign-kubelet-identity <managed-identity-id>

Conector de servicio

Puede usar un conector de servicio para crear una conexión entre un entorno de hospedaje de proceso de Azure y un servicio de destino mediante la CLI de Azure. Los comandos de la CLI de Service Connector asignan automáticamente el rol adecuado a la identidad. Puede obtener más información sobre el conector de servicio y los escenarios que se admiten en la página de información general.

1. Recupere el id. de cliente de la identidad administrada que creó mediante el comando az identity show. Copie el valor para su uso posterior.

   az identity show --name MigrationIdentity --resource-group <resource-group> --query clientId
   

2. Use el comando de la CLI adecuado para establecer la conexión de servicio:

   Azure App Service

   Si usa un Azure App Service, use el comando az webapp connection:

   az webapp connection create storage-blob \
       --resource-group <resource-group-name> \
       --name <webapp-name> \
       --target-resource-group <target-resource-group-name> \
       --account <target-storage-account-name> \
       --user-identity "client-id=<your-identity-client-id>" "subs-id=<your-subscription-id>"
   

   Azure Spring Apps

   Si usa Azure Spring Apps, use el comando az spring-cloud connection:

   az spring-cloud connection create storage-blob \
       --resource-group <resource-group-name> \
       --service <service-instance-name> \
       --app <app-name> \
       --deployment <deployment-name> \
       --target-resource-group <target-resource-group> \
       --account <target-storage-account-name> \
       --user-identity "client-id=<your-identity-client-id>" "subs-id=<your-subscription-id>"
   

   Azure Container Apps

   Si usa Azure Container Apps, use el comando az containerapp connection:

   az containerapp connection create storage-blob \
       --resource-group <resource-group-name> \
       --name <containerapp-name> \
       --target-resource-group <target-resource-group-name> \
       --account <target-storage-account-name> \
       --user-identity "client-id=<your-identity-client-id>" "subs-id=<your-subscription-id>"
   

Creación de un usuario de base de datos para la identidad y asignación de roles

Cree un usuario de SQL Database que vuelva a asignarse a la identidad administrada asignada por el usuario. Asigna los roles SQL necesarios al usuario para permitir que la aplicación lea, escriba y modifique los datos y el esquema de la base de datos.

1. En Azure Portal, vaya a la base de datos SQL y seleccione Editor de consultas (versión preliminar).

2. Seleccione Continuar como <username> en el lado derecho de la pantalla para iniciar sesión en la base de datos con su cuenta.

3. En la vista del editor de consultas, ejecute los siguientes comandos de T-SQL:

   CREATE USER [user-assigned-identity-name] FROM EXTERNAL PROVIDER;
   ALTER ROLE db_datareader ADD MEMBER [user-assigned-identity-name];
   ALTER ROLE db_datawriter ADD MEMBER [user-assigned-identity-name];
   ALTER ROLE db_ddladmin ADD MEMBER [user-assigned-identity-name];
   GO
   

   

   Al ejecutar estos comandos, se asigna el rol Colaborador de base de datos SQL a la identidad administrada asignada por el usuario. Este rol permite que la identidad lea, escriba y modifique los datos y el esquema de la base de datos.

---

Importante

Tenga cuidado al asignar roles de usuario de base de datos en entornos de producción empresarial. En esos escenarios, la aplicación no debe realizar todas las operaciones con una única identidad con privilegios elevados. Intente implementar el principio de privilegios mínimos configurando varias identidades con permisos específicos para tareas específicas.

Puede consultar más información sobre cómo configurar roles de base de datos y seguridad en los siguientes recursos:

• Tutorial: Protección de una base de datos en Azure SQL Database
• Autorización del acceso de base de datos a SQL Database

Actualización de la cadena de conexión

Actualice la configuración de la aplicación de Azure para usar el formato de cadena de conexión sin contraseña. Las cadenas de conexión se almacenan normalmente como variables de entorno en el entorno de hospedaje de aplicaciones. Las instrucciones siguientes se centran en App Service, pero otros servicios de hospedaje de Azure proporcionan configuraciones similares.

1. Vaya a la página de configuración de la instancia de App Service y busque la cadena de conexión de Azure SQL Database.

2. Seleccione el icono de edición y actualice el valor de la cadena de conexión para que coincida con el formato siguiente. Cambie los marcadores de posición <database-server-name> y <database-name> por los valores de su propio servicio.

   Server=tcp:<database-server-name>.database.windows.net,1433;Initial Catalog=<database-name>;
   Encrypt=True;TrustServerCertificate=False;Connection Timeout=30;Authentication="Active Directory Default";
   

3. Guarde los cambios y reinicie la aplicación si no lo hace automáticamente.

Prueba de la aplicación

Pruebe la aplicación para asegurarse de que todo sigue funcionando. Los cambios pueden tardar unos minutos en propagarse a través del entorno de Azure.

Pasos siguientes

En este tutorial, ha aprendido a migrar una aplicación a conexiones sin contraseña.

Puede leer los siguientes recursos para explorar los conceptos que se describen en este artículo con más detalle:

• Introducción al inicio de sesión sin contraseña
• Procedimientos recomendados de identidad administrada
• Tutorial: Protección de una base de datos en Azure SQL Database
• Autorización del acceso de base de datos a SQL Database