教學課程：透過 Service 連線 or 建立資料庫服務的無密碼連線

發行項
02/02/2024

無密碼聯機會使用受控識別來存取 Azure 服務。使用這種方法，您不需要手動追蹤和管理受控識別的秘密。 Azure 會在內部安全地處理這些工作。

服務連線 or 可在 Azure Spring Apps、Azure App 服務和 Azure Container Apps 等應用程式裝載服務中啟用受控識別。服務連線 or 也會設定資料庫服務，例如適用於 PostgreSQL 的 Azure 資料庫、適用於 MySQL 的 Azure 資料庫和 Azure SQL 資料庫，以接受受控識別。

在本教學課程中，您會使用 Azure CLI 來完成下列工作：

使用 Azure CLI 檢查您的初始環境。
使用 Service 連線 or 建立無密碼連線。
使用 Service 連線 or 所產生的環境變數或組態來存取資料庫服務。

必要條件

Azure CLI 2.48.1 版或更高版本。
具有有效訂用帳戶的 Azure 帳戶。免費建立 Azure 帳戶。
部署至 Service 連線 or 所支援區域中 Azure App 服務的應用程式。

設定您的環境

客戶

透過 az login使用 Azure CLI 登入。如果您使用 Azure Cloud Shell 或已登入，請使用確認已驗證的帳戶 az account show。

安裝服務連線或無密碼擴充功能

安裝 Azure CLI 的服務連線或無密碼擴充功能：

az extension add --name serviceconnector-passwordless --upgrade

建立無密碼連線

接下來，我們會使用 Azure App 服務作為範例，以使用受控識別建立連線。

如果您使用：

Azure Spring Apps：請改用 az spring connection create 。如需更多範例，請參閱將 Azure Spring Apps 連線至 Azure 資料庫。
Azure Container Apps：請改用 az containerapp connection create 。如需更多範例，請參閱建立 PostgreSQL 資料庫與身分識別連線能力。

注意

如果您使用 Azure 入口網站，請移至 Azure App 服務、Azure Spring Apps 或 Azure Container Apps 的服務連線 or 刀鋒視窗，然後選取 [建立] 以建立連線。 Azure 入口網站會自動為您撰寫命令，並在 Cloud Shell 上觸發命令執行。

下列 Azure CLI 命令會使用 --client-type 參數。 az webapp connection create postgres-flexible -h執行以取得支援的用戶端類型，然後選擇符合您應用程式的客戶端類型。

az webapp connection create postgres-flexible \
    --resource-group $RESOURCE_GROUP \
    --name $APPSERVICE_NAME \
    --target-resource-group $RESOURCE_GROUP \
    --server $POSTGRESQL_HOST \
    --database $DATABASE_NAME \
    --user-identity client-id=XX subs-id=XX \
    --client-type java

az webapp connection create postgres-flexible \
    --resource-group $RESOURCE_GROUP \
    --name $APPSERVICE_NAME \
    --target-resource-group $RESOURCE_GROUP \
    --server $POSTGRESQL_HOST \
    --database $DATABASE_NAME \
    --system-identity \
    --client-type java

az webapp connection create postgres-flexible \
    --resource-group $RESOURCE_GROUP \
    --name $APPSERVICE_NAME \
    --target-resource-group $RESOURCE_GROUP \
    --server $POSTGRESQL_HOST \
    --database $DATABASE_NAME \
    --service-principal client-id=XX secret=XX\
    --client-type java

適用於 MySQL 的 Azure 資料庫 - 彈性伺服器需要使用者指派的受控識別，才能啟用 Microsoft Entra 驗證。如需詳細資訊，請參閱為適用於 MySQL 的 Azure 資料庫 - 彈性伺服器設定 Microsoft Entra 驗證。您可以使用下列命令來建立使用者指派的受控識別：

USER_IDENTITY_NAME=<YOUR_USER_ASSIGNED_MANAGEMED_IDENTITY_NAME>
IDENTITY_RESOURCE_ID=$(az identity create \
    --name $USER_IDENTITY_NAME \
    --resource-group $RESOURCE_GROUP \
    --query id \
    --output tsv)

重要

建立使用者指派的受控識別之後，請要求全域管理員 istrator 或 Privileged Role 管理員 istrator 授與此身分識別的下列許可權：

User.Read.All
GroupMember.Read.All
Application.Read.All

如需詳細資訊，請參閱 Active Directory 驗證的許可權一節。

然後，使用服務連線 or，將您的應用程式連線到具有系統指派受控識別的 MySQL 資料庫。

下列 Azure CLI 命令會使用 --client-type 參數。 az webapp connection create mysql-flexible -h執行以取得支援的用戶端類型，然後選擇符合您應用程式的客戶端類型。

az webapp connection create mysql-flexible \
    --resource-group $RESOURCE_GROUP \
    --name $APPSERVICE_NAME \
    --target-resource-group $RESOURCE_GROUP \
    --server $MYSQL_HOST \
    --database $DATABASE_NAME \
    --user-identity client-id=XX subs-id=XX mysql-identity-id=$IDENTITY_RESOURCE_ID \
    --client-type java

az webapp connection create mysql-flexible \
    --resource-group $RESOURCE_GROUP \
    --name $APPSERVICE_NAME \
    --target-resource-group $RESOURCE_GROUP \
    --server $MYSQL_HOST \
    --database $DATABASE_NAME \
    --system-identity mysql-identity-id=$IDENTITY_RESOURCE_ID \
    --client-type java

az webapp connection create mysql-flexible \
    --resource-group $RESOURCE_GROUP \
    --name $APPSERVICE_NAME \
    --target-resource-group $RESOURCE_GROUP \
    --server $MYSQL_HOST \
    --database $DATABASE_NAME \
    --service-principal client-id=XX secret=XX mysql-identity-id=$IDENTITY_RESOURCE_ID \
    --client-type java

下列 Azure CLI 命令會使用 --client-type 參數。 az webapp connection create sql -h執行以取得支援的用戶端類型，然後選擇符合您應用程式的客戶端類型。

az webapp connection create sql \
    --resource-group $RESOURCE_GROUP \
    --name $APPSERVICE_NAME \
    --target-resource-group $RESOURCE_GROUP \
    --server $SQL_HOST \
    --database $DATABASE_NAME \
    --user-identity client-id=XX subs-id=XX \
    --client-type dotnet

az webapp connection create sql \
    --resource-group $RESOURCE_GROUP \
    --name $APPSERVICE_NAME \
    --target-resource-group $RESOURCE_GROUP \
    --server $SQL_HOST \
    --database $DATABASE_NAME \
    --system-identity \
    --client-type dotnet

az webapp connection create sql \
    --resource-group $RESOURCE_GROUP \
    --name $APPSERVICE_NAME \
    --target-resource-group $RESOURCE_GROUP \
    --server $SQL_HOST \
    --database $DATABASE_NAME \
    --service-principal client-id=XX secret=XX \
    --client-type dotnet

此服務連線 or 命令會在背景中完成下列工作：

啟用系統指派的受控識別，或為 Azure App 服務/Azure Spring Apps/Azure Container Apps 所裝載的應用程式$APPSERVICE_NAME指派使用者身分識別。
將 Microsoft Entra 系統管理員設定為目前的登入使用者。
為系統指派的受控識別、使用者指派的受控識別或服務主體新增資料庫使用者。將資料庫 $DATABASE_NAME 的所有許可權授與此使用者。您可以在上述命令輸出中的連接字串中找到使用者名稱。
根據資料庫類型，將名為 AZURE_MYSQL_CONNECTIONSTRING、 AZURE_POSTGRESQL_CONNECTIONSTRING或 AZURE_SQL_CONNECTIONSTRING 的組態設定為 Azure 資源。
- 針對 App Service，設定會在 [應用程式設定] 刀鋒視窗中設定。
- 針對 Spring Apps，會在啟動應用程式時設定組態。
- 針對 Container Apps，組態會設定為環境變數。您可以在 Azure 入口網站的 [服務連線 or] 刀鋒視窗中取得所有設定及其值。

使用 Microsoft Entra 驗證連線至資料庫

建立連線之後，您可以使用應用程式中的連接字串，使用 Microsoft Entra 驗證連線到資料庫。例如，您可以使用下列解決方案，透過 Microsoft Entra 驗證連線到資料庫。

針對 .NET，沒有外掛程式或連結庫可支持無密碼連線。您可以使用 Azure.Identity 之類的客戶端連結庫，取得受控識別或服務主體的存取令牌。然後，您可以使用存取令牌作為密碼來連線到資料庫。使用下列程式代碼時，請取消批註您想要使用的驗證類型代碼段部分。

using Azure.Identity;
using Azure.Core;
using Npgsql;

// Uncomment the following lines according to the authentication type.
// For system-assigned identity.
// var sqlServerTokenProvider = new DefaultAzureCredential();

// For user-assigned identity.
// var sqlServerTokenProvider = new DefaultAzureCredential(
//     new DefaultAzureCredentialOptions
//     {
//         ManagedIdentityClientId = Environment.GetEnvironmentVariable("AZURE_POSTGRESQL_CLIENTID");
//     }
// );

// For service principal.
// var tenantId = Environment.GetEnvironmentVariable("AZURE_POSTGRESQL_TENANTID");
// var clientId = Environment.GetEnvironmentVariable("AZURE_POSTGRESQL_CLIENTID");
// var clientSecret = Environment.GetEnvironmentVariable("AZURE_POSTGRESQL_CLIENTSECRET");
// var sqlServerTokenProvider = new ClientSecretCredential(tenantId, clientId, clientSecret);

// Acquire the access token. 
AccessToken accessToken = await sqlServerTokenProvider.GetTokenAsync(
    new TokenRequestContext(scopes: new string[]
    {
        "https://ossrdbms-aad.database.windows.net/.default"
    }));

// Combine the token with the connection string from the environment variables provided by Service Connector.
string connectionString =
    $"{Environment.GetEnvironmentVariable("AZURE_POSTGRESQL_CONNECTIONSTRING")};Password={accessToken.Token}";

// Establish the connection.
using (var connection = new NpgsqlConnection(connectionString))
{
    Console.WriteLine("Opening connection using access token...");
    connection.Open();
}

在您的pom.xml檔案中新增下列相依性：

<dependency>
    <groupId>org.postgresql</groupId>
    <artifactId>postgresql</artifactId>
    <version>42.3.6</version>
</dependency>
<dependency>
    <groupId>com.azure</groupId>
    <artifactId>azure-identity-extensions</artifactId>
    <version>1.1.5</version>
</dependency>

從環境變數取得連接字串，並新增外掛程式名稱以連線到資料庫：

import java.sql.*;

String url = System.getenv("AZURE_POSTGRESQL_CONNECTIONSTRING");
String pluginName = "com.Azure.identity.extensions.jdbc.postgresql.AzurePostgresqlAuthenticationPlugin";  
Connection connection = DriverManager.getConnection(url + "&authenticationPluginClassName=" + pluginName);

如需詳細資訊，請參閱以下資源：

如果是 Spring 應用程式，如果您建立具有選項--client-type springboot的連線，則 Service 連線 or 會將屬性 spring.datasource.azure.passwordless-enabled、 spring.datasource.url和 spring.datasource.username 設定為 Azure Spring Apps。

遵循將適用於 PostgreSQL 的 Azure 資料庫系結至 Azure Spring Apps 中的應用程式教學課程，更新您的應用程式。 spring.datasource.password請記得在之前設定組態屬性，並將正確的相依性新增至 Spring 應用程式。

如需更多教學課程，請參閱搭配使用 Spring Data JDBC 搭配適用於 PostgreSQL 的 Azure 資料庫和教學課程：使用無密碼連線至 Azure 資料庫的 Spring 應用程式至 Azure Spring Apps。

安裝相依性。

pip install azure-identity
pip install psycopg2-binary

使用連結庫取得 azure-identity 存取令牌，並使用令牌作為密碼。從 Service 連線 or 所新增的環境變數取得連線資訊。使用下列程式代碼時，請取消批註您想要使用的驗證類型代碼段部分。

from azure.identity import DefaultAzureCredential
import psycopg2

# Uncomment the following lines according to the authentication type.
# For system-assigned identity.
# cred = DefaultAzureCredential()

# For user-assigned identity.
# managed_identity_client_id = os.getenv('AZURE_POSTGRESQL_CLIENTID')
# cred = ManagedIdentityCredential(client_id=managed_identity_client_id)   

# For service principal.
# tenant_id = os.getenv('AZURE_POSTGRESQL_TENANTID')
# client_id = os.getenv('AZURE_POSTGRESQL_CLIENTID')
# client_secret = os.getenv('AZURE_POSTGRESQL_CLIENTSECRET')
# cred = ClientSecretCredential(tenant_id=tenant_id, client_id=client_id, client_secret=client_secret)

# Acquire the access token
accessToken = cred.get_token('https://ossrdbms-aad.database.windows.net/.default')

# Combine the token with the connection string from the environment variables added by Service Connector to establish the connection.
conn_string = os.getenv('AZURE_POSTGRESQL_CONNECTIONSTRING')
conn = psycopg2.connect(conn_string + ' password=' + accessToken.token)

安裝相依性。
```
pip install azure-identity
```

使用 Service 連線 or 新增的環境變數，使用azure-identity連結庫取得存取令牌。使用下列程式代碼時，請取消批註您想要使用的驗證類型代碼段部分。

from azure.identity import DefaultAzureCredential
import psycopg2

# Uncomment the following lines according to the authentication type.
# For system-assigned identity.
# credential = DefaultAzureCredential()

# For user-assigned identity.
# managed_identity_client_id = os.getenv('AZURE_POSTGRESQL_CLIENTID')
# cred = ManagedIdentityCredential(client_id=managed_identity_client_id)    

# For service principal.
# tenant_id = os.getenv('AZURE_POSTGRESQL_TENANTID')
# client_id = os.getenv('AZURE_POSTGRESQL_CLIENTID')
# client_secret = os.getenv('AZURE_POSTGRESQL_CLIENTSECRET')
# cred = ClientSecretCredential(tenant_id=tenant_id, client_id=client_id, client_secret=client_secret)

# Acquire the access token.
accessToken = cred.get_token('https://ossrdbms-aad.database.windows.net/.default')

在配置檔中，從 Service 連線 or 服務新增的環境變數取得 Azure PostgreSQL 資料庫資訊。使用 accessToken 在上一個步驟中取得來存取資料庫。

# In your setting file, eg. settings.py
host = os.getenv('AZURE_POSTGRESQL_HOST')
user = os.getenv('AZURE_POSTGRESQL_USER')
password = accessToken.token # this is accessToken acquired from above step.
database = os.getenv('AZURE_POSTGRESQL_NAME')

DATABASES = {
    'default': {
        'ENGINE': 'django.db.backends.postgresql_psycopg2',
        'NAME': database,
        'USER': user,
        'PASSWORD': password,
        'HOST': host,
        'PORT': '5432',  # Port is 5432 by default 
        'OPTIONS': {'sslmode': 'require'},
    }
}

安裝相依性。

go get github.com/lib/pq
go get "github.com/Azure/azure-sdk-for-go/sdk/azidentity"
go get "github.com/Azure/azure-sdk-for-go/sdk/azcore"

在程式代碼中，使用 azidentity取得存取令牌，然後使用它作為密碼來連線到 Azure PostgreSQL，以及 Service 連線 or 所提供的連線資訊。使用下列程式代碼時，請取消批註您想要使用的驗證類型代碼段部分。

import (
"database/sql"
"fmt"
"os"

"context"

"github.com/Azure/azure-sdk-for-go/sdk/azcore/policy"
"github.com/Azure/azure-sdk-for-go/sdk/azidentity"

 _ "github.com/lib/pq"
)    

// Uncomment the following lines according to the authentication type.
// For system-assigned identity.
// cred, err := azidentity.NewDefaultAzureCredential(nil)

// For user-assigned identity.
// clientid := os.Getenv("AZURE_POSTGRESQL_CLIENTID")
// azidentity.ManagedIdentityCredentialOptions.ID := clientid
// options := &azidentity.ManagedIdentityCredentialOptions{ID: clientid}
// cred, err := azidentity.NewManagedIdentityCredential(options)

// For service principal.
// clientid := os.Getenv("AZURE_POSTGRESQL_CLIENTID")
// tenantid := os.Getenv("AZURE_POSTGRESQL_TENANTID")
// clientsecret := os.Getenv("AZURE_POSTGRESQL_CLIENTSECRET")
// cred, err := azidentity.NewClientSecretCredential(tenantid, clientid, clientsecret, &azidentity.ClientSecretCredentialOptions{})

if err != nil {
    // error handling
}

// Acquire the access token
ctx, cancel := context.WithTimeout(context.Background(), 30*time.Second)
token, err := cred.GetToken(ctx, policy.TokenRequestOptions{
    Scopes: []string("https://ossrdbms-aad.database.windows.net/.default"),
})

// Combine the token with the connection string from the environment variables added by Service Connector to establish the connection.
connectionString := os.Getenv("AZURE_POSTGRESQL_CONNECTIONSTRING") + " password=" + token.Token

conn, err := sql.Open("postgres", connectionString)
 if err != nil {
 	panic(err)
 }

 conn.Close()

安裝相依性。

npm install --save @azure/identity
npm install --save pg

在程式代碼中，使用 @azure/identity 和 PostgreSQL 連線資訊，從 Service 連線 or 服務新增的環境變數取得存取令牌。將它們結合以建立連線。使用下列程式代碼時，請取消批註您想要使用的驗證類型代碼段部分。

import { DefaultAzureCredential, ClientSecretCredential } from "@azure/identity";
const { Client } = require('pg');

// Uncomment the following lines according to the authentication type.  
// For system-assigned identity.
// const credential = new DefaultAzureCredential();

// For user-assigned identity.
// const clientId = process.env.AZURE_POSTGRESQL_CLIENTID;
// const credential = new DefaultAzureCredential({
//     managedIdentityClientId: clientId
// });

// For service principal.
// const tenantId = process.env.AZURE_POSTGRESQL_TENANTID;
// const clientId = process.env.AZURE_POSTGRESQL_CLIENTID;
// const clientSecret = process.env.AZURE_POSTGRESQL_CLIENTSECRET;

// Acquire the access token.
var accessToken = await credential.getToken('https://ossrdbms-aad.database.windows.net/.default');

// Use the token and the connection information from the environment variables added by Service Connector to establish the connection.
(async () => {
const client = new Client({
    host: process.env.AZURE_POSTGRESQL_HOST,
    user: process.env.AZURE_POSTGRESQL_USER,
    password: accesstoken.token,
    database: process.env.AZURE_POSTGRESQL_DATABASE,
    port: Number(process.env.AZURE_POSTGRESQL_PORT) ,
    ssl: process.env.AZURE_POSTGRESQL_SSL
});
await client.connect();

await client.end();
})();

針對 PHP，沒有無密碼連線的外掛程式或連結庫。您可以取得受控識別或服務主體的存取令牌，並將其作為聯機到資料庫的密碼。您可以使用 Azure REST API 取得存取權杖。

在程式代碼中，使用 REST API 搭配您慣用的連結庫來取得存取令牌。

針對使用者指派的身分識別和系統指派的身分識別，App Service 和 Container Apps 提供內部可存取的 REST 端點，藉由定義兩個環境變數來擷取受控識別的令牌： IDENTITY_ENDPOINT 和 IDENTITY_HEADER。如需詳細資訊，請參閱 REST 端點參考。對身分識別端點提出 HTTP GET 要求，並在 https://ossrdbms-aad.database.windows.net 查詢中使用， resource 以取得存取令牌。針對使用者指派的身分識別，請同時在查詢中包含 Service 連線 or 所新增環境變數的用戶端識別符。

如需服務主體，請參閱 Azure AD 服務對服務存取令牌要求，以查看如何取得存取令牌的詳細數據。從 Service 連線 or 所新增的環境變數，將 POST 要求設為和的範圍https://ossrdbms-aad.database.windows.net/.default，以及服務主體的租使用者標識碼、用戶端標識碼和客戶端密碼。

結合 Service 連線 or 服務所新增環境變數的存取令牌和 PostgreSQL 連線 sting，以建立連線。

<?php
$conn_string = sprintf("%s password=", getenv('AZURE_POSTGRESQL_CONNECTIONSTRING'), $access_token);
$dbconn = pg_connect($conn_string);
?>

針對 Ruby，沒有無密碼連線的外掛程式或連結庫。您可以取得受控識別或服務主體的存取令牌，並將其作為聯機到資料庫的密碼。您可以使用 Azure REST API 取得存取權杖。

安裝相依性。
```
gem install pg
```

在程序代碼中，使用 REST API 和 PostgreSQL 連線資訊，從 Service 連線 or 服務所新增的環境變數取得存取令牌。將它們結合以建立連線。使用下列程式代碼時，請取消批註您想要使用的驗證類型代碼段部分。

App Service 和容器應用程式提供可內部存取的 REST 端點，以擷取受控識別的令牌。如需詳細資訊，請參閱 REST 端點參考。

require 'pg'
require 'dotenv/load'
require 'net/http'
require 'json'

# Uncomment the following lines according to the authentication type.
# For system-assigned identity.
# uri = URI(ENV['IDENTITY_ENDPOINT'] + '?resource=https://ossrdbms-aad.database.windows.net&api-version=2019-08-01')
# res = Net::HTTP.get_response(uri, {'X-IDENTITY-HEADER' => ENV['IDENTITY_HEADER'], 'Metadata' => 'true'})  

# For user-assigned identity.
# uri = URI(ENV[IDENTITY_ENDPOINT] + '?resource=https://ossrdbms-aad.database.windows.net&api-version=2019-08-01&client-id=' + ENV['AZURE_POSTGRESQL_CLIENTID'])
# res = Net::HTTP.get_response(uri, {'X-IDENTITY-HEADER' => ENV['IDENTITY_HEADER'], 'Metadata' => 'true'})  

# For service principal
# uri = URI('https://login.microsoftonline.com/' + ENV['AZURE_POSTGRESQL_TENANTID'] + '/oauth2/v2.0/token')
# params = {
#     :grant_type => 'client_credentials',
#     :client_id: => ENV['AZURE_POSTGRESQL_CLIENTID'],
#     :client_secret => ENV['AZURE_POSTGRESQL_CLIENTSECRET'],
#     :scope => 'https://ossrdbms-aad.database.windows.net/.default'
# }
# req = Net::HTTP::POST.new(uri)
# req.set_form_data(params)
# req['Content-Type'] = 'application/x-www-form-urlencoded'
# res = Net::HTTP.start(uri.hostname, uri.port, :use_ssl => true) do |http|
#   http.request(req)

parsed = JSON.parse(res.body)
access_token = parsed["access_token"]

# Use the token and the connection string from the environment variables added by Service Connector to establish the connection.
conn = PG::Connection.new(
    connection_string: ENV['AZURE_POSTGRESQL_CONNECTIONSTRING'] + " password="  + access_token,
)

如需如何取得服務主體存取令牌的詳細資訊，請參閱 Azure AD 服務對服務存取令牌要求。

接下來，如果您已在 PostgreSQL 彈性伺服器中建立數據表和序列，再使用 Service 連線 or，您必須連線為擁有者，並授與 Service 連線 or 所建立的許可權<aad-username>。 Service 連線 or 所設定之連接字串或組態的使用者名稱看起來應該像 aad_<connection name>。如果您使用 Azure 入口網站，請選取數據行旁邊的Service Type展開按鈕並取得值。如果您使用 Azure CLI，請檢查 configurations CLI 命令輸出。

然後，執行查詢以授與許可權

az extension add --name rdbms-connect

az postgres flexible-server execute -n <postgres-name> -u <owner-username> -p "<owner-password>" -d <database-name> --querytext "GRANT ALL PRIVILEGES ON ALL TABLES IN SCHEMA public TO \"<aad-username>\";GRANT ALL PRIVILEGES ON ALL SEQUENCES IN SCHEMA public TO \"<aad username>\";"

<owner-username>和 <owner-password> 是現有數據表的擁有者，可以授與其他數據表的許可權。 <aad-username>是 Service 連線 or 所建立的使用者。以實際值取代它們。

使用命令驗證結果：

az postgres flexible-server execute -n <postgres-name> -u <owner-username> -p "<owner-password>" -d <database-name> --querytext "SELECT distinct(table_name) FROM information_schema.table_privileges WHERE grantee='<aad-username>' AND table_schema='public';" --output table

using Azure.Core;
using Azure.Identity;
using MySqlConnector;

// Uncomment the following lines according to the authentication type.
// For system-assigned managed identity.
// var credential = new DefaultAzureCredential();

// For user-assigned managed identity.
// var credential = new DefaultAzureCredential(
//     new DefaultAzureCredentialOptions
//     {
//         ManagedIdentityClientId = Environment.GetEnvironmentVariable("AZURE_MYSQL_CLIENTID");
//     });

// For service principal.
// var tenantId = Environment.GetEnvironmentVariable("AZURE_MYSQL_TENANTID");
// var clientId = Environment.GetEnvironmentVariable("AZURE_MYSQL_CLIENTID");
// var clientSecret = Environment.GetEnvironmentVariable("AZURE_MYSQL_CLIENTSECRET");
// var credential = new ClientSecretCredential(tenantId, clientId, clientSecret);

var tokenRequestContext = new TokenRequestContext(
    new[] { "https://ossrdbms-aad.database.windows.net/.default" });
AccessToken accessToken = await credential.GetTokenAsync(tokenRequestContext);
// Open a connection to the MySQL server using the access token.
string connectionString =
    $"{Environment.GetEnvironmentVariable("AZURE_MYSQL_CONNECTIONSTRING")};Password={accessToken.Token}";

using var connection = new MySqlConnection(connectionString);
Console.WriteLine("Opening connection using access token...");
await connection.OpenAsync();

// do something

在您的pom.xml檔案中新增下列相依性：

<dependency>
    <groupId>mysql</groupId>
    <artifactId>mysql-connector-java</artifactId>
    <version>8.0.30</version>
</dependency>
<dependency>
    <groupId>com.azure</groupId>
    <artifactId>azure-identity-extensions</artifactId>
    <version>1.1.5</version>
</dependency>

從環境變數取得連接字串，並新增外掛程式名稱以連線到資料庫：

String url = System.getenv("AZURE_MYSQL_CONNECTIONSTRING");  
String pluginName = "com.azure.identity.extensions.jdbc.mysql.AzureMysqlAuthenticationPlugin";
Connection connection = DriverManager.getConnection(url + "&defaultAuthenticationPlugin=" +
    pluginName + "&authenticationPlugins=" + pluginName);

如需詳細資訊，請參閱搭配適用於 MySQL 的 Azure 資料庫使用 Java 和 JDBC - 彈性伺服器。

如果是 Spring 應用程式，如果您建立具有選項--client-type springboot的連線，則服務連線 or 會將屬性 spring.datasource.azure.passwordless-enabled、 spring.datasource.url和 spring.datasource.username 設定為 Azure Spring Apps。

遵循教學課程，將適用於 MySQL 的 Azure 資料庫實例連線至 Azure Spring Apps 中的應用程式，以更新您的應用程式。 spring.datasource.password請記得在之前設定組態屬性，並將正確的相依性新增至 Spring 應用程式。

如需更多教學課程，請參閱搭配使用 Spring Data JDBC 搭配適用於 MySQL 的 Azure 資料庫

安裝相依性

pip install azure-identity
# install Connector/Python https://dev.mysql.com/doc/connector-python/en/connector-python-installation.html
pip install mysql-connector-python

透過連結azure-identity庫取得存取令牌進行驗證，並從 Service 連線 or 所新增的環境變數取得連線資訊。使用下列程式代碼時，請取消批註您想要使用的驗證類型代碼段部分。

from azure.identity import ManagedIdentityCredential, ClientSecretCredential
import mysql.connector
import os

# Uncomment the following lines according to the authentication type.
# For system-assigned managed identity.
# cred = ManagedIdentityCredential()    

# For user-assigned managed identity.
# managed_identity_client_id = os.getenv('AZURE_MYSQL_CLIENTID')
# cred = ManagedIdentityCredential(client_id=managed_identity_client_id)

# For service principal
# tenant_id = os.getenv('AZURE_MYSQL_TENANTID')
# client_id = os.getenv('AZURE_MYSQL_CLIENTID')
# client_secret = os.getenv('AZURE_MYSQL_CLIENTSECRET')
# cred = ClientSecretCredential(tenant_id=tenant_id, client_id=client_id, client_secret=client_secret)

# acquire token
accessToken = cred.get_token('https://ossrdbms-aad.database.windows.net/.default')

# open connect to Azure MySQL with the access token.
host = os.getenv('AZURE_MYSQL_HOST')
database = os.getenv('AZURE_MYSQL_NAME')
user = os.getenv('AZURE_MYSQL_USER')
password = accessToken.token

cnx = mysql.connector.connect(user=user,
                              password=password,
                              host=host,
                              database=database)
cnx.close()

安裝相依性。
```
pip install azure-identity
```

透過azure-identity連結庫取得存取令牌，其中包含 Service 連線 or 所新增的環境變數。使用下列程式代碼時，請取消批註您想要使用的驗證類型代碼段部分。

from azure.identity import ManagedIdentityCredential, ClientSecretCredential
import os

# Uncomment the following lines according to the authentication type.
# system-assigned managed identity
# cred = ManagedIdentityCredential()

# user-assigned managed identity
# managed_identity_client_id = os.getenv('AZURE_MYSQL_CLIENTID')
# cred = ManagedIdentityCredential(client_id=managed_identity_client_id)

# service principal
# tenant_id = os.getenv('AZURE_MYSQL_TENANTID')
# client_id = os.getenv('AZURE_MYSQL_CLIENTID')
# client_secret = os.getenv('AZURE_MYSQL_CLIENTSECRET')
# cred = ClientSecretCredential(tenant_id=tenant_id, client_id=client_id, client_secret=client_secret)

# acquire token
accessToken = cred.get_token('https://ossrdbms-aad.database.windows.net/.default')

在配置檔中，從 Service 連線 or 服務新增的環境變數取得 Azure MySQL 資料庫資訊。使用 accessToken 在上一個步驟中取得來存取資料庫。

# in your setting file, eg. settings.py
host = os.getenv('AZURE_MYSQL_HOST')
database = os.getenv('AZURE_MYSQL_NAME')
user = os.getenv('AZURE_MYSQL_USER')
password = accessToken.token # this is accessToken acquired from above step.

DATABASES = {
    'default': {
        'ENGINE': 'django.db.backends.mysql',
        'NAME': database,
        'USER': user,
        'PASSWORD': password,
        'HOST': host
    }
}

安裝相依性。

go get "github.com/go-sql-driver/mysql"
go get "github.com/Azure/azure-sdk-for-go/sdk/azidentity"
go get "github.com/Azure/azure-sdk-for-go/sdk/azcore"

在程式代碼中，透過 azidentity取得存取令牌，然後使用令牌連線到 Azure MySQL。使用下列程式代碼時，請取消批註您想要使用的驗證類型代碼段部分。

import (
  "context"

  "github.com/Azure/azure-sdk-for-go/sdk/azcore/policy"
  "github.com/Azure/azure-sdk-for-go/sdk/azidentity"
  "github.com/go-sql-driver/mysql"
)


func main() {

  // Uncomment the following lines according to the authentication type.
  // for system-assigned managed identity
  // cred, err := azidentity.NewDefaultAzureCredential(nil)

  // for user-assigned managed identity
  // clientid := os.Getenv("AZURE_MYSQL_CLIENTID")
  // azidentity.ManagedIdentityCredentialOptions.ID := clientid
  // options := &azidentity.ManagedIdentityCredentialOptions{ID: clientid}
  // cred, err := azidentity.NewManagedIdentityCredential(options)

  // for service principal
  // clientid := os.Getenv("AZURE_MYSQL_CLIENTID")
  // tenantid := os.Getenv("AZURE_MYSQL_TENANTID")
  // clientsecret := os.Getenv("AZURE_MYSQL_CLIENTSECRET")
  // cred, err := azidentity.NewClientSecretCredential(tenantid, clientid, clientsecret, &azidentity.ClientSecretCredentialOptions{})

  if err != nil {
  }

  ctx, cancel := context.WithTimeout(context.Background(), 30*time.Second)
  token, err := cred.GetToken(ctx, policy.TokenRequestOptions{
    Scopes: []string("https://ossrdbms-aad.database.windows.net/.default"),
  })

  connectionString := os.Getenv("AZURE_MYSQL_CONNECTIONSTRING") + ";Password=" + token.Token
  db, err := sql.Open("mysql", connectionString)
}

安裝相依性

npm install --save @azure/identity
npm install --save mysql2

使用和 @azure/identity Azure MySQL 資料庫資訊，從 Service 連線 or 服務新增的環境變數取得存取令牌。使用下列程式代碼時，請取消批註您想要使用的驗證類型代碼段部分。

import { DefaultAzureCredential,ClientSecretCredential } from "@azure/identity";

const mysql = require('mysql2');

// Uncomment the following lines according to the authentication type.
// for system-assigned managed identity
// const credential = new DefaultAzureCredential();

// for user-assigned managed identity
// const clientId = process.env.AZURE_MYSQL_CLIENTID;
// const credential = new DefaultAzureCredential({
//    managedIdentityClientId: clientId
// });

// for service principal
// const tenantId = process.env.AZURE_MYSQL_TENANTID;
// const clientId = process.env.AZURE_MYSQL_CLIENTID;
// const clientSecret = process.env.AZURE_MYSQL_CLIENTSECRET;
// const credential = new ClientSecretCredential(tenantId, clientId, clientSecret);

// acquire token
var accessToken = await credential.getToken('https://ossrdbms-aad.database.windows.net/.default');

const connection = mysql.createConnection({
  host: process.env.AZURE_MYSQL_HOST,
  user: process.env.AZURE_MYSQL_USER,
  password: accessToken.token,
  database: process.env.AZURE_MYSQL_DATABASE,
  port: process.env.AZURE_MYSQL_PORT,
  ssl: process.env.AZURE_MYSQL_SSL
});

connection.connect((err) => {
  if (err) {
    console.error('Error connecting to MySQL database: ' + err.stack);
    return;
  }
  console.log('Connected to MySQL database');
});

如需更多程式代碼範例，請參閱使用受控識別從 App Service 連線至 Azure 資料庫，而不使用秘密。

安裝相依性。

dotnet add package Microsoft.Data.SqlClient

從 Service 連線 or 所新增的環境變數取得 Azure SQL 資料庫連接字串。

using Microsoft.Data.SqlClient;

string connectionString = 
    Environment.GetEnvironmentVariable("AZURE_SQL_CONNECTIONSTRING")!;

using var connection = new SqlConnection(connectionString);
connection.Open();

如需詳細資訊，請參閱使用 Active Directory 受控識別驗證。

在您的pom.xml檔案中新增下列相依性：

<dependency>
    <groupId>com.microsoft.sqlserver</groupId>
    <artifactId>mssql-jdbc</artifactId>
    <version>10.2.0.jre11</version>
</dependency>
<dependency>
    <groupId>com.azure</groupId>
    <artifactId>azure-identity</artifactId>
    <version>1.7.0</version>
</dependency>

從 Service 連線 or 所新增的環境變數取得 Azure SQL 資料庫連接字串。

import java.sql.Connection;
import java.sql.ResultSet;
import java.sql.Statement;

import com.microsoft.sqlserver.jdbc.SQLServerDataSource;

public class Main {
    public static void main(String[] args) {
        // AZURE_SQL_CONNECTIONSTRING should be one of the following:
        // For system-assigned managed identity: "jdbc:sqlserver://{SQLName}.database.windows.net:1433;databaseName={SQLDbName};authentication=ActiveDirectoryMSI;"
        // For user-assigned managed identity: "jdbc:sqlserver://{SQLName}.database.windows.net:1433;databaseName={SQLDbName};msiClientId={UserAssignedMiClientId};authentication=ActiveDirectoryMSI;"
        // For service principal: "jdbc:sqlserver://{SQLName}.database.windows.net:1433;databaseName={SQLDbName};user={ServicePrincipalClientId};password={spSecret};authentication=ActiveDirectoryServicePrincipal;"
        String connectionString = System.getenv("AZURE_SQL_CONNECTIONSTRING");
        SQLServerDataSource ds = new SQLServerDataSource();
        ds.setURL(connectionString);
        try (Connection connection = ds.getConnection()) {
            System.out.println("Connected successfully.");
        } catch (SQLException e) {
            e.printStackTrace();
        }
    }
}

如需詳細資訊，請參閱使用受控識別從App Service 連線至 Azure 資料庫，而不使用秘密。

如果是 Spring 應用程式，如果您建立具有選項--client-type springboot的連線，則 Service 連線 or 會將具有值格式jdbc:sqlserver://<sql-server>.database.windows.net:1433;databaseName=<sql-db>;authentication=ActiveDirectoryMSI;的屬性spring.datasource.url設定為 Azure Spring Apps。

遵循移轉 Java 應用程式以使用無密碼連線與 Azure SQL 資料庫教學課程來更新您的應用程式。請記得在 spring.datasource.password 之前設定組態屬性，並新增正確的相依性。

安裝相依性。
```
python -m pip install pyodbc
```

從 Service 連線 or 所新增的環境變數取得 Azure SQL 資料庫聯機組態。使用下列程式代碼時，請取消批註您想要使用的驗證類型代碼段部分。

import os;
import pyodbc

server = os.getenv('AZURE_SQL_SERVER')
port = os.getenv('AZURE_SQL_PORT')
database = os.getenv('AZURE_SQL_DATABASE')
authentication = os.getenv('AZURE_SQL_AUTHENTICATION')

# Uncomment the following lines according to the authentication type.
# For system-assigned managed identity.
# connString = f'Driver={{ODBC Driver 18 for SQL Server}};Server={server},{port};Database={database};Authentication={authentication};Encrypt=yes;'

# For user-assigned managed identity.
# user = os.getenv('AZURE_SQL_USER')
# connString = f'Driver={{ODBC Driver 18 for SQL Server}};Server={server},{port};Database={database};UID={user};Authentication={authentication};Encrypt=yes;'

# For service principal.
# user = os.getenv('AZURE_SQL_USER')
# password = os.getenv('AZURE_SQL_PASSWORD')
# connString = f'Driver={{ODBC Driver 18 for SQL Server}};Server={server},{port};Database={database};UID={user};PWD={password};Authentication={authentication};Encrypt=yes;'

conn = pyodbc.connect(connString)

安裝相依性。
```
npm install mssql
```

從 Service 連線 or 所新增的環境變數取得 Azure SQL 資料庫聯機組態。使用下列程式代碼時，請取消批註您想要使用的驗證類型代碼段部分。

import sql from 'mssql';

const server = process.env.AZURE_SQL_SERVER;
const database = process.env.AZURE_SQL_DATABASE;
const port = parseInt(process.env.AZURE_SQL_PORT);
const authenticationType = process.env.AZURE_SQL_AUTHENTICATIONTYPE;

// Uncomment the following lines according to the authentication type.
// For system-assigned managed identity.
// const config = {
//     server,
//     port,
//     database,
//     authentication: {
//         authenticationType
//     },
//     options: {
//        encrypt: true
//     }
// };  

// For user-assigned managed identity.
// const clientId = process.env.AZURE_SQL_CLIENTID;
// const config = {
//     server,
//     port,
//     database,
//     authentication: {
//         type: authenticationType,
//         options: {
//             clientId: clientId
//         }
//     },
//     options: {
//         encrypt: true
//     }
// };  

// For service principal.
// const clientId = process.env.AZURE_SQL_CLIENTID;
// const clientSecret = process.env.AZURE_SQL_CLIENTSECRET;
// const tenantId = process.env.AZURE_SQL_TENANTID;
// const config = {
//     server,
//     port,
//     database,
//     authentication: {
//         type: authenticationType,
//         options: {
//             clientId: clientId,
//             clientSecret: clientSecret,
//             tenantId: tenantId
//         }
//     },
//     options: {
//         encrypt: true
//     }
// };  

this.poolconnection = await sql.connect(config);

如需詳細資訊，請參閱 Microsoft SQL Server 用戶端程式設計首頁。

將應用程式部署至 Azure 主控服務

最後，將您的應用程式部署至 Azure 主控服務。該來源服務可以使用受控識別來連線到 Azure 上的目標資料庫。

針對 Azure App 服務，您可以透過 az webapp deploy 命令部署應用程式程式代碼。如需詳細資訊，請參閱快速入門：部署 ASP.NET Web 應用程式。

然後，您可以檢查記錄檔或呼叫應用程式，以查看是否可以成功連線到 Azure 資料庫。

疑難排解

權限

如果您遇到任何許可權相關錯誤，請使用命令 az account show確認 Azure CLI 登入的使用者。請確定您已使用正確的帳戶登入。接下來，請確認您具有下列許可權，可能需要建立與 Service 連線 or 的無密碼連線。

權限	作業
`Microsoft.DBforPostgreSQL/flexibleServers/read`	取得資料庫伺服器資訊的必要專案
`Microsoft.DBforPostgreSQL/flexibleServers/write`	啟用資料庫伺服器的 Microsoft Entra 驗證的必要專案
`Microsoft.DBforPostgreSQL/flexibleServers/firewallRules/write`	如果本機 IP 位址遭到封鎖，則需要建立防火牆規則
`Microsoft.DBforPostgreSQL/flexibleServers/firewallRules/delete`	需要還原 Service 連線 or 所建立的防火牆規則，以避免安全性問題
`Microsoft.DBforPostgreSQL/flexibleServers/administrators/read`	需要檢查 Azure CLI 登入使用者是否為資料庫伺服器 Microsoft Entra 系統管理員
`Microsoft.DBforPostgreSQL/flexibleServers/administrators/write`	將 Azure CLI 登入使用者新增為資料庫伺服器 Microsoft Entra 系統管理員的必要專案

權限	作業
`Microsoft.DBforMySQL/flexibleServers/read`	取得資料庫伺服器資訊的必要專案
`Microsoft.DBforMySQL/flexibleServers/write`	將所提供的使用者指派受控識別新增至資料庫伺服器的必要專案
`Microsoft.DBforMySQL/flexibleServers/firewallRules/write`	如果本機 IP 位址遭到封鎖，則需要建立防火牆規則
`Microsoft.DBforMySQL/flexibleServers/firewallRules/delete`	需要還原 Service 連線 or 所建立的防火牆規則，以避免安全性問題
`Microsoft.DBforMySQL/flexibleServers/administrators/read`	需要檢查 Azure CLI 登入使用者是否為資料庫伺服器 Microsoft Entra 系統管理員
`Microsoft.DBforMySQL/flexibleServers/administrators/write`	將 Azure CLI 登入使用者新增為資料庫伺服器 Microsoft Entra 系統管理員的必要專案

權限	作業
`Microsoft.Sql/servers/read`	取得資料庫伺服器資訊的必要專案
`Microsoft.Sql/servers/firewallRules/write`	如果本機 IP 位址遭到封鎖，則需要建立防火牆規則
`Microsoft.Sql/servers/firewallRules/delete`	需要還原 Service 連線 or 所建立的防火牆規則，以避免安全性問題
`Microsoft.Sql/servers/administrators/read`	需要檢查 Azure CLI 登入使用者是否為資料庫伺服器 Microsoft Entra 系統管理員
`Microsoft.Sql/servers/administrators/write`	將 Azure CLI 登入使用者新增為資料庫伺服器 Microsoft Entra 系統管理員的必要專案

在某些情況下，不需要許可權。例如，如果 Azure CLI 驗證的用戶已經是 SQL Server 上的 Active Directory 管理員 istrator，您就不需要擁有 Microsoft.Sql/servers/administrators/write 許可權。

Microsoft Entra ID

如果您收到錯誤 ERROR: AADSTS530003: Your device is required to be managed to access this resource.，請要求IT部門協助將此裝置加入 Microsoft Entra ID。如需詳細資訊，請參閱已加入 Microsoft Entra 的裝置。

服務連線 or 必須存取 Microsoft Entra ID，才能取得您的帳戶和裝載服務的受控識別資訊。您可以使用下列命令來檢查您的裝置是否可以存取 Microsoft Entra ID：

az ad signed-in-user show

如果您未以互動方式登入，也可能會收到錯誤和 Interactive authentication is needed。若要解決錯誤，請使用 az login 命令登入。

網路連線

如果您的資料庫伺服器位於虛擬網絡中，請確定執行 Azure CLI 命令的環境可以存取虛擬網絡中的伺服器。

如果您的資料庫伺服器位於虛擬網絡，請確定執行 Azure CLI 命令的環境可以存取虛擬網絡中的伺服器。

如果您的資料庫伺服器不允許公用存取，請確定執行 Azure CLI 命令的環境可以透過私人端點存取伺服器。

下一步

如需服務連線或無密碼連線的詳細資訊，請參閱下列資源：

服務連線 or 檔

Azure 服務的無密碼連線

Share via

教學課程：透過 Service 連線 or 建立資料庫服務的無密碼連線

必要條件

設定您的環境

客戶

安裝服務連線或無密碼擴充功能

建立無密碼連線

使用 Microsoft Entra 驗證連線至資料庫

將應用程式部署至 Azure 主控服務

疑難排解

權限

Microsoft Entra ID

網路連線

下一步

其他資源

Share via

教學課程：透過 Service 連線 or 建立資料庫服務的無密碼連線

必要條件

設定您的環境

客戶​​

安裝服務 連線 或無密碼擴充功能

建立無密碼連線

使用 Microsoft Entra 驗證 連線 至資料庫

將應用程式部署至 Azure 主控服務

疑難排解

權限

Microsoft Entra ID

網路連線

下一步

其他資源

客戶

安裝服務連線或無密碼擴充功能

使用 Microsoft Entra 驗證連線至資料庫