Tutoriel : Se connecter à SQL Database à partir d’App Service .NET sans secrets à l’aide d’une identité managée

App Service offre un service d’hébergement web hautement évolutif appliquant des mises à jour correctives automatiques dans Azure. Il offre également une identité managée pour votre application, qui constitue une solution clé en main permettant de sécuriser l’accès à Azure SQL Database et à d’autres services Azure. Les identités managées dans App Service sécurisent votre application en en éliminant les secrets, par exemple les informations d’identification dans les chaînes de connexion. Dans ce tutoriel, vous ajoutez une identité managée à l’exemple d’application web que vous avez créé dans l’un des tutoriels suivants :

• Tutoriel : Générer une application ASP.NET dans Azure avec Azure SQL Database
• Tutoriel : Générer une application ASP.NET Core et Azure SQL Database dans Azure App Service

Lorsque vous aurez terminé, votre exemple d’application se connectera à SQL Database en toute sécurité sans nécessiter aucun nom d’utilisateur ni mot de passe.

Notes

Les étapes décrites dans ce tutoriel prennent en charge les versions suivantes :

• .NET Framework 4.8 et versions ultérieures
• .NET 6.0 et versions ultérieures

Pour obtenir des conseils sur Azure Database pour MySQL ou Azure Database pour PostgreSQL dans d’autres frameworks de langage (Node.js, Python et Java), consultez Tutoriel : Se connecter aux bases de données Azure à partir d’App Service sans secrets à l’aide d’une identité managée.

Contenu :

• Activer les identités managées
• Accorder à l’identité managée un accès à SQL Database
• Configurer Entity Framework pour utiliser l’authentification Microsoft Entra avec SQL Database
• Se connecter à SQL Database à partir de Visual Studio à l’aide de l’authentification Microsoft Entra

Remarque

L’authentification Microsoft Entra est différente de l’authentification Windows intégrée dans Active Directory (AD DS) local. AD DS et Microsoft Entra ID utilisent des protocoles d’authentification totalement différents. Pour plus d’informations, consultez la documentation de Microsoft Entra Domain Services.

Si vous n’avez pas d’abonnement Azure, créez un compte gratuit Azure avant de commencer.

Prérequis

Cet article reprend là où vous vous êtes arrêté dans l’un des tutoriels suivants :

• Tutoriel : Créer une application ASP.NET dans Azure avec SQL Database
• Tutoriel : Créer une application ASP.NET Core et SQL Database dans Azure App Service

Si vous ne l’avez pas déjà fait, suivez d’abord l’un des deux tutoriels. Vous pouvez également adapter la procédure à votre propre application .NET avec SQL Database.

Pour déboguer votre application à l’aide de SQL Database en tant que back-end, assurez-vous que vous avez autorisé la connexion cliente à partir de votre machine. Si ce n’est pas le cas, ajoutez l’adresse IP cliente en suivant les étapes décrites dans Gérer les règles de pare-feu IP au niveau du serveur avec le portail Azure.

Préparez votre environnement pour l’interface Azure CLI.

• Utilisez l’environnement Bash dans Azure Cloud Shell. Pour plus d’informations, consultez Démarrage rapide pour Bash dans Azure Cloud Shell.

  

• Si vous préférez exécuter les commandes de référence de l’interface de ligne de commande localement, installez l’interface Azure CLI. Si vous exécutez sur Windows ou macOS, envisagez d’exécuter Azure CLI dans un conteneur Docker. Pour plus d’informations, consultez Guide pratique pour exécuter Azure CLI dans un conteneur Docker.

  • Si vous utilisez une installation locale, connectez-vous à Azure CLI à l’aide de la commande az login. Pour finir le processus d’authentification, suivez les étapes affichées dans votre terminal. Pour connaître les autres options de connexion, consultez Se connecter avec Azure CLI.

  • Lorsque vous y êtes invité, installez l’extension Azure CLI lors de la première utilisation. Pour plus d’informations sur les extensions, consultez Utiliser des extensions avec Azure CLI.

  • Exécutez az version pour rechercher la version et les bibliothèques dépendantes installées. Pour effectuer une mise à niveau vers la dernière version, exécutez az upgrade.

1. Accorder l’accès à la base de données à l’utilisateur Microsoft Entra

Tout d’abord, activez l’authentification Microsoft Entra pour SQL Database en attribuant un utilisateur Microsoft Entra comme administrateur du serveur. Cet utilisateur est différent du compte Microsoft que vous avez utilisé pour vous inscrire à votre abonnement Azure. Il doit s’agir d’un utilisateur créé, importé, synchronisé ou invité dans Microsoft Entra ID. Pour plus d’informations sur les utilisateurs Microsoft Entra autorisés, consultez Fonctionnalités et limitations de Microsoft Entra dans SQL Database.

1. Si votre locataire Microsoft Entra n’a pas encore d’utilisateur, créez-en un en suivant les étapes de la section Ajouter ou supprimer des utilisateurs à l’aide de Microsoft Entra ID.

2. Recherchez l’ID d’objet de l’utilisateur Microsoft Entra en utilisant az ad user list et remplacez <user-principal-name> par votre propre valeur. Le résultat est enregistré dans une variable.

   $azureaduser=(az ad user list --filter "userPrincipalName eq '<user-principal-name>'" --query '[].id' --output tsv)
   

   Conseil

   Pour afficher la liste de tous les noms d’utilisateurs principaux dans Microsoft Entra ID, exécutez az ad user list --query '[].userPrincipalName'.

3. Ajoutez cet utilisateur Microsoft Entra en tant qu’administrateur Active Directory à l’aide de la commande az sql server ad-admin create dans Cloud Shell. Dans la commande suivante, remplacez <server-name> par le nom du serveur (sans le suffixe .database.windows.net).

   az sql server ad-admin create --resource-group myResourceGroup --server-name <server-name> --display-name ADMIN --object-id $azureaduser
   

Pour plus d’informations sur l’ajout d’un administrateur Active Directory, consultez Provisionner un administrateur Microsoft Entra pour votre serveur

2. Configurer votre environnement de développement

Visual Studio Windows

1. Visual Studio pour Windows est intégré avec l’authentification Microsoft Entra. Pour activer le développement et le débogage dans Visual Studio, ajoutez votre utilisateur Microsoft Entra dans Visual Studio en sélectionnant Fichier>Paramètres du compte à partir du menu, puis sélectionnez Se connecter ou Ajouter.

2. Pour définir l’utilisateur Microsoft Entra pour l’authentification de service Azure, sélectionnez Outils>Options dans le menu, puis sélectionnez Authentification du service Azure>Sélection du compte. Sélectionnez l’utilisateur Microsoft Entra que vous avez ajouté, puis sélectionnez OK.

Visual Studio pour macOS

1. Visual Studio pour Mac n’est pas intégré avec l’authentification Microsoft Entra. Toutefois, la bibliothèque de client Azure Identity que vous utiliserez ultérieurement peut utiliser des jetons provenant d’Azure CLI. Pour permettre le développement et le débogage dans Visual Studio, installez Azure CLI sur votre ordinateur local.

2. Connectez-vous à Azure CLI à l’aide de la commande suivante avec votre utilisateur Microsoft Entra :

   az login --allow-no-subscriptions
   

Visual Studio Code

1. Visual Studio Code est intégré à l’authentification Microsoft Entra par le biais de l’extension Azure. Installez l’extension Azure Tools dans Visual Studio Code.

2. Dans Visual Studio Code, dans la barre d’activités, sélectionnez le logo Azure.

3. Dans l’explorateur App Service, sélectionnez Se connecter à Azure... , puis suivez les instructions.

Azure CLI

1. La bibliothèque de client Azure Identity que vous utiliserez ultérieurement peut utiliser des jetons provenant d’Azure CLI. Pour activer le développement en ligne de commande, installez Azure CLI sur votre ordinateur local.

2. Connectez-vous à Azure avec la commande suivante à l’aide de votre utilisateur Microsoft Entra :

   az login --allow-no-subscriptions
   

Azure PowerShell

1. La bibliothèque de client Azure Identity que vous utiliserez ultérieurement peut utiliser des jetons provenant d’Azure PowerShell. Pour activer le développement en ligne de commande, installez Azure PowerShell sur votre ordinateur local.

2. Connectez-vous à Azure CLI à l’aide du cmdlet suivant avec votre utilisateur Microsoft Entra :

   Connect-AzAccount
   

Pour plus d’informations sur la configuration de votre environnement de développement pour l’authentification Microsoft Entra, consultez Bibliothèque de client Azure Identity pour .NET.

Vous êtes maintenant prêt à développer et déboguer votre application avec SQL Database en tant que back-end, à l’aide de l’authentification Microsoft Entra.

3. Modifier votre projet

Notes

L’utilisation de Microsoft.Azure.Services.AppAuthentication n’est plus recommandée avec le nouveau SDK Azure. Elle est remplacée par une nouvelle bibliothèque de client d’identité Azure disponible pour .NET, Java, TypeScript et Python, qui doit être utilisée pour tout nouveau développement. Vous trouverez des informations sur la migration Azure Identityici : Azure Identity.

Les étapes à suivre pour votre projet varient selon que vous utilisez Entity Framework Core (par défaut pour ASP.NET Core) ou Entity Framework (par défaut pour ASP.NET).

Entity Framework Core

1. Dans Visual Studio, ouvrez la console du gestionnaire de package et ajoutez le package NuGet Microsoft.Data.SqlClient :

   Install-Package Microsoft.Data.SqlClient -Version 5.1.0
   

2. Dans le tutoriel ASP.NET Core et SQL Database, la chaîne de connexion MyDbConnection dans appsettings.json n’est pas encore utilisée. L’environnement local et l’environnement Azure obtiennent tous deux des chaînes de connexion à partir de leurs variables d’environnement respectives afin de conserver les secrets de connexion hors du fichier source. Mais maintenant, grâce à l’authentification Active Directory, il n’y a plus de secrets. Dans le fichier appsettings. json, remplacez la valeur de la chaîne de connexion MyDbConnection par :

   "Server=tcp:<server-name>.database.windows.net;Authentication=Active Directory Default; Database=<database-name>;"
   

   Remarque

   Le type d’authentification Active Directory Default peut être utilisé à la fois sur votre ordinateur local et dans Azure App Service. Le pilote tente d’acquérir un jeton à partir de Microsoft Entra ID par différents moyens. Si l’application est déployée, elle obtient un jeton à partir de l’identité managée affectée par le système de l’application. Il peut également s’authentifier avec une identité managée affectée par l’utilisateur si vous incluez : User Id=<client-id-of-user-assigned-managed-identity>; dans votre chaîne de connexion. Si l’application s’exécute localement, elle tente d’obtenir un jeton à partir de Visual Studio, Visual Studio Code et Azure CLI.

   C’est tout ce dont vous avez besoin pour vous connecter à SQL Database. Quand vous déboguez dans Visual Studio, votre code utilise l’utilisateur Microsoft Entra que vous avez configuré à l’étape 2. Configurez votre environnement de développement. Vous configurerez SQL Database ultérieurement pour autoriser la connexion à partir de l’identité managée de votre application App Service. La classe DefaultAzureCredential met en cache le jeton en mémoire et le récupère à partir de Microsoft Entra ID, juste avant l’expiration. Vous n’avez pas besoin de code personnalisé pour actualiser le jeton.

3. Entrez Ctrl+F5 pour réexécuter l’application. La même application CRUD dans votre navigateur se connecte maintenant à Azure SQL Database directement, à l’aide de l’authentification Microsoft Entra. Cette configuration vous permet d’exécuter des migrations de base de données à partir de Visual Studio.

Entity Framework

1. Dans Visual Studio, ouvrez la console du gestionnaire de package, ajoutez le package NuGet Azure.Identity et mettez à jour Entity Framework :

   Install-Package Azure.Identity
   Update-Package EntityFramework
   

2. Dans votre objet DbContext (dans Models/MyDbContext.cs), ajoutez le code suivant au constructeur par défaut.

   Azure.Identity.DefaultAzureCredential credential;
   var managedIdentityClientId = ConfigurationManager.AppSettings["ManagedIdentityClientId"];
   if(managedIdentityClientId != null ) {
       //User-assigned managed identity Client ID is passed in via ManagedIdentityClientId
       var defaultCredentialOptions = new DefaultAzureCredentialOptions { ManagedIdentityClientId = managedIdentityClientId };
       credential = new Azure.Identity.DefaultAzureCredential(defaultCredentialOptions);
   }
   else {
       //System-assigned managed identity or logged-in identity of Visual Studio, Visual Studio Code, Azure CLI or Azure PowerShell
       credential = new Azure.Identity.DefaultAzureCredential();
   }
   var conn = (System.Data.SqlClient.SqlConnection)Database.Connection;
   var token = credential.GetToken(new Azure.Core.TokenRequestContext(new[] { "https://database.windows.net/.default" }));
   conn.AccessToken = token.Token;
   

   Ce code utilise Azure.Identity.DefaultAzureCredential pour obtenir un jeton utilisable pour SQL Database à partir de Microsoft Entra ID, puis l’ajoute à la connexion de base de données. Même si vous pouvez personnaliser DefaultAzureCredential, par défaut, il est déjà polyvalent. Quand il est exécuté dans App Service, il utilise l’identité managée affectée par le système de l’application par défaut. Si vous préférez utiliser une identité managée affectée par l’utilisateur, ajoutez un nouveau paramètre d’application nommé ManagedIdentityClientId et entrez le GUID Client Id de votre identité managée affectée par l’utilisateur dans le champ value. Quand il est exécuté localement, il peut obtenir un jeton en utilisant l’identité connectée de Visual Studio, Visual Studio Code, Azure CLI et Azure PowerShell.

3. Dans Web.config, recherchez la chaîne de connexion appelée MyDbConnection et remplacez sa valeur connectionString par "server=tcp:<server-name>.database.windows.net;database=<db-name>;". Remplacez <server-name> et <db-name> par le nom de votre serveur et le nom de votre base de données. Cette chaîne de connexion est utilisée par le constructeur par défaut dans Models/MyDbContext.cs.

   C’est tout ce dont vous avez besoin pour vous connecter à SQL Database. Quand vous déboguez dans Visual Studio, votre code utilise l’utilisateur Microsoft Entra que vous avez configuré à l’étape 2. Configurez votre environnement de développement. Vous configurerez SQL Database ultérieurement pour autoriser la connexion à partir de l’identité managée de votre application App Service.

4. Entrez Ctrl+F5 pour réexécuter l’application. La même application CRUD dans votre navigateur se connecte maintenant à Azure SQL Database directement, à l’aide de l’authentification Microsoft Entra. Cette configuration vous permet d’exécuter des migrations de base de données à partir de Visual Studio.

4. Utiliser la connectivité de l’identité managée

Ensuite, configurez votre application App Service pour qu’elle se connecte à SQL Database avec une identité managée attribuée par le système.

Notes

Même si les instructions de cette section concernent une identité affectée par le système, vous pouvez tout à fait utiliser une identité affectée par l’utilisateur. Pour cela, vous devez changer la az webapp identity assign command pour affecter l’identité affectée à l’utilisateur souhaité. Ensuite, lorsque vous créez l’utilisateur SQL, veillez à utiliser le nom de la ressource d’identité affectée par l’utilisateur plutôt que le nom du site.

Activer une identité managée sur l’application

Pour activer une identité managée pour votre application Azure, utilisez la commande az webapp identity assign dans Cloud Shell. Dans la commande ci-après, remplacez <app-name> par votre propre valeur.

az webapp identity assign --resource-group myResourceGroup --name <app-name>

Remarque

Pour activer l’identité managée pour un emplacement de déploiement, ajoutez --slot <slot-name> et utilisez le nom de l’emplacement dans <slot-name>.

Voici un exemple de sortie :

{
  "additionalProperties": {},
  "principalId": "21dfa71c-9e6f-4d17-9e90-1d28801c9735",
  "tenantId": "72f988bf-86f1-41af-91ab-2d7cd011db47",
  "type": "SystemAssigned"
}

Accorder des autorisations à une identité managée

Remarque

Si vous le souhaitez, vous pouvez ajouter l’identité à un groupe Microsoft Entra, puis accorder l’accès à SQL Database au groupe Microsoft Entra et non à l’identité. Par exemple, les commandes suivantes ajoutent l’identité managée de l’étape précédente à un nouveau groupe appelé myAzureSQLDBAccessGroup :

$groupid=(az ad group create --display-name myAzureSQLDBAccessGroup --mail-nickname myAzureSQLDBAccessGroup --query objectId --output tsv)
$msiobjectid=(az webapp identity show --resource-group myResourceGroup --name <app-name> --query principalId --output tsv)
az ad group member add --group $groupid --member-id $msiobjectid
az ad group member list -g $groupid

1. Dans le Cloud Shell, connectez-vous à SQL Database en utilisant la commande SQLCMD. Remplacez <server-name> par le nom de votre serveur, puis <dbname> par le nom de base de données utilisé par votre application, puis <aad-user-name> et <aad-password> par les informations d’identification de votre utilisateur Microsoft Entra.

   sqlcmd -S <server-name>.database.windows.net -d <db-name> -U <aad-user-name> -P "<aad-password>" -G -l 30
   

2. À l’invite SQL de la base de données souhaitée, exécutez les commandes suivantes pour accorder les autorisations minimales dont votre application a besoin. Par exemple,

   CREATE USER [<identity-name>] FROM EXTERNAL PROVIDER;
   ALTER ROLE db_datareader ADD MEMBER [<identity-name>];
   ALTER ROLE db_datawriter ADD MEMBER [<identity-name>];
   ALTER ROLE db_ddladmin ADD MEMBER [<identity-name>];
   GO
   

   <identity-name>> est le nom de l’identité managée dans Microsoft Entra ID. Si l’identité est attribuée par le système, le nom sera toujours identique à celui de votre application App Service. Pour un emplacement de déploiement, le nom de son identité attribuée par le système est <app-name>/slots/<slot-name>. Pour accorder des autorisations pour un groupe Microsoft Entra, utilisez à la place le nom d’affichage du groupe (par exemple, myAzureSQLDBAccessGroup).

3. Tapez EXIT pour revenir à l’invite Cloud Shell.

   Notes

   Les services back-end des identités managées gèrent également un cache de jetons qui met à jour le jeton d’une ressource cible uniquement lorsque celle-ci expire. Si vous faites une erreur lors de la configuration de vos autorisations SQL Database puis essayez de modifier les autorisations après avoir essayé d’obtenir un jeton avec votre application, vous n’obtiendrez pas un nouveau jeton avec les autorisations mises à jour tant que le jeton mis en cache n’a pas expiré.

   Remarque

   Les identités Microsoft Entra ID et managées ne sont pas prises en charge pour les serveurs SQL locaux.

Modifier la chaîne de connexion

Rappelez-vous que les modifications apportées dans Web.config ou appsettings.json fonctionnent avec l’identité managée. Par conséquent, la seule chose à faire consiste à supprimer la chaîne de connexion existante d’App Service, que Visual Studio a créée lors du premier déploiement de votre application. Utilisez la commande suivante en remplaçant <app-name> par le nom de votre application.

az webapp config connection-string delete --resource-group myResourceGroup --name <app-name> --setting-names MyDbConnection

5. Publier vos modifications

Il ne vous reste plus qu’à publier vos modifications sur Azure.

ASP.NET

1. Si vous êtes parti du Tutoriel : Créer une application ASP.NET dans Azure avec SQL Database , publiez vos modifications dans Visual Studio. Dans l’Explorateur de solutions, cliquez avec le bouton droit sur le projet DotNetAppSqlDb, puis sélectionnez Publier.

   

2. Dans la page de publication, sélectionnez Publier.

   Important

   Vérifiez que le nom de votre service d’application ne correspond à aucune inscription d’application existante. Vous éviterez ainsi d’éventuels conflits d’ID de principal.

ASP.NET Core

Si vous êtes parti du Tutoriel : Créer une application ASP.NET Core et SQL Database dans Azure App Service , publiez vos modifications avec Git, au moyen des commandes suivantes :

git commit -am "configure managed identity"
git push azure main

Lorsque la nouvelle page web affiche votre liste des tâches, votre application se connecte à la base de données à l’aide de l’identité managée.

Vous devriez désormais être en mesure de modifier la liste des tâches comme auparavant.

Nettoyer les ressources

Au cours des étapes précédentes, vous avez créé des ressources Azure au sein d’un groupe de ressources. Si vous ne pensez pas avoir besoin de ces ressources à l’avenir, supprimez le groupe de ressources en exécutant la commande suivante dans Cloud Shell :

az group delete --name myResourceGroup

L’exécution de cette commande peut prendre une minute.

Étapes suivantes

Vous avez appris à effectuer les opérations suivantes :

• Activer les identités managées
• Accorder à l’identité managée un accès à SQL Database
• Configurer Entity Framework pour utiliser l’authentification Microsoft Entra avec SQL Database
• Se connecter à SQL Database à partir de Visual Studio à l’aide de l’authentification Microsoft Entra

 Sécuriser à l’aide d’un domaine personnalisé et d’un certificat

Tutoriel : Connecter une application App Service à SQL Database pour le compte de l’utilisateur connecté

Tutoriel : Se connecter à des bases de données Azure à partir d’App Service sans secrets à l’aide d’une identité managée

Didacticiel : Connecter aux services Azure qui ne prennent pas en charge les identités gérées (à l’aide de Key Vault)

Didacticiel : Isoler les communications back-end avec l’intégration du réseau virtuel