Eseguire la migrazione di un'applicazione per usare connessioni senza password con bus di servizio di Azure

Le richieste dell'applicazione a bus di servizio di Azure devono essere autenticate usando chiavi di accesso dell'account o connessioni senza password. Tuttavia, è consigliabile assegnare priorità alle connessioni senza password nelle applicazioni, quando possibile. Questa esercitazione illustra come eseguire la migrazione da metodi di autenticazione tradizionali a connessioni senza password più sicure.

Rischi di sicurezza associati alle chiavi di accesso

Nell'esempio di codice seguente viene illustrato come connettersi a bus di servizio di Azure usando un stringa di connessione che include una chiave di accesso. Quando si crea un bus di servizio, Azure genera automaticamente queste chiavi e stringa di connessione. Molti sviluppatori gravitano verso questa soluzione perché si sente familiare alle opzioni con cui hanno lavorato in passato. Se l'applicazione usa attualmente stringa di connessione, è consigliabile eseguire la migrazione a connessioni senza password usando i passaggi descritti in questo documento.

.NET

await using ServiceBusClient client = new("<CONNECTION-STRING>");

Go

client, err := azservicebus.NewClientFromConnectionString(
    "<CONNECTION-STRING>",
    nil)

if err != nil {
    // handle error
}

Java

JMS:

ConnectionFactory factory = new ServiceBusJmsConnectionFactory(
    "<CONNECTION-STRING>",
    new ServiceBusJmsConnectionFactorySettings());

Client ricevitore:

ServiceBusReceiverClient receiver = new ServiceBusClientBuilder()
    .connectionString("<CONNECTION-STRING>")
    .receiver()
    .topicName("<TOPIC-NAME>")
    .subscriptionName("<SUBSCRIPTION-NAME>")
    .buildClient();

Client mittente:

ServiceBusSenderClient client = new ServiceBusClientBuilder()
    .connectionString("<CONNECTION-STRING>")
    .sender()
    .queueName("<QUEUE-NAME>")
    .buildClient();

Node.js

const client = new ServiceBusClient("<CONNECTION-STRING>");

Python

client = ServiceBusClient(
    fully_qualified_namespace = "<CONNECTION-STRING>"
)

Connessione stringhe di Connessione devono essere usate con cautela. Gli sviluppatori devono essere diligenti per non esporre mai le chiavi in una posizione non sicura. Chiunque possa accedere alla chiave è in grado di eseguire l'autenticazione. Ad esempio, se una chiave dell'account viene accidentalmente archiviata nel controllo del codice sorgente, inviata tramite un messaggio di posta elettronica non sicuro, incollata nella chat sbagliata o visualizzata da un utente che non deve avere l'autorizzazione, esiste il rischio che un utente malintenzionato acceda all'applicazione. Prendere invece in considerazione l'aggiornamento dell'applicazione per usare connessioni senza password.

Eseguire la migrazione a connessioni senza password

Molti servizi di Azure supportano connessioni senza password tramite Microsoft Entra ID e controllo degli accessi in base al ruolo. Queste tecniche forniscono funzionalità di sicurezza affidabili e possono essere implementate usando DefaultAzureCredential le librerie client di Identità di Azure.

Importante

Alcuni linguaggi devono implementare DefaultAzureCredential in modo esplicito nel codice, mentre altri usano DefaultAzureCredential internamente tramite plug-in o driver sottostanti.

DefaultAzureCredential supporta più metodi di autenticazione e determina automaticamente quali devono essere usati in fase di esecuzione. Questo approccio consente all'app di usare metodi di autenticazione diversi in ambienti diversi (sviluppo locale e produzione) senza implementare codice specifico dell'ambiente.

L'ordine e le posizioni in cui DefaultAzureCredential cercare le credenziali sono disponibili nella panoramica della libreria di identità di Azure e variano tra le lingue. Ad esempio, quando si lavora in locale con .NET, DefaultAzureCredential in genere si esegue l'autenticazione usando l'account usato dallo sviluppatore per accedere a Visual Studio, all'interfaccia della riga di comando di Azure o ad Azure PowerShell. Quando l'app viene distribuita in Azure, DefaultAzureCredential individua e usa automaticamente l'identità gestita del servizio di hosting associato, ad esempio app Azure Servizio. Per questa transizione non sono necessarie modifiche al codice.

Nota

Un'identità gestita fornisce un'identità di sicurezza per rappresentare un'app o un servizio. L'identità viene gestita dalla piattaforma Azure e non è necessario eseguire il provisioning o ruotare alcun segreto. Per altre informazioni sulle identità gestite, vedere la documentazione di panoramica .

Nell'esempio di codice seguente viene illustrato come connettersi a bus di servizio usando connessioni senza password. La sezione successiva descrive come eseguire la migrazione a questa configurazione per un servizio specifico in modo più dettagliato.

Un'applicazione .NET può passare un'istanza di DefaultAzureCredential nel costruttore di una classe client del servizio. DefaultAzureCredential individua automaticamente le credenziali disponibili in tale ambiente.

ServiceBusClient serviceBusClient = new(
    new Uri($"https://{serviceBusNamespace}.blob.core.windows.net"),
    new DefaultAzureCredential());

Procedura per eseguire la migrazione di un'app per l'uso dell'autenticazione senza password

I passaggi seguenti illustrano come eseguire la migrazione di un'applicazione esistente per usare connessioni senza password anziché una soluzione basata su chiavi. Prima di tutto si configurerà un ambiente di sviluppo locale e quindi si applicheranno tali concetti a un ambiente di hosting di app di Azure. Questi stessi passaggi di migrazione devono essere applicati indipendentemente dall'uso diretto delle chiavi di accesso o tramite stringa di connessione.

Configurare ruoli e utenti per l'autenticazione di sviluppo locale

Quando si sviluppa in locale, assicurarsi che l'account utente che accede a bus di servizio disponga delle autorizzazioni corrette. In questo esempio si userà il ruolo di proprietario dei dati bus di servizio di Azure per inviare e ricevere dati, anche se sono disponibili ruoli più granulari. Per assegnare a se stessi questo ruolo, è necessario assegnare il ruolo Accesso utente Amministrazione istrator o un altro ruolo che include l'azione Microsoft.Authorization/roleAssignments/write. È possibile assegnare ruoli controllo degli accessi in base al ruolo di Azure a un utente usando il portale di Azure, l'interfaccia della riga di comando di Azure o Azure PowerShell. Per altre informazioni sugli ambiti disponibili per le assegnazioni di ruolo, vedere la pagina di panoramica dell'ambito.

In questo scenario si assegneranno le autorizzazioni all'account utente con ambito a uno spazio dei nomi bus di servizio specifico, per seguire il principio dei privilegi minimi. Questa procedura offre agli utenti solo le autorizzazioni minime necessarie e crea ambienti di produzione più sicuri.

L'esempio seguente assegnerà il ruolo di proprietario dei dati di bus di servizio di Azure all'account utente, che consente di inviare e ricevere dati.

Importante

Nella maggior parte dei casi, la propagazione dell'assegnazione di ruolo in Azure richiederà almeno due minuti, ma in rari casi può richiedere fino a otto minuti. Se si ricevono errori di autenticazione quando si esegue il codice per la prima volta, attendere alcuni istanti e riprovare.

Azure portal

1. Nella portale di Azure individuare lo spazio dei nomi bus di servizio usando la barra di ricerca principale o lo spostamento a sinistra.

2. Nella pagina di panoramica bus di servizio selezionare Controllo di accesso (IAM) dal menu a sinistra.

3. Nella pagina Controllo di accesso (IAM) selezionare la scheda Assegnazioni di ruolo.

4. Selezionare + Aggiungi dal menu in alto e quindi Aggiungi assegnazione di ruolo dal menu a discesa risultante.

   

5. Usare la casella di ricerca per filtrare i risultati in base al ruolo desiderato. Per questo esempio, cercare bus di servizio di Azure Proprietario dati e selezionare il risultato corrispondente e quindi scegliere Avanti.

6. In Assegna accesso a selezionare Utente, gruppo o entità servizio e quindi scegliere + Seleziona membri.

7. Nella finestra di dialogo cercare il nome utente di Microsoft Entra (in genere l'indirizzo di posta elettronica user@domain ) e quindi scegliere Seleziona nella parte inferiore della finestra di dialogo.

8. Selezionare Rivedi e assegna per passare alla pagina finale e quindi rivedi e assegna per completare il processo.

Interfaccia della riga di comando di Azure

Per assegnare un ruolo a livello di risorsa usando l'interfaccia della riga di comando di Azure, è prima necessario recuperare l'ID risorsa usando il az servicesbus namespace show comando . È possibile filtrare le proprietà di output usando il --query parametro .

az servicebus namespace show --resource-group '<your-resource-group-name>' --name '<your-service-bus-namespace>' --query id

Copiare l'output ID dal comando precedente. È quindi possibile assegnare ruoli usando il comando az role dell'interfaccia della riga di comando di Azure.

az role assignment create --assignee "<user@domain>" \
    --role "Azure Service Bus Data Owner" \
    --scope "<your-resource-id>"

PowerShell

Per assegnare un ruolo a livello di risorsa usando Azure PowerShell, è prima necessario recuperare l'ID risorsa usando il Get-AzResource comando .

Get-AzResource -ResourceGroupName "<yourResourceGroupname>" -Name "<yourServiceBusName>"

Copiare il ID valore dall'output del comando precedente. È quindi possibile assegnare ruoli usando il comando New-AzRoleAssignment in PowerShell.

New-AzRoleAssignment -SignInName <user@domain> `
    -RoleDefinitionName "Azure Service Bus Data Owner" `
    -Scope <yourServiceBusId>

Accedere ed eseguire la migrazione del codice dell'app per usare connessioni senza password

Per lo sviluppo locale, assicurarsi di essere autenticati con lo stesso account Microsoft Entra a cui è stato assegnato il ruolo per lo spazio dei nomi bus di servizio. È possibile eseguire l'autenticazione tramite l'interfaccia della riga di comando di Azure, Visual Studio, Azure PowerShell o altri strumenti come IntelliJ.

Per lo sviluppo locale, assicurarsi di essere autenticati con lo stesso account Microsoft Entra a cui è stato assegnato il ruolo. È possibile eseguire l'autenticazione tramite strumenti di sviluppo diffusi, ad esempio l'interfaccia della riga di comando di Azure o Azure PowerShell. Gli strumenti di sviluppo con cui è possibile eseguire l'autenticazione variano a seconda dei linguaggi.

Interfaccia della riga di comando di Azure

Accedere ad Azure tramite l'interfaccia della riga di comando di Azure usando il comando seguente:

az login

Visual Studio

Selezionare il pulsante Accedi in alto a destra di Visual Studio.

Accedere usando l'account Microsoft Entra a cui è stato assegnato un ruolo in precedenza.

Visual Studio Code

È necessario installare l'interfaccia della riga di comando di Azure per usare DefaultAzureCredential Visual Studio Code.

Nel menu principale di Visual Studio Code passare a Terminale > nuovo terminale.

Accedere ad Azure tramite l'interfaccia della riga di comando di Azure usando il comando seguente:

az login

PowerShell

Accedere ad Azure usando PowerShell tramite il comando seguente:

Connect-AzAccount

Aggiornare quindi il codice per usare connessioni senza password.

.NET

1. Per usare DefaultAzureCredential in un'applicazione .NET, installare il Azure.Identity pacchetto:

   dotnet add package Azure.Identity
   

2. Nella parte superiore del file aggiungere il codice seguente:

   using Azure.Identity;
   

3. Identificare il codice che crea un ServiceBusClient oggetto da connettere a bus di servizio di Azure. Aggiornare il codice in modo che corrisponda all'esempio seguente:

    var serviceBusNamespace = $"https://{namespace}.servicebus.windows.net";
    ServiceBusClient client = new(
        serviceBusNamespace,
        new DefaultAzureCredential());
   

Go

1. Per usare DefaultAzureCredential in un'applicazione Go, installare il azidentity modulo:

   go get -u github.com/Azure/azure-sdk-for-go/sdk/azidentity
   

2. Nella parte superiore del file aggiungere il codice seguente:

   import (
       "github.com/Azure/azure-sdk-for-go/sdk/azidentity"
   )
   

3. Identificare i percorsi nel codice che creano un'istanza Client per connettersi a bus di servizio di Azure. Aggiornare il codice in modo che corrisponda all'esempio seguente:

   credential, err := azidentity.NewDefaultAzureCredential(nil)
   
   if err != nil {
       // handle error
   }
   
   serviceBusNamespace := fmt.Sprintf(
       "https://%s.servicebus.windows.net",
       namespace)
   client, err := azservicebus.NewClient(serviceBusNamespace, credential, nil)
   
   if err != nil {
       // handle error
   }
   

Java

1. Per usare DefaultAzureCredential:

   • In un'applicazione JMS aggiungere almeno la versione 1.0.0 del azure-servicebus-jms pacchetto all'applicazione:

     <dependency>
         <groupId>com.microsoft.azure</groupId>
         <artifactId>azure-servicebus-jms</artifactId>
         <version>1.0.0</version>
     </dependency>
     

   • In un'applicazione Java installare il azure-identity pacchetto tramite uno degli approcci seguenti:

     • Includere il file bom.
     • Includere una dipendenza diretta.

2. Nella parte superiore del file aggiungere il codice seguente:

   import com.azure.identity.DefaultAzureCredentialBuilder;
   

3. Aggiornare il codice che si connette a bus di servizio di Azure:

   • In un'applicazione JMS identificare il codice che crea un ServiceBusJmsConnectionFactory oggetto per connettersi a bus di servizio di Azure. Aggiornare il codice in modo che corrisponda all'esempio seguente:

      DefaultAzureCredential credential = new DefaultAzureCredentialBuilder()
          .build();
      String serviceBusNamespace = 
          "https://" + namespace + ".servicebus.windows.net";
     
      ConnectionFactory factory = new ServiceBusJmsConnectionFactory(
          credential,
          serviceBusNamespace,
          new ServiceBusJmsConnectionFactorySettings());
     

   • In un'applicazione Java identificare il codice che crea un oggetto client bus di servizio mittente o ricevitore per connettersi a bus di servizio di Azure. Aggiornare il codice in modo che corrisponda a uno degli esempi seguenti:

     Client ricevitore:

     DefaultAzureCredential credential = new DefaultAzureCredentialBuilder()
         .build();
     String serviceBusNamespace = 
         "https://" + namespace + ".servicebus.windows.net";
     
     ServiceBusReceiverClient receiver = new ServiceBusClientBuilder()
         .credential(serviceBusNamespace, credential)
         .receiver()
         .topicName("<TOPIC-NAME>")
         .subscriptionName("<SUBSCRIPTION-NAME>")
         .buildClient();
     

     Client mittente:

     DefaultAzureCredential credential = new DefaultAzureCredentialBuilder()
         .build();
     String serviceBusNamespace = 
         "https://" + namespace + ".servicebus.windows.net";
     
     ServiceBusSenderClient client = new ServiceBusClientBuilder()
         .credential(serviceBusNamespace, credential)
         .sender()
         .queueName("<QUEUE-NAME>")
         .buildClient();
     

Node.js

1. Per usare DefaultAzureCredential in un'applicazione Node.js, installare il @azure/identity pacchetto:

   npm install --save @azure/identity
   

2. Nella parte superiore del file aggiungere il codice seguente:

   const { DefaultAzureCredential } = require("@azure/identity");
   

3. Identificare il codice che crea un ServiceBusClient oggetto da connettere a bus di servizio di Azure. Aggiornare il codice in modo che corrisponda all'esempio seguente:

   const credential = new DefaultAzureCredential();
   const serviceBusNamespace = `https://${namespace}.servicebus.windows.net`;    
   
   const client = new ServiceBusClient(
     serviceBusNamespace,
     credential
   );
   

Python

1. Per usare DefaultAzureCredential in un'applicazione Python, installare il azure-identity pacchetto:

   pip install azure-identity
   

2. Nella parte superiore del file aggiungere il codice seguente:

   from azure.identity import DefaultAzureCredential
   

3. Identificare il codice che crea un ServiceBusClient oggetto da connettere a bus di servizio di Azure. Aggiornare il codice in modo che corrisponda all'esempio seguente:

   credential = DefaultAzureCredential()
   service_bus_namespace = "https://%s.servicebus.windows.net" % namespace
   
   client = ServiceBusClient(
       fully_qualified_namespace = service_bus_namespace,
       credential = credential
   )
   

Eseguire l'app in locale

Dopo aver apportato queste modifiche al codice, eseguire l'applicazione in locale. La nuova configurazione deve raccogliere le credenziali locali, ad esempio l'interfaccia della riga di comando di Azure, Visual Studio o IntelliJ. I ruoli assegnati all'utente di sviluppo locale in Azure consentiranno all'app di connettersi al servizio di Azure in locale.

Configurare l'ambiente di hosting di Azure

Dopo aver configurato l'applicazione per l'uso di connessioni senza password e l'esecuzione in locale, lo stesso codice può eseguire l'autenticazione ai servizi di Azure dopo la distribuzione in Azure. Ad esempio, un'applicazione distribuita in un'istanza del servizio app Azure con un'identità gestita abilitata può connettersi a bus di servizio di Azure.

Creare l'identità gestita usando il portale di Azure

I passaggi seguenti illustrano come creare un'identità gestita assegnata dal sistema per vari servizi di hosting Web. L'identità gestita può connettersi in modo sicuro ad altri servizi di Azure usando le configurazioni dell'app configurate in precedenza.

Connessione or del servizio

Alcuni ambienti di hosting di app supportano service Connessione or, che consente di connettere i servizi di calcolo di Azure ad altri servizi di backup. Service Connessione or configura automaticamente le impostazioni di rete e le informazioni di connessione. Per altre informazioni, vedere Service Connessione or e quali scenari sono supportati nella pagina di panoramica.

Sono attualmente supportati i servizi di calcolo seguenti:

• Servizio app di Azure
• Azure Spring Cloud
• App Azure Container (anteprima)

Per questa guida alla migrazione si useranno servizio app, ma i passaggi sono simili in App Spring di Azure e nelle app contenitore di Azure.

Nota

Azure Spring Apps supporta attualmente solo Connessione or del servizio usando stringa di connessione s.

1. Nella pagina di panoramica principale del servizio app selezionare Connessione or di servizio nel riquadro di spostamento a sinistra.

2. Selezionare + Crea dal menu in alto e verrà aperto il pannello Crea connessione . Immetti i valori seguenti:

   • Tipo di servizio: scegliere Bus di servizio.
   • Sottoscrizione: selezionare la sottoscrizione da usare.
   • nome Connessione ion: immettere un nome per la connessione, ad esempio connector_appservice_servicebus.
   • Tipo di client: lasciare selezionato il valore predefinito o scegliere il client specifico che si vuole usare.

   Selezionare Avanti: Autenticazione.

3. Assicurarsi che l'identità gestita assegnata dal sistema (scelta consigliata) sia selezionata e quindi scegliere Avanti: Rete.

4. Lasciare selezionati i valori predefiniti e quindi scegliere Avanti: Rivedi e crea.

5. Dopo aver convalidato le impostazioni di Azure, selezionare Crea.

Il Connessione or del servizio creerà automaticamente un'identità gestita assegnata dal sistema per il servizio app. Il connettore assegnerà anche l'identità gestita a un ruolo di proprietario dati bus di servizio di Azure per il bus di servizio selezionato.

Servizio app di Azure

1. Nella pagina di panoramica principale dell'istanza del servizio app Azure selezionare Identità nel riquadro di spostamento a sinistra.

2. Nella scheda Assegnata dal sistema assicurarsi di impostare il campo Stato su attivato. Un'identità assegnata dal sistema viene gestita internamente da Azure e gestisce automaticamente le attività amministrative. I dettagli e gli ID dell'identità non vengono mai esposti nel codice.

   

Azure Spring Apps

1. Nella pagina di panoramica principale dell'istanza di Azure Spring Apps selezionare Identità nel riquadro di spostamento a sinistra.

2. Nella scheda Assegnata dal sistema assicurarsi di impostare il campo Stato su attivato. Un'identità assegnata dal sistema viene gestita internamente da Azure e gestisce automaticamente le attività amministrative. I dettagli e gli ID dell'identità non vengono mai esposti nel codice.

   

App azure Container

1. Nella pagina di panoramica principale dell'istanza di App Azure Container selezionare Identità nel riquadro di spostamento a sinistra.

2. Nella scheda Assegnata dal sistema assicurarsi di impostare il campo Stato su attivato. Un'identità assegnata dal sistema viene gestita internamente da Azure e gestisce automaticamente le attività amministrative. I dettagli e gli ID dell'identità non vengono mai esposti nel codice.

   

Macchine virtuali di Azure

1. Nella pagina di panoramica principale della macchina virtuale selezionare Identità nel riquadro di spostamento a sinistra.

2. Nella scheda Assegnata dal sistema assicurarsi di impostare il campo Stato su attivato. Un'identità assegnata dal sistema viene gestita internamente da Azure e gestisce automaticamente le attività amministrative. I dettagli e gli ID dell'identità non vengono mai esposti nel codice.

   

In alternativa, è anche possibile abilitare l'identità gestita in un ambiente di hosting di Azure usando l'interfaccia della riga di comando di Azure.

Connessione or del servizio

È possibile usare Service Connessione or per creare una connessione tra un ambiente di hosting di calcolo di Azure e un servizio di destinazione usando l'interfaccia della riga di comando di Azure. L'interfaccia della riga di comando gestisce automaticamente la creazione di un'identità gestita e assegna il ruolo appropriato, come illustrato nelle istruzioni del portale.

Se si usa un servizio app Azure, usare il az webapp connection comando :

az webapp connection create servicebus \
    --resource-group <resource-group-name> \
    --name <webapp-name> \
    --target-resource-group <target-resource-group-name> \
    --namespace <target-service-bus-namespace> \
    --system-identity

Se si usa Azure Spring Apps, usare il az spring connection comando :

az spring connection create servicebus \
    --resource-group <resource-group-name> \
    --service <service-instance-name> \
    --app <app-name> \
    --deployment <deployment-name> \
    --target-resource-group <target-resource-group> \
    --namespace <target-service-bus-namespace> \
    --system-identity

Se si usano app di Azure Container, usare il az containerapp connection comando :

az containerapp connection create servicebus \
    --resource-group <resource-group-name> \
    --name <webapp-name> \
    --target-resource-group <target-resource-group-name> \
    --namespace <target-service-bus-namespace> \
    --system-identity

Servizio app di Azure

È possibile assegnare un'identità gestita a un'istanza del servizio app Azure con il comando az webapp identity assign.

az webapp identity assign \
    --resource-group <resource-group-name> \
    --name <webapp-name>

Azure Spring Apps

È possibile assegnare un'identità gestita a un'istanza di Azure Spring Apps con il comando az spring app identity assign .

az spring app identity assign \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --service <service-name>

App azure Container

È possibile assegnare un'identità gestita a un'istanza di App Contenitore di Azure con il comando az container app identity assign .

az containerapp identity assign \
    --resource-group <resource-group-name> \
    --name <app-name>

Macchine virtuali di Azure

È possibile assegnare un'identità gestita a una macchina virtuale con il comando az vm identity assign .

az vm identity assign \
    --resource-group <resource-group-name> \
    --name <virtual-machine-name>

Servizio Azure Kubernetes

È possibile assegnare un'identità gestita a un'istanza del servizio Azure Kubernetes servizio Azure Kubernetes con il comando az aks update.

az aks update \
    --resource-group <resource-group-name> \
    --name <virtual-machine-name> \
    --enable-managed-identity

Assegnare ruoli all'identità gestita

Successivamente, è necessario concedere le autorizzazioni all'identità gestita creata per accedere al bus di servizio. A tale scopo, è possibile assegnare un ruolo all'identità gestita, proprio come è stato fatto con l'utente di sviluppo locale.

Connessione or del servizio

Se i servizi sono stati connessi usando il Connessione or del servizio, non è necessario completare questo passaggio. Le configurazioni necessarie sono state gestite automaticamente:

• Se è stata selezionata un'identità gestita durante la creazione della connessione, è stata creata un'identità gestita assegnata dal sistema per l'app ed è stato assegnato il ruolo proprietario dati bus di servizio di Azure nel bus di servizio.

• Se è stata selezionata stringa di connessione, il stringa di connessione è stato aggiunto come variabile di ambiente dell'app.

Azure portal

1. Passare alla pagina di panoramica bus di servizio e selezionare Controllo di accesso (IAM) nel riquadro di spostamento a sinistra.

2. Scegliere Aggiungi assegnazione di ruolo.

   

3. Nella casella di ricerca Ruolo cercare bus di servizio di Azure Proprietario dati, che è un ruolo comune usato per gestire le operazioni sui dati per i BLOB. È possibile assegnare qualsiasi ruolo appropriato per il caso d'uso. Selezionare il bus di servizio di Azure Proprietario dati dall'elenco e scegliere Avanti.

4. Nella schermata Aggiungi assegnazione di ruolo selezionare Identità gestita per l'opzione Assegna accesso a. Scegliere quindi +Seleziona membri.

5. Nel riquadro a comparsa cercare l'identità gestita creata immettendo il nome del servizio app. Selezionare l'identità assegnata dal sistema e quindi scegliere Seleziona per chiudere il menu a comparsa.

   

6. Selezionare Avanti un paio di volte fino a quando non è possibile selezionare Rivedi e assegna per completare l'assegnazione di ruolo.

Interfaccia della riga di comando di Azure

Per assegnare un ruolo a livello di risorsa usando l'interfaccia della riga di comando di Azure, è prima necessario recuperare l'ID risorsa usando il az servicebus show comando . È possibile filtrare le proprietà di output usando il --query parametro .

az servicebus show \
    --resource-group '<your-resource-group-name>' \
    --name '<your-service-bus-namespace>' \
    --query id

Copiare l'ID di output dal comando precedente. È quindi possibile assegnare ruoli usando il az role comando dell'interfaccia della riga di comando di Azure.

az role assignment create \
    --assignee "<your-username>" \
    --role "Azure Service Bus Data Owner" \
    --scope "<your-resource-id>"

Testare l'app

Dopo aver apportato queste modifiche al codice, passare all'applicazione ospitata nel browser. L'app dovrebbe essere in grado di connettersi correttamente al bus di servizio. Tenere presente che la propagazione delle assegnazioni di ruolo nell'ambiente di Azure potrebbe richiedere alcuni minuti. L'applicazione è ora configurata per l'esecuzione sia in locale che in un ambiente di produzione senza che gli sviluppatori dover gestire i segreti nell'applicazione stessa.

Passaggi successivi

In questa esercitazione si è appreso come eseguire la migrazione di un'applicazione a connessioni senza password.