Anslut med hanterad identitet till Azure Database for PostgreSQL – flexibel server
GÄLLER FÖR:
Azure Database for PostgreSQL – flexibel server
Du kan använda både systemtilldelade och användartilldelade hanterade identiteter för att autentisera till en flexibel Azure Database for PostgreSQL-server. Den här artikeln visar hur du använder en systemtilldelad hanterad identitet för en virtuell Azure-dator (VM) för att få åtkomst till en flexibel Azure Database for PostgreSQL-serverinstans. Hanterade identiteter hanteras automatiskt av Azure och gör att du kan autentisera till tjänster som stöder Microsoft Entra-autentisering utan att behöva infoga autentiseringsuppgifter i koden.
Du lär dig att:
- Ge den virtuella datorn åtkomst till en flexibel Azure Database for PostgreSQL-serverinstans.
- Skapa en användare i databasen som representerar den virtuella datorns systemtilldelade identitet.
- Hämta en åtkomsttoken med hjälp av den virtuella datoridentiteten och använd den för att köra frågor mot en flexibel Azure Database for PostgreSQL-serverinstans.
- Implementera tokenhämtningen i ett C#-exempelprogram.
Förutsättningar
- Om du inte känner till funktionen för hanterade identiteter för Azure-resurser kan du läsa igenom den här översikten. Om du inte har ett Azure-konto registrerar du dig för ett kostnadsfritt konto innan du fortsätter.
- För att kunna skapa den nödvändiga resursen och rollhanteringen måste ditt konto ha behörigheten "Ägare" i lämpligt omfång (din prenumeration eller resursgrupp). Om du behöver hjälp med en rolltilldelning kan du läsa Tilldela Azure-roller för att hantera åtkomst till dina Azure-prenumerationsresurser.
- Du behöver en virtuell Azure-dator (till exempel att köra Ubuntu Linux) som du vill använda för att komma åt databasen med hjälp av hanterad identitet
- Du behöver en flexibel Azure Database for PostgreSQL-serverinstans som har Microsoft Entra-autentisering konfigurerad
- Om du vill följa C#-exemplet slutför du först guiden om hur du Anslut med C#
Skapa en systemtilldelad hanterad identitet för den virtuella datorn
Använd az vm identity assign med identity assign kommandot aktiverar den systemtilldelade identiteten till en befintlig virtuell dator:
az vm identity assign -g myResourceGroup -n myVm
Hämta program-ID:t för den systemtilldelade hanterade identiteten, som du behöver i följande steg:
# Get the client ID (application ID) of the system-assigned managed identity
az ad sp list --display-name vm-name --query [*].appId --out tsv
Skapa en flexibel Azure Database for PostgreSQL-serveranvändare för din hanterade identitet
Anslut nu som Microsoft Entra-administratörsanvändare till din flexibla Azure Database for PostgreSQL-serverdatabas och kör följande SQL-instruktioner och ersätt <identity_name> med namnet på de resurser som du skapade en systemtilldelad hanterad identitet för:
Observera pgaadauth_create_principal måste köras i Postgres-databasen.
select * from pgaadauth_create_principal('<identity_name>', false, false);
Framgång ser ut så här:
pgaadauth_create_principal
-----------------------------------
Created role for "<identity_name>"
(1 row)
Mer information om hur du hanterar Microsoft Entra-ID-aktiverade databasroller finns i hantera Microsoft Entra-ID-aktiverade Azure Database for PostgreSQL – flexibla serverroller
Den hanterade identiteten har nu åtkomst när du autentiserar med identitetsnamnet som ett rollnamn och Microsoft Entra-token som lösenord.
Kommentar
Om den hanterade identiteten inte är giltig returneras ett fel: ERROR: Could not validate AAD user <ObjectId> because its name is not found in the tenant. [...].
Kommentar
Om du ser ett fel som "Ingen funktion matchar..." kontrollerar du att du ansluter till postgres databasen, inte en annan databas som du också har skapat.
Hämta åtkomsttoken från Azure Instance Metadata-tjänsten
Ditt program kan nu hämta en åtkomsttoken från Azure Instance Metadata-tjänsten och använda den för att autentisera med databasen.
Den här tokenhämtningen görs genom att göra en HTTP-begäran till http://169.254.169.254/metadata/identity/oauth2/token och skicka följande parametrar:
api-version=2018-02-01resource=https://ossrdbms-aad.database.windows.netclient_id=CLIENT_ID(som du hämtade tidigare)
Du får tillbaka ett JSON-resultat som innehåller ett access_token fält – det här långa textvärdet är åtkomsttoken för hanterad identitet som du bör använda som lösenord när du ansluter till databasen.
I testsyfte kan du köra följande kommandon i gränssnittet.
Kommentar
Observera att du behöver curl, jqoch psql klienten installerad.
# Retrieve the access token
export PGPASSWORD=`curl -s 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https%3A%2F%2Fossrdbms-aad.database.windows.net&client_id=CLIENT_ID' -H Metadata:true | jq -r .access_token`
# Connect to the database
psql -h SERVER --user USER DBNAME
Nu är du ansluten till den databas som du konfigurerade tidigare.
Anslut med hanterad identitet i C#
Det här avsnittet visar hur du hämtar en åtkomsttoken med hjälp av den virtuella datorns användartilldelade hanterade identitet och använder den för att anropa Azure Database for PostgreSQL – flexibel server. Azure Database for PostgreSQL – flexibel server har inbyggt stöd för Microsoft Entra-autentisering, så att den direkt kan acceptera åtkomsttoken som hämtas med hanterade identiteter för Azure-resurser. När du skapar en anslutning till en flexibel Azure Database for PostgreSQL-server skickar du åtkomsttoken i lösenordsfältet.
Här är ett .NET-kodexempel på hur du öppnar en anslutning till en flexibel Azure Database for PostgreSQL-server med hjälp av en åtkomsttoken. Den här koden måste köras på den virtuella datorn för att använda den systemtilldelade hanterade identiteten för att hämta en åtkomsttoken från Microsoft Entra-ID. Ersätt värdena för HOST, USER (med <identity_name>) och DATABASE.
using System;
using System.Net;
using System.IO;
using System.Collections;
using System.Collections.Generic;
using System.Text.Json;
using System.Text.Json.Serialization;
using Npgsql;
using Azure.Identity;
namespace Driver
{
class Script
{
// Obtain connection string information from the portal for use in the following variables
private static string Host = "HOST";
private static string User = "USER";
private static string Database = "DATABASE";
static async Task Main(string[] args)
{
//
// Get an access token for PostgreSQL.
//
Console.Out.WriteLine("Getting access token from Azure AD...");
// Azure AD resource ID for Azure Database for PostgreSQL Flexible Server is https://ossrdbms-aad.database.windows.net/
string accessToken = null;
try
{
// Call managed identities for Azure resources endpoint.
var sqlServerTokenProvider = new DefaultAzureCredential();
accessToken = (await sqlServerTokenProvider.GetTokenAsync(
new Azure.Core.TokenRequestContext(scopes: new string[] { "https://ossrdbms-aad.database.windows.net/.default" }) { })).Token;
}
catch (Exception e)
{
Console.Out.WriteLine("{0} \n\n{1}", e.Message, e.InnerException != null ? e.InnerException.Message : "Acquire token failed");
System.Environment.Exit(1);
}
//
// Open a connection to the PostgreSQL server using the access token.
//
string connString =
String.Format(
"Server={0}; User Id={1}; Database={2}; Port={3}; Password={4}; SSLMode=Prefer",
Host,
User,
Database,
5432,
accessToken);
using (var conn = new NpgsqlConnection(connString))
{
Console.Out.WriteLine("Opening connection using access token...");
conn.Open();
using (var command = new NpgsqlCommand("SELECT version()", conn))
{
var reader = command.ExecuteReader();
while (reader.Read())
{
Console.WriteLine("\nConnected!\n\nPostgres version: {0}", reader.GetString(0));
}
}
}
}
}
}
När du kör det här kommandot ger det här kommandot utdata så här:
Getting access token from Azure AD...
Opening connection using access token...
Connected!
Postgres version: PostgreSQL 11.11, compiled by Visual C++ build 1800, 64-bit
Nästa steg
- Granska de övergripande begreppen för Microsoft Entra-autentisering med Azure Database for PostgreSQL – flexibel server