Öğretici: Yönetilen kimlik kullanarak gizli diziler olmadan App Service'ten Azure veritabanlarına Bağlan

App Service, Azure’da yüksek oranda ölçeklenebilen, kendi kendine düzeltme eki uygulayan bir web barındırma hizmeti sunar. Ayrıca uygulamanız için yönetilen bir kimlik sağlar. Bu, aşağıdakiler dahil olmak üzere Azure veritabanlarına erişimi güvenli hale getirmek için anahtar teslimi bir çözümdür:

• Azure SQL Veritabanı
• MySQL için Azure Veritabanı
• PostgreSQL için Azure Veritabanı

Not

Bu öğretici, Microsoft Entra kimlik doğrulamasını farklı şekilde destekleyen Azure Cosmos DB kılavuzlarını içermez. Daha fazla bilgi için Azure Cosmos DB verilerine erişmek için sistem tarafından atanan yönetilen kimlikleri kullanma gibi Azure Cosmos DB belgelerine bakın.

App Service içindeki yönetilen kimlikler, bağlantı dizelerindeki kimlik bilgileri gibi uygulamanızdaki gizli dizileri ortadan kaldırarak uygulamanızı daha güvenli hale getirir. Bu öğreticide, yönetilen kimlikleri kullanarak App Service'ten yukarıda bahsedilen veritabanlarına nasıl bağlanabileceğiniz gösterilir.

Öğreneceğiniz şeyler:

• Microsoft Entra kullanıcısını Azure veritabanınız için yönetici olarak yapılandırın.
• Veritabanınıza Microsoft Entra kullanıcısı olarak Bağlan.
• App Service uygulaması için sistem tarafından atanan veya kullanıcı tarafından atanan yönetilen kimliği yapılandırın.
• Yönetilen kimliğe veritabanı erişimi verme.
• Yönetilen kimlik kullanarak kodunuzdan (.NET Framework 4.8, .NET 6, Node.js, Python, Java) Azure veritabanına Bağlan.
• Microsoft Entra kullanıcısını kullanarak geliştirme ortamınızdan Azure veritabanına Bağlan.

Azure aboneliğiniz yoksa başlamadan önce birücretsiz Azure hesabı oluşturun.

Önkoşullar

• App Service'te .NET, Node.js, Python veya Java tabanlı bir uygulama oluşturun.
• Azure SQL Veritabanı, MySQL için Azure Veritabanı veya PostgreSQL için Azure Veritabanı ile bir veritabanı sunucusu oluşturun.
• Standart bağlantı desenini (kullanıcı adı ve parola ile) tanımanız ve App Service uygulamanızdan tercih ettiğiniz veritabanınıza başarıyla bağlanabilmeniz gerekir.

Ortamınızı Azure CLI için hazırlayın.

• Azure Cloud Shell'de Bash ortamını kullanın. Daha fazla bilgi için bkz . Azure Cloud Shell'de Bash için hızlı başlangıç.

  

• CLI başvuru komutlarını yerel olarak çalıştırmayı tercih ediyorsanız Azure CLI'yı yükleyin . Windows veya macOS üzerinde çalışıyorsanız Azure CLI’yi bir Docker kapsayıcısında çalıştırmayı değerlendirin. Daha fazla bilgi için bkz . Docker kapsayıcısında Azure CLI'yi çalıştırma.

  • Yerel yükleme kullanıyorsanız az login komutunu kullanarak Azure CLI ile oturum açın. Kimlik doğrulama işlemini tamamlamak için terminalinizde görüntülenen adımları izleyin. Diğer oturum açma seçenekleri için bkz . Azure CLI ile oturum açma.

  • İstendiğinde, ilk kullanımda Azure CLI uzantısını yükleyin. Uzantılar hakkında daha fazla bilgi için bkz. Azure CLI ile uzantıları kullanma.

  • Yüklü sürümü ve bağımlı kitaplıkları bulmak için az version komutunu çalıştırın. En son sürüme yükseltmek için az upgrade komutunu çalıştırın.

1. Hizmet Bağlan veya parolasız uzantıyı yükleyin

Azure CLI için Hizmet Bağlan veya parolasız uzantıyı yükleyin:

az extension add --name serviceconnector-passwordless --upgrade

2. Parolasız bağlantı oluşturma

Ardından, Service Bağlan or ile parolasız bir bağlantı oluşturun.

İpucu

Azure portalı aşağıdaki komutları oluşturmanıza yardımcı olabilir. Azure portalında Azure Uygulaması Hizmeti kaynağınıza gidin, sol menüden Hizmet Bağlan veya Oluştur'u seçin. Formu tüm gerekli parametrelerle doldurun. Azure, CLI'da kullanmak veya Azure Cloud Shell'de yürütmek üzere kopyalayabileceğiniz bağlantı oluşturma komutunu otomatik olarak oluşturur.

Azure SQL Veritabanı

Aşağıdaki Azure CLI komutu bir --client-type parametre kullanır.

1. İsteğe bağlı olarak, desteklenen istemci türlerini almak için komutunu az webapp connection create sql -h çalıştırın.

2. bir istemci türü seçin ve karşılık gelen komutu çalıştırın. Aşağıdaki yer tutucuları kendi bilgilerinizle değiştirin.

   Kullanıcı tarafından atanan yönetilen kimlik

   az webapp connection create sql \
       --resource-group <group-name> \
       --name <server-name> \
       --target-resource-group <sql-group-name> \
       --server <sql-name> \
       --database <database-name> \
       --user-identity client-id=<client-id> subs-id=<subscription-id> \
       --client-type <client-type>
   

   Sistem tarafından atanan yönetilen kimlik

   az webapp connection create sql \
       --resource-group <group-name> \
       --name <server-name> \
       --target-resource-group <group-name> \
       --server <sql-name> \
       --database <database-name> \
       --system-identity \
       --client-type <client-type>
   

MySQL için Azure Veritabanı

Not

MySQL için Azure Veritabanı - Esnek Sunucu için öncelikle kullanıcı tarafından atanan ayrı bir yönetilen kimlik ve belirli Microsoft Graph izinleri gerektiren Microsoft Entra kimlik doğrulamasını el ile ayarlamanız gerekir. Bu adım otomatikleştirilebilir.

1. MySQL için Azure Veritabanı - Esnek Sunucu için Microsoft Entra kimlik doğrulamasını el ile ayarlayın.

2. İsteğe bağlı olarak, desteklenen istemci türlerini almak için komutunu az webapp connection create mysql-flexible -h çalıştırın.

3. bir istemci türü seçin ve karşılık gelen komutu çalıştırın. Aşağıdaki Azure CLI komutu bir --client-type parametre kullanır.

   Kullanıcı tarafından atanan yönetilen kimlik

   az webapp connection create mysql-flexible \
       --resource-group <group-name> \
       --name <server-name> \
       --target-resource-group <group-name> \
       --server <mysql-name> \
       --database <database-name> \
       --user-identity client-id=XX subs-id=XX mysql-identity-id=$IDENTITY_RESOURCE_ID \
       --client-type <client-type>
   

   Sistem tarafından atanan yönetilen kimlik

   az webapp connection create mysql-flexible \
   --resource-group <group-name> \
   --name <server-name> \
   --target-resource-group <group-name> \
   --server <mysql-name> \
   --database <database-name> \
   --system-identity mysql-identity-id=$IDENTITY_RESOURCE_ID \
   --client-type <client-type>
   

PostgreSQL için Azure Veritabanı

Aşağıdaki Azure CLI komutu bir --client-type parametre kullanır.

1. İsteğe bağlı olarak komutunu az webapp connection create postgres-flexible -h çalıştırarak desteklenen tüm istemci türlerinin listesini alın.

2. bir istemci türü seçin ve karşılık gelen komutu çalıştırın.

   Kullanıcı tarafından atanan yönetilen kimlik

   az webapp connection create postgres-flexible \
       --resource-group <group-name> \
       --name <server-name> \
       --target-resource-group <group-name> \
       --server <postgresql-name> \
       --database <database-name> \
       --user-identity client-id=XX subs-id=XX \
       --client-type java
   

   Sistem tarafından atanan yönetilen kimlik

   az webapp connection create postgres-flexible \
       --resource-group <group-name> \
       --name <server-name> \
       --target-resource-group <group-name> \
       --server <postgresql-name> \
       --database <database-name> \
       --system-identity \
       --client-type <client-type>
   

3. Önceden oluşturulmuş tablolara izin verme

Ardından, Service Bağlan or'ı kullanmadan önce PostgreSQL esnek sunucusunda tablolar ve diziler oluşturduysanız, sahip olarak bağlanmanız ve Service Bağlan or tarafından oluşturulma izni <aad-username> vermeniz gerekir. Service Bağlan veya tarafından ayarlanan bağlantı dizesi veya yapılandırmadaki kullanıcı adı gibi aad_<connection name>görünmelidir. Azure portalını kullanıyorsanız sütunun yanındaki Service Type genişlet düğmesini seçin ve değeri alın. Azure CLI kullanıyorsanız CLI komut çıkışını denetleyin configurations .

Ardından, izin vermek için sorguyu yürütür

az extension add --name rdbms-connect

az postgres flexible-server execute -n <postgres-name> -u <owner-username> -p "<owner-password>" -d <database-name> --querytext "GRANT ALL PRIVILEGES ON ALL TABLES IN SCHEMA public TO \"<aad-username>\";GRANT ALL PRIVILEGES ON ALL SEQUENCES IN SCHEMA public TO \"<aad username>\";"

<owner-username> ve<owner-password>, başkalarına izin verebilen mevcut tablonun sahibidir. <aad-username>, Service Bağlan or tarafından oluşturulan kullanıcıdır. Bunları gerçek değerle değiştirin.

Sonucu şu komutla doğrulayın:

az postgres flexible-server execute -n <postgres-name> -u <owner-username> -p "<owner-password>" -d <database-name> --querytext "SELECT distinct(table_name) FROM information_schema.table_privileges WHERE grantee='<aad-username>' AND table_schema='public';" --output table

Bu Service Bağlan or komutu arka planda aşağıdaki görevleri tamamlar:

• Sistem tarafından atanan yönetilen kimliği etkinleştirin veya Azure Uygulaması Hizmeti tarafından barındırılan uygulama <server-name> için bir kullanıcı kimliği atayın.
• Microsoft Entra yöneticisini geçerli oturum açmış kullanıcı olarak ayarlayın.
• Sistem tarafından atanan yönetilen kimlik veya kullanıcı tarafından atanan yönetilen kimlik için veritabanı kullanıcısı ekleyin. Veritabanının <database-name> tüm ayrıcalıklarını bu kullanıcıya verin. Kullanıcı adı, önceki komut çıkışındaki bağlantı dizesi bulunabilir.
• veritabanı türüne göre , AZURE_POSTGRESQL_CONNECTIONSTRINGveya AZURE_SQL_CONNECTIONSTRING adlı AZURE_MYSQL_CONNECTIONSTRINGyapılandırmaları Azure kaynağına ayarlayın.
• App Service için yapılandırmalar Uygulama Ayarlar dikey penceresinde ayarlanır.

Bağlantı oluştururken herhangi bir sorunla karşılaşırsanız yardım için Sorun giderme bölümüne bakın.

3. Kodunuzu değiştirme

Azure SQL Veritabanı

.NET

1. Bağımlılıkları yükleyin.

   dotnet add package Microsoft.Data.SqlClient
   

2. Service Bağlan or tarafından eklenen ortam değişkeninden Azure SQL Veritabanı bağlantı dizesi alın.

   using Microsoft.Data.SqlClient;
   
   // AZURE_SQL_CONNECTIONSTRING should be one of the following:
   // For system-assigned managed identity:"Server=tcp:<server-name>.database.windows.net;Database=<database-name>;Authentication=Active Directory Default;TrustServerCertificate=True"
   // For user-assigned managed identity: "Server=tcp:<server-name>.database.windows.net;Database=<database-name>;Authentication=Active Directory Default;User Id=<client-id-of-user-assigned-identity>;TrustServerCertificate=True"
   
   string connectionString = 
       Environment.GetEnvironmentVariable("AZURE_SQL_CONNECTIONSTRING")!;
   
   using var connection = new SqlConnection(connectionString);
   connection.Open();
   

   Daha fazla bilgi için bkz . Active Directory Yönetilen Kimlik kimlik doğrulamasını kullanma.

Java

1. pom.xml dosyanıza aşağıdaki bağımlılıkları ekleyin:

   <dependency>
       <groupId>com.azure</groupId>
       <artifactId>azure-identity</artifactId>
       <version>1.4.6</version>
   </dependency>
   <dependency>
       <groupId>com.microsoft.sqlserver</groupId>
       <artifactId>mssql-jdbc</artifactId>
       <version>10.2.0.jre11</version>
   </dependency>
   

2. Service Bağlan or tarafından eklenen ortam değişkeninden Azure SQL Veritabanı bağlantı dizesi alın.

   import java.sql.Connection;
   import java.sql.ResultSet;
   import java.sql.Statement;
   
   import com.microsoft.sqlserver.jdbc.SQLServerDataSource;
   
   public class Main {
       public static void main(String[] args) {
           // AZURE_SQL_CONNECTIONSTRING should be one of the following:
           // For system-assigned managed identity: "jdbc:sqlserver://{SQLName}.database.windows.net:1433;databaseName={SQLDbName};authentication=ActiveDirectoryMSI;"
           // For user-assigned managed identity: "jdbc:sqlserver://{SQLName}.database.windows.net:1433;databaseName={SQLDbName};msiClientId={UserAssignedMiClientId};authentication=ActiveDirectoryMSI;"
           String connectionString = System.getenv("AZURE_SQL_CONNECTIONSTRING");
           SQLServerDataSource ds = new SQLServerDataSource();
           ds.setURL(connectionString);
           try (Connection connection = ds.getConnection()) {
               System.out.println("Connected successfully.");
           } catch (SQLException e) {
               e.printStackTrace();
           }
       }
   }
   

Daha fazla bilgi için bkz. Microsoft Entra kimlik doğrulamasını kullanma Bağlan.

Python

1. Bağımlılıkları yükleyin.

   python -m pip install pyodbc
   

2. Service Bağlan or tarafından eklenen ortam değişkeninden Azure SQL Veritabanı bağlantı yapılandırmalarını alın. Kullanmak istediğiniz kimlik doğrulama türü için kod parçacığının bölümünü açıklamayı kaldırın.

   import os;
   import pyodbc
   
   server = os.getenv('AZURE_SQL_SERVER')
   port = os.getenv('AZURE_SQL_PORT')
   database = os.getenv('AZURE_SQL_DATABASE')
   authentication = os.getenv('AZURE_SQL_AUTHENTICATION')  # The value should be 'ActiveDirectoryMsi'
   
   # Uncomment the following lines according to the authentication type.
   # For system-assigned managed identity.
   # connString = f'Driver={{ODBC Driver 18 for SQL Server}};Server={server},{port};Database={database};Authentication={authentication};Encrypt=yes;'
   
   # For user-assigned managed identity.
   # client_id = os.getenv('AZURE_SQL_USER')
   # connString = f'Driver={{ODBC Driver 18 for SQL Server}};Server={server},{port};Database={database};UID={client_id};Authentication={authentication};Encrypt=yes;'
   
   conn = pyodbc.connect(connString)
   

   Alternatif bir yöntem için erişim belirteci kullanarak da Azure SQL Veritabanı bağlanabilirsiniz. Azure SQL Veritabanı ile parolasız bağlantılar kullanmak için Python uygulamasını geçirme bölümüne bakın.

NodeJS

1. Bağımlılıkları yükleyin.

   npm install mssql
   

2. Service Bağlan or tarafından eklenen ortam değişkenlerinden Azure SQL Veritabanı bağlantı yapılandırmalarını alın. Kullanmak istediğiniz kimlik doğrulama türü için kod parçacığının bölümünü açıklamayı kaldırın.

   import sql from 'mssql';
   
   const server = process.env.AZURE_SQL_SERVER;
   const database = process.env.AZURE_SQL_DATABASE;
   const port = parseInt(process.env.AZURE_SQL_PORT);
   const authenticationType = process.env.AZURE_SQL_AUTHENTICATIONTYPE;
   
   // Uncomment the following lines according to the authentication type.
   // For system-assigned managed identity.
   // const config = {
   //     server,
   //     port,
   //     database,
   //     authentication: {
   //         authenticationType
   //     },
   //     options: {
   //        encrypt: true
   //     }
   // };  
   
   // For user-assigned managed identity.
   // const clientId = process.env.AZURE_SQL_CLIENTID;
   // const config = {
   //     server,
   //     port,
   //     database,
   //     authentication: {
   //         type: authenticationType
   //     },
   //     options: {
   //         encrypt: true,
   //         clientId: clientId
   //     }
   // };  
   
   this.poolconnection = await sql.connect(config);
   

Daha fazla bilgi için bkz . Microsoft SQL Server'da istemci programlama için Giriş sayfası. Daha fazla kod örneği için bkz. Service Bağlan or aracılığıyla veritabanı hizmetine parolasız bağlantı oluşturma.

MySQL için Azure Veritabanı

Kodunuzdaki MySQL için Azure Veritabanı Bağlan, tüm dil yığınları için deseni izlerDefaultAzureCredential. DefaultAzureCredential hem geliştirme ortamına hem de Azure ortamına uyum sağlayacak kadar esnektir. Yerel olarak çalışırken, oturum açmış Azure kullanıcısını istediğiniz ortamdan (Visual Studio, Visual Studio Code, Azure CLI veya Azure PowerShell) alabilir. Azure'da çalışırken yönetilen kimliği alır. Bu nedenle hem geliştirme zamanında hem de üretimde veritabanı bağlantısına sahip olmak mümkündür. Desen aşağıdaki gibidir:

1. Azure Identity istemci kitaplığından bir DefaultAzureCredential örneği oluşturun. Kullanıcı tarafından atanan bir kimlik kullanıyorsanız, kimliğin istemci kimliğini belirtin.
2. MySQL için Azure Veritabanı için erişim belirteci alın: https://ossrdbms-aad.database.windows.net/.default.
3. Belirteci bağlantı dizesi ekleyin.
4. Bağlantıyı açın.

.NET

.NET için, Azure.Identity gibi bir istemci kitaplığını kullanarak yönetilen kimlik için erişim belirteci alın. Ardından veritabanına bağlanmak için erişim belirtecini parola olarak kullanın. Aşağıdaki kodu kullanırken, kod parçacığının kullanmak istediğiniz kimlik doğrulama türüne karşılık gelen bölümünü açıklamayı kaldırdığınızdan emin olun.

using Azure.Core;
using Azure.Identity;
using MySqlConnector;

// Uncomment the following lines according to the authentication type.
// For system-assigned managed identity.
// var credential = new DefaultAzureCredential();

// For user-assigned managed identity.
// var credential = new DefaultAzureCredential(
//     new DefaultAzureCredentialOptions
//     {
//         ManagedIdentityClientId = Environment.GetEnvironmentVariable("AZURE_MYSQL_CLIENTID");
//     });

var tokenRequestContext = new TokenRequestContext(
    new[] { "https://ossrdbms-aad.database.windows.net/.default" });
AccessToken accessToken = await credential.GetTokenAsync(tokenRequestContext);
// Open a connection to the MySQL server using the access token.
string connectionString =
    $"{Environment.GetEnvironmentVariable("AZURE_MYSQL_CONNECTIONSTRING")};Password={accessToken.Token}";

using var connection = new MySqlConnection(connectionString);
Console.WriteLine("Opening connection using access token...");
await connection.OpenAsync();

// do something

Java

1. pom.xml dosyanıza aşağıdaki bağımlılıkları ekleyin:

   <dependency>
       <groupId>mysql</groupId>
       <artifactId>mysql-connector-java</artifactId>
       <version>8.0.30</version>
   </dependency>
   <dependency>
       <groupId>com.azure</groupId>
       <artifactId>azure-identity-extensions</artifactId>
       <version>1.1.5</version>
   </dependency>
   

2. Ortam değişkeninden bağlantı dizesi alın ve veritabanına bağlanmak için eklenti adını ekleyin:

   String url = System.getenv("AZURE_MYSQL_CONNECTIONSTRING");  
   String pluginName = "com.azure.identity.extensions.jdbc.mysql.AzureMysqlAuthenticationPlugin";
   Connection connection = DriverManager.getConnection(url + "&defaultAuthenticationPlugin=" +
       pluginName + "&authenticationPlugins=" + pluginName);
   

Daha fazla bilgi için bkz. MySQL için Azure Veritabanı - Esnek Sunucu ile Java ve JDBC kullanma.

Python

1. Bağımlılıkları yükleyin.

   pip install azure-identity
   # install Connector/Python https://dev.mysql.com/doc/connector-python/en/connector-python-installation.html
   pip install mysql-connector-python
   

2. Kitaplıktan bir erişim belirteci ile kimlik doğrulaması.azure-identity Service Bağlan or tarafından eklenen ortam değişkeninden bağlantı bilgilerini alın. Aşağıdaki kodu kullanırken, kod parçacığının kullanmak istediğiniz kimlik doğrulama türüne karşılık gelen bölümünü açıklamayı kaldırdığınızdan emin olun.

   from azure.identity import ManagedIdentityCredential, ClientSecretCredential
   import mysql.connector
   import os
   
   # Uncomment the following lines according to the authentication type.
   # For system-assigned managed identity.
   # cred = ManagedIdentityCredential()    
   
   # For user-assigned managed identity.
   # managed_identity_client_id = os.getenv('AZURE_MYSQL_CLIENTID')
   # cred = ManagedIdentityCredential(client_id=managed_identity_client_id)
   
   # acquire token
   accessToken = cred.get_token('https://ossrdbms-aad.database.windows.net/.default')
   
   # open connect to Azure MySQL with the access token.
   host = os.getenv('AZURE_MYSQL_HOST')
   database = os.getenv('AZURE_MYSQL_NAME')
   user = os.getenv('AZURE_MYSQL_USER')
   password = accessToken.token
   
   cnx = mysql.connector.connect(user=user,
                                 password=password,
                                 host=host,
                                 database=database)
   cnx.close()
   
   

NodeJS

1. Bağımlılıkları yükleyin.

   npm install --save @azure/identity
   npm install --save mysql2
   

2. Service Bağlan or tarafından eklenen ortam değişkenlerinden ve Azure MySQL veritabanı bilgilerini kullanarak @azure/identity bir erişim belirteci alın. Aşağıdaki kodu kullanırken, kod parçacığının kullanmak istediğiniz kimlik doğrulama türüne karşılık gelen bölümünü açıklamayı kaldırdığınızdan emin olun.

   import { DefaultAzureCredential,ClientSecretCredential } from "@azure/identity";
   
   const mysql = require('mysql2');
   
   // Uncomment the following lines according to the authentication type.
   // for system-assigned managed identity
   // const credential = new DefaultAzureCredential();
   
   // for user-assigned managed identity
   // const clientId = process.env.AZURE_MYSQL_CLIENTID;
   // const credential = new DefaultAzureCredential({
   //    managedIdentityClientId: clientId
   // });
   
   // acquire token
   var accessToken = await credential.getToken('https://ossrdbms-aad.database.windows.net/.default');
   
   const connection = mysql.createConnection({
     host: process.env.AZURE_MYSQL_HOST,
     user: process.env.AZURE_MYSQL_USER,
     password: accessToken.token,
     database: process.env.AZURE_MYSQL_DATABASE,
     port: process.env.AZURE_MYSQL_PORT,
     ssl: process.env.AZURE_MYSQL_SSL
   });
   
   connection.connect((err) => {
     if (err) {
       console.error('Error connecting to MySQL database: ' + err.stack);
       return;
     }
     console.log('Connected to MySQL database');
   });
   

Daha fazla kod örneği için bkz. Service Bağlan or aracılığıyla veritabanı hizmetine parolasız bağlantı oluşturma.

PostgreSQL için Azure Veritabanı

Kodunuzdaki PostgreSQL için Azure Veritabanı Bağlan, tüm dil yığınları için deseni izlerDefaultAzureCredential. DefaultAzureCredential hem geliştirme ortamına hem de Azure ortamına uyum sağlayacak kadar esnektir. Yerel olarak çalışırken, oturum açmış Azure kullanıcısını istediğiniz ortamdan (Visual Studio, Visual Studio Code, Azure CLI veya Azure PowerShell) alabilir. Azure'da çalışırken yönetilen kimliği alır. Bu nedenle hem geliştirme zamanında hem de üretimde veritabanı bağlantısına sahip olmak mümkündür. Desen aşağıdaki gibidir:

1. Azure Identity istemci kitaplığından bir DefaultAzureCredential örneği oluşturun. Kullanıcı tarafından atanan bir kimlik kullanıyorsanız, kimliğin istemci kimliğini belirtin.
2. PostgreSQL için Azure Veritabanı için erişim belirteci alın: https://ossrdbms-aad.database.windows.net/.default.
3. Belirteci bağlantı dizesi ekleyin.
4. Bağlantıyı açın.

.NET

.NET için, Azure.Identity gibi bir istemci kitaplığını kullanarak yönetilen kimlik için erişim belirteci alın. Ardından veritabanına bağlanmak için erişim belirtecini parola olarak kullanın. Aşağıdaki kodu kullanırken, kod parçacığının kullanmak istediğiniz kimlik doğrulama türüne karşılık gelen bölümünü açıklamayı kaldırdığınızdan emin olun.

using Azure.Identity;
using Azure.Core;
using Npgsql;

// Uncomment the following lines according to the authentication type.
// For system-assigned identity.
// var sqlServerTokenProvider = new DefaultAzureCredential();

// For user-assigned identity.
// var sqlServerTokenProvider = new DefaultAzureCredential(
//     new DefaultAzureCredentialOptions
//     {
//         ManagedIdentityClientId = Environment.GetEnvironmentVariable("AZURE_POSTGRESQL_CLIENTID");
//     }
// );

// Acquire the access token. 
AccessToken accessToken = await sqlServerTokenProvider.GetTokenAsync(
    new TokenRequestContext(scopes: new string[]
    {
        "https://ossrdbms-aad.database.windows.net/.default"
    }));

// Combine the token with the connection string from the environment variables provided by Service Connector.
string connectionString =
    $"{Environment.GetEnvironmentVariable("AZURE_POSTGRESQL_CONNECTIONSTRING")};Password={accessToken.Token}";

// Establish the connection.
using (var connection = new NpgsqlConnection(connectionString))
{
    Console.WriteLine("Opening connection using access token...");
    connection.Open();
}

Java

1. pom.xml dosyanıza aşağıdaki bağımlılıkları ekleyin:

   <dependency>
       <groupId>org.postgresql</groupId>
       <artifactId>postgresql</artifactId>
       <version>42.3.6</version>
   </dependency>
   <dependency>
       <groupId>com.azure</groupId>
       <artifactId>azure-identity-extensions</artifactId>
       <version>1.1.5</version>
   </dependency>
   

2. Ortam değişkenlerinden bağlantı dizesi alın ve veritabanına bağlanmak için eklenti adını ekleyin:

   import java.sql.*;
   
   String url = System.getenv("AZURE_POSTGRESQL_CONNECTIONSTRING");
   String pluginName = "com.Azure.identity.extensions.jdbc.postgresql.AzurePostgresqlAuthenticationPlugin";  
   Connection connection = DriverManager.getConnection(url + "&authenticationPluginClassName=" + pluginName);
   

Daha fazla bilgi edinmek için aşağıdaki kaynaklara bakın:

• Öğretici: Yönetilen kimlik kullanan gizli diziler olmadan Java Tomcat App Service'ten Postgre SQL Veritabanı'ye Bağlan
• Hızlı Başlangıç: PostgreSQL için Azure Veritabanı Esnek Sunucu ile Java ve JDBC kullanma

Python

1. Bağımlılıkları yükleyin.

   pip install azure-identity
   pip install psycopg2-binary
   

2. Kitaplıktan azure-identity bir erişim belirteci ile kimlik doğrulaması yapın ve belirteci parola olarak kullanın. Service Bağlan or tarafından eklenen ortam değişkenlerinden bağlantı bilgilerini alın. Aşağıdaki kodu kullanırken, kod parçacığının kullanmak istediğiniz kimlik doğrulama türüne karşılık gelen bölümünü açıklamayı kaldırdığınızdan emin olun.

   from azure.identity import DefaultAzureCredential
   import psycopg2
   
   # Uncomment the following lines according to the authentication type.
   # For system-assigned identity.
   # cred = DefaultAzureCredential()
   
   # For user-assigned identity.
   # managed_identity_client_id = os.getenv('AZURE_POSTGRESQL_CLIENTID')
   # cred = ManagedIdentityCredential(client_id=managed_identity_client_id)   
   
   # Acquire the access token
   accessToken = cred.get_token('https://ossrdbms-aad.database.windows.net/.default')
   
   # Combine the token with the connection string from the environment variables added by Service Connector to establish the connection.
   conn_string = os.getenv('AZURE_POSTGRESQL_CONNECTIONSTRING')
   conn = psycopg2.connect(conn_string + ' password=' + accessToken.token) 
   

NodeJS

1. Bağımlılıkları yükleyin.

   npm install --save @azure/identity
   npm install --save pg
   

2. Kodda, Service Bağlan or hizmeti tarafından eklenen ortam değişkenlerinden ve PostgreSQL bağlantı bilgileri aracılığıyla @azure/identity erişim belirtecini alın. Bağlantıyı kurmak için bunları birleştirin. Aşağıdaki kodu kullanırken, kod parçacığının kullanmak istediğiniz kimlik doğrulama türüne karşılık gelen bölümünü açıklamayı kaldırdığınızdan emin olun.

   import { DefaultAzureCredential, ClientSecretCredential } from "@azure/identity";
   const { Client } = require('pg');
   
   // Uncomment the following lines according to the authentication type.  
   // For system-assigned identity.
   // const credential = new DefaultAzureCredential();
   
   // For user-assigned identity.
   // const clientId = process.env.AZURE_POSTGRESQL_CLIENTID;
   // const credential = new DefaultAzureCredential({
   //     managedIdentityClientId: clientId
   // });
   
   // Acquire the access token.
   var accessToken = await credential.getToken('https://ossrdbms-aad.database.windows.net/.default');
   
   // Use the token and the connection information from the environment variables added by Service Connector to establish the connection.
   (async () => {
   const client = new Client({
       host: process.env.AZURE_POSTGRESQL_HOST,
       user: process.env.AZURE_POSTGRESQL_USER,
       password: accesstoken.token,
       database: process.env.AZURE_POSTGRESQL_DATABASE,
       port: Number(process.env.AZURE_POSTGRESQL_PORT) ,
       ssl: process.env.AZURE_POSTGRESQL_SSL
   });
   await client.connect();
   
   await client.end();
   })();
   

Daha fazla kod örneği için bkz. Service Bağlan or aracılığıyla veritabanı hizmetine parolasız bağlantı oluşturma.

4. Geliştirme ortamınızı ayarlama

Bu örnek kod, Microsoft Entra Id'den Azure veritabanınız için kullanılabilir bir belirteç almak için kullanır DefaultAzureCredential ve ardından bunu veritabanı bağlantısına ekler. 'yi özelleştirebilirsiniz DefaultAzureCredentialancak varsayılan olarak çok yönlü bir seçenektir. Geliştirme ortamınızda veya App Service'te yerel olarak çalıştırmanıza bağlı olarak oturum açmış Microsoft Entra kullanıcısından veya yönetilen kimlikten bir belirteç alır.

Daha fazla değişiklik yapılmadan kodunuz Azure'da çalıştırılmaya hazırdır. Ancak kodunuzun hatalarını yerel olarak ayıklamak için geliştirme ortamınızın oturum açmış bir Microsoft Entra kullanıcısı olması gerekir. Bu adımda, Microsoft Entra kullanıcınızla oturum açarak tercih ettiğiniz ortamı yapılandıracaksınız.

Visual Studio Windows

1. Windows için Visual Studio, Microsoft Entra kimlik doğrulamasıyla tümleşiktir. Visual Studio'da geliştirme ve hata ayıklamayı etkinleştirmek için, menüden Dosya>Hesabı Ayarlar'ni seçerek Microsoft Entra kullanıcınızı Visual Studio'ya ekleyin ve Oturum aç veya Ekle'yi seçin.

2. Azure hizmet kimlik doğrulaması için Microsoft Entra kullanıcısını ayarlamak için menüden Araçlar>Seçenekleri'ni ve ardından Azure Hizmet Kimlik Doğrulama>Hesabı Seçimi'ni seçin. Eklediğiniz Microsoft Entra kullanıcısını seçin ve Tamam'ı seçin.

macOS için Visual Studio

1. Mac için Visual Studio, Microsoft Entra kimlik doğrulamasıyla tümleştirilmemiştir. Ancak, daha sonra kullanacağınız Azure Identity istemci kitaplığı, Azure CLI'dan belirteçleri de alabilir. Visual Studio'da geliştirme ve hata ayıklamayı etkinleştirmek için yerel makinenize Azure CLI yükleyin.

2. Microsoft Entra kullanıcınızı kullanarak aşağıdaki komutla Azure CLI'da oturum açın:

   az login --allow-no-subscriptions
   

Visual Studio Code

1. Visual Studio Code, Azure uzantısı aracılığıyla Microsoft Entra kimlik doğrulamasıyla tümleşiktir. Visual Studio Code'da Azure Araçları uzantısını yükleyin.

2. Visual Studio Code'daki Etkinlik Çubuğu'nda Azure logosunu seçin.

3. App Service gezgininde Azure'da oturum aç... öğesini seçin ve yönergeleri izleyin.

Azure CLI

1. Daha sonra kullanacağınız Azure Identity istemci kitaplığı, Azure CLI'dan belirteçleri kullanabilir. Komut satırı tabanlı geliştirmeyi etkinleştirmek için yerel makinenize Azure CLI yükleyin.

2. Microsoft Entra kullanıcınızı kullanarak aşağıdaki komutla Azure'da oturum açın:

   az login --allow-no-subscriptions
   

Azure PowerShell

1. Daha sonra kullanacağınız Azure Identity istemci kitaplığı, Azure PowerShell'den belirteçleri kullanabilir. Komut satırı tabanlı geliştirmeyi etkinleştirmek için yerel makinenize Azure PowerShell'i yükleyin.

2. Microsoft Entra kullanıcınızı kullanarak aşağıdaki cmdlet ile Azure CLI'da oturum açın:

   Connect-AzAccount
   

Microsoft Entra kimlik doğrulaması için geliştirme ortamınızı ayarlama hakkında daha fazla bilgi için bkz . .NET için Azure Identity istemci kitaplığı.

Artık Microsoft Entra kimlik doğrulamasını kullanarak arka uç olarak SQL Veritabanı uygulamanızı geliştirmeye ve hatalarını ayıklamaya hazırsınız.

5. Test edin ve yayımlayın

1. Kodunuzu geliştirme ortamınızda çalıştırın. Kodunuz arka uç veritabanına bağlanmak için ortamınızdaki oturum açmış Microsoft Entra kullanıcısını kullanır. Veritabanı için Microsoft Entra yöneticisi olarak yapılandırıldığından kullanıcı veritabanına erişebilir.

2. Tercih edilen yayımlama yöntemini kullanarak kodunuzu Azure'da yayımlayın. App Service'te kodunuz arka uç veritabanına bağlanmak için uygulamanın yönetilen kimliğini kullanır.

Sık sorulan sorular

• Yönetilen kimlik SQL Server'ı destekliyor mu?
• Hatayı alıyorum Login failed for user '<token-identified principal>'.
• App Service kimlik doğrulamasında veya ilişkili uygulama kaydında değişiklikler yaptım. Neden hala eski belirteci alıyorum?
• Yönetilen kimliği bir Microsoft Entra grubuna eklemek Nasıl yaparım??
• hatasını SSL connection is required. Please specify SSL options and retryalıyorum.

Yönetilen kimlik SQL Server'ı destekliyor mu?

Microsoft Entra Kimliği ve yönetilen kimlikler, şirket içi SQL Server için desteklenmez.

Hatayı alıyorum Login failed for user '<token-identified principal>'.

Belirteç istemeye çalıştığınız yönetilen kimlik, Azure veritabanına erişme yetkisine sahip değil.

App Service kimlik doğrulamasında veya ilişkili uygulama kaydında değişiklikler yaptım. Neden hala eski belirteci alıyorum?

Yönetilen kimliklerin arka uç hizmetleri, hedef kaynağın belirtecini yalnızca süresi dolduğunda güncelleştiren bir belirteç önbelleği de tutar. Uygulamanızla belirteç almaya çalıştıktan sonra yapılandırmayı değiştirirseniz, önbelleğe alınan belirtecin süresi dolana kadar güncelleştirilmiş izinlere sahip yeni bir belirteç almazsınız. Bu sorunu geçici olarak gidermenin en iyi yolu, değişikliklerinizi yeni bir InPrivate (Edge)/private (Safari)/Incognito (Chrome) penceresiyle test etmektir. Bu şekilde, yeni bir kimliği doğrulanmış oturumdan başlayacağınızdan emin olursunuz.

Yönetilen kimliği bir Microsoft Entra grubuna eklemek Nasıl yaparım??

İsterseniz, kimliği bir Microsoft Entra grubuna ekleyebilir ve ardından kimlik yerine Microsoft Entra grubuna erişim vekleyebilirsiniz. Örneğin, aşağıdaki komutlar önceki adımdaki yönetilen kimliği myAzureSQLDBAccessGroup adlı yeni bir gruba ekler:

groupid=$(az ad group create --display-name myAzureSQLDBAccessGroup --mail-nickname myAzureSQLDBAccessGroup --query objectId --output tsv)
msiobjectid=$(az webapp identity show --resource-group <group-name> --name <app-name> --query principalId --output tsv)
az ad group member add --group $groupid --member-id $msiobjectid
az ad group member list -g $groupid

Bir Microsoft Entra grubu için veritabanı izinleri vermek için ilgili veritabanı türünün belgelerine bakın.

hatasını SSL connection is required. Please specify SSL options and retryalıyorum.

Azure veritabanına Bağlan ek ayarlar gerektirir ve bu öğreticinin kapsamı dışındadır. Daha fazla bilgi için aşağıdaki bağlantılardan birine bakın:

PostgreSQL için Azure Veritabanı TLS bağlantısını yapılandırma - Tek SunucuMySQL için Azure Veritabanı güvenli bir şekilde bağlanmak için uygulamanızda SSL bağlantısını yapılandırma

Sonraki adımlar

Öğrendikleriniz:

• Microsoft Entra kullanıcısını Azure veritabanınız için yönetici olarak yapılandırın.
• Veritabanınıza Microsoft Entra kullanıcısı olarak Bağlan.
• App Service uygulaması için sistem tarafından atanan veya kullanıcı tarafından atanan yönetilen kimliği yapılandırın.
• Yönetilen kimliğe veritabanı erişimi verme.
• Yönetilen kimlik kullanarak kodunuzdan (.NET Framework 4.8, .NET 6, Node.js, Python, Java) Azure veritabanına Bağlan.
• Microsoft Entra kullanıcısını kullanarak geliştirme ortamınızdan Azure veritabanına Bağlan.

App Service ve Azure İşlevleri için yönetilen kimlikleri kullanma

Öğretici: Yönetilen kimlik kullanarak gizli diziler olmadan .NET App Service'ten SQL Veritabanı Bağlan

Öğretici: Yönetilen kimlikleri desteklemeyen Azure hizmetlerine Bağlan (Key Vault kullanarak)

Öğretici: Sanal Ağ tümleştirmesi ile arka uç iletişimlerini yalıtma