App Service は、Azureで高度にスケーラブルな自己修正プログラムを適用する Web ホスティング サービスを提供します。 また、アプリの管理 ID も提供します。これは、次のようなAzure データベースへのアクセスをセキュリティで保護するためのターンキー ソリューションです。
App Service のマネージド ID を使用すると、接続文字列内の資格情報などのシークレットをアプリから排除することで、アプリのセキュリティを強化できます。 このチュートリアルでは、マネージド ID を使用して App Service から上記のデータベースに接続する方法について説明します。
学習内容
- Azure データベースの管理者としてMicrosoft Entra ユーザーを構成します。
- Microsoft Entra ユーザーとしてデータベースに接続します。
- App Service アプリのシステム割り当てまたはユーザー割り当てマネージド ID を構成します。
- データベースへのアクセスをマネージド ID に付与します。
- マネージド ID を使用して、コード (.NET Framework 4.8、.NET 6、Node.js、Python、Java) からAzure データベースに接続します。
- Microsoft Entra ユーザーを使用して、開発環境からAzure データベースに接続します。
Azure アカウントがない場合は、開始する前に free アカウントを作成します。
前提条件
- .NET、Node.js、Python、またはJavaに基づいて App Service でアプリを作成します。
- Azure SQL Database、Azure Database for MySQL、またはAzure Database for PostgreSQLを使用してデータベース サーバーを作成します。
- 標準的な接続パターン (ユーザー名とパスワード) を熟知し、App Service アプリから選択したデータベースに正常に接続できるようになる必要があります。
Azure CLI用に環境を準備します。
1.サービス コネクタ パスワードレス拡張機能をインストールする
Azure CLIの最新の Service Connector パスワードレス拡張機能をインストールします。
az extension add --name serviceconnector-passwordless --upgrade
注
を実行して、拡張機能 "serviceconnector-passwordless" バージョンが "2.0.2" 以降であることを確認してください。 拡張機能のバージョンをアップグレードするには、まずAzure CLIアップグレードする必要があります。
2.パスワードレス接続を作成する
次に、サービス コネクタを使用してパスワードレス接続を作成します。
ヒント
Azure ポータルは、以下のコマンドの作成に役立ちます。 Azure ポータルで、Azure App Service リソースに移動し、左側のメニューから Service Connector を選択し、Create を選択します。 フォームに必要なすべてのパラメーターを入力します。 Azure接続作成コマンドが自動的に生成されます。このコマンドは、CLI で使用するためにコピーしたり、Azure Cloud Shellで実行したりできます。
次のAzure CLI コマンドでは、--client-type パラメーターを使用します。
必要に応じて、 を実行してサポートされているクライアントの種類を取得します。
クライアントの種類を選択し、対応するコマンドを実行します。 次のプレースホルダーを実際の情報に置き換えてください。
-
ユーザー割り当てマネージド ID
-
システム割り当てマネージド ID
az webapp connection create sql \
--resource-group <group-name> \
--name <server-name> \
--target-resource-group <sql-group-name> \
--server <sql-name> \
--database <database-name> \
--user-identity client-id=<client-id> subs-id=<subscription-id> \
--client-type <client-type>
az webapp connection create sql \
--resource-group <group-name> \
--name <server-name> \
--target-resource-group <group-name> \
--server <sql-name> \
--database <database-name> \
--system-identity \
--client-type <client-type>
手動で Azure Database for MySQL - フレキシブル サーバーのMicrosoft Entra認証を設定します。
必要に応じて、コマンド を実行してサポートされているクライアントの種類を取得します。
クライアントの種類を選択し、対応するコマンドを実行します。 次のAzure CLI コマンドでは、--client-type パラメーターを使用します。
-
ユーザー割り当てマネージド ID
-
システム割り当てマネージド ID
az webapp connection create mysql-flexible \
--resource-group <group-name> \
--name <server-name> \
--target-resource-group <group-name> \
--server <mysql-name> \
--database <database-name> \
--user-identity client-id=XX subs-id=XX mysql-identity-id=$IDENTITY_RESOURCE_ID \
--client-type <client-type>
az webapp connection create mysql-flexible \
--resource-group <group-name> \
--name <server-name> \
--target-resource-group <group-name> \
--server <mysql-name> \
--database <database-name> \
--system-identity mysql-identity-id=$IDENTITY_RESOURCE_ID \
--client-type <client-type>
次のAzure CLI コマンドでは、--client-type パラメーターを使用します。
必要に応じて、コマンド を実行して、サポートされているすべてのクライアントの種類の一覧を取得します。
クライアントの種類を選択し、対応するコマンドを実行します。
-
ユーザー割り当てマネージド ID
-
システム割り当てマネージド ID
az webapp connection create postgres-flexible \
--resource-group <group-name> \
--name <server-name> \
--target-resource-group <group-name> \
--server <postgresql-name> \
--database <database-name> \
--user-identity client-id=XX subs-id=XX \
--client-type java
az webapp connection create postgres-flexible \
--resource-group <group-name> \
--name <server-name> \
--target-resource-group <group-name> \
--server <postgresql-name> \
--database <database-name> \
--system-identity \
--client-type <client-type>
事前に作成されたテーブルへのアクセス許可を付与する
次に、サービス コネクタを使用する前に PostgreSQL フレキシブル サーバーでテーブルとシーケンスを作成している場合、所有者として接続し、サービス コネクタによって作成された にアクセス許可を付与する必要があります。 Service Connector によって設定された 接続文字列 または構成に含まれるユーザー名は、aad_<connection name> のようになります。 Azure ポータルを使用する場合は、Service Type 列の横にある展開ボタンを選択し、値を取得します。 Azure CLIを使用する場合は、CLI コマンド出力で configurations を確認します。
次に、クエリを実行してアクセス許可を付与します
az extension add --name rdbms-connect
az postgres flexible-server execute -n <postgres-name> -u <owner-username> -p "<owner-password>" -d <database-name> --querytext "GRANT ALL PRIVILEGES ON ALL TABLES IN SCHEMA public TO \"<aad-username>\";GRANT ALL PRIVILEGES ON ALL SEQUENCES IN SCHEMA public TO \"<aad username>\";"
と は、他のユーザーにアクセス許可を付与できる既存のテーブルの所有者です。 は、サービス コネクタによって作成されたユーザーです。 これらを実際の値に置き換えます。
次のコマンドを使用して結果を検証します。
az postgres flexible-server execute -n <postgres-name> -u <owner-username> -p "<owner-password>" -d <database-name> --querytext "SELECT distinct(table_name) FROM information_schema.table_privileges WHERE grantee='<aad-username>' AND table_schema='public';" --output table
このサービス コネクタ コマンドは、バックグラウンドで次のタスクを完了します。
- システム割り当てマネージド ID を有効にするか、Azure App Serviceによってホストされるアプリ
<server-name> のユーザー ID を割り当てます。
- Microsoft Entra管理者を現在サインインしているユーザーに設定します。
- システム割り当てマネージド ID またはユーザー割り当てマネージド ID のデータベース ユーザーを追加します。 データベース のすべての特権をこのユーザーに付与します。 ユーザー名は、上記のコマンド出力の接続文字列にあります。
-
AZURE_MYSQL_CONNECTIONSTRING、AZURE_POSTGRESQL_CONNECTIONSTRING、または AZURE_SQL_CONNECTIONSTRING という名前の構成を、データベースの種類に基づいてAzure リソースに設定します。
- App Service の場合、構成は [アプリの設定] ブレードで設定されます。
接続の作成時に問題が発生した場合は、「トラブルシューティング」を参照してください。
3.コードを変更する
依存関係をインストールします。
dotnet add package Microsoft.Data.SqlClient
Service Connector によって追加された環境変数からAzure SQL Database 接続文字列を取得します。
using Microsoft.Data.SqlClient;
// AZURE_SQL_CONNECTIONSTRING should be one of the following:
// For system-assigned managed identity:"Server=tcp:<server-name>.database.windows.net;Database=<database-name>;Authentication=Active Directory Default;TrustServerCertificate=True"
// For user-assigned managed identity: "Server=tcp:<server-name>.database.windows.net;Database=<database-name>;Authentication=Active Directory Default;User Id=<client-id-of-user-assigned-identity>;TrustServerCertificate=True"
string connectionString =
Environment.GetEnvironmentVariable("AZURE_SQL_CONNECTIONSTRING")!;
using var connection = new SqlConnection(connectionString);
connection.Open();
詳細については、「マネージド ID 認証の使用Active Directoryを参照してください。
pom.xml ファイルに次の依存関係を追加します。
<dependency>
<groupId>com.azure</groupId>
<artifactId>azure-identity</artifactId>
<version>1.4.6</version>
</dependency>
<dependency>
<groupId>com.microsoft.sqlserver</groupId>
<artifactId>mssql-jdbc</artifactId>
<version>10.2.0.jre11</version>
</dependency>
Service Connector によって追加された環境変数からAzure SQL Database 接続文字列を取得します。
import java.sql.Connection;
import java.sql.ResultSet;
import java.sql.Statement;
import com.microsoft.sqlserver.jdbc.SQLServerDataSource;
public class Main {
public static void main(String[] args) {
// AZURE_SQL_CONNECTIONSTRING should be one of the following:
// For system-assigned managed identity: "jdbc:sqlserver://{SQLName}.database.windows.net:1433;databaseName={SQLDbName};authentication=ActiveDirectoryMSI;"
// For user-assigned managed identity: "jdbc:sqlserver://{SQLName}.database.windows.net:1433;databaseName={SQLDbName};msiClientId={UserAssignedMiClientId};authentication=ActiveDirectoryMSI;"
String connectionString = System.getenv("AZURE_SQL_CONNECTIONSTRING");
SQLServerDataSource ds = new SQLServerDataSource();
ds.setURL(connectionString);
try (Connection connection = ds.getConnection()) {
System.out.println("Connected successfully.");
} catch (SQLException e) {
e.printStackTrace();
}
}
}
詳細については、「 Microsoft Entra 認証を使用した接続を参照してください。
依存関係をインストールします。
python -m pip install mssql-python python-dotenv
Service Connector によって追加された環境変数から、Azure SQL Database接続構成を取得します。 使用する認証型のコード スニペットの一部をコメント解除します。
import os
from mssql_python import connect
server = os.getenv('AZURE_SQL_SERVER')
port = os.getenv('AZURE_SQL_PORT')
database = os.getenv('AZURE_SQL_DATABASE')
# Uncomment the following lines according to the authentication type.
# For system-assigned managed identity.
# connection_string = f'Server={server},{port};Database={database};Authentication=ActiveDirectoryMSI;Encrypt=yes;'
# For user-assigned managed identity.
# client_id = os.getenv('AZURE_SQL_USER')
# connection_string = f'Server={server},{port};Database={database};UID={client_id};Authentication=ActiveDirectoryMSI;Encrypt=yes;'
conn = connect(connection_string)
別の方法として、アクセス トークンを使用してAzure SQL Databaseに接続することもできます。Python アプリケーションを参照して、Azure SQL Database でパスワードなしの接続を使用することもできます。
- 依存関係をインストールします。
npm install mssql
- Service Connector によって追加された環境変数から、Azure SQL Database接続構成を取得します。 使用する認証型のコード スニペットの一部をコメント解除します。
import sql from 'mssql';
const server = process.env.AZURE_SQL_SERVER;
const database = process.env.AZURE_SQL_DATABASE;
const port = parseInt(process.env.AZURE_SQL_PORT);
const authenticationType = process.env.AZURE_SQL_AUTHENTICATIONTYPE;
// Uncomment the following lines according to the authentication type.
// For system-assigned managed identity.
// const config = {
// server,
// port,
// database,
// authentication: {
// authenticationType
// },
// options: {
// encrypt: true
// }
// };
// For user-assigned managed identity.
// const clientId = process.env.AZURE_SQL_CLIENTID;
// const config = {
// server,
// port,
// database,
// authentication: {
// type: authenticationType
// },
// options: {
// encrypt: true,
// clientId: clientId
// }
// };
this.poolconnection = await sql.connect(config);
詳細については、「Homepage for client programming to Microsoft SQL Serverを参照してください。
その他のコード サンプルについては、サービス コネクタを使用したデータベース サービスへのパスワードレス接続の作成に関する記事を参照してください。
コード内のAzure Database for MySQLへの接続は、すべての言語スタックのDefaultAzureCredential パターンに従います。
DefaultAzureCredential は、開発環境とAzure環境の両方に適応するのに十分な柔軟性があります。 ローカルで実行している場合は、選択した環境 (Visual Studio、Visual Studio Code、Azure CLI、またはAzure PowerShell) からログインAzureユーザーを取得できます。 Azureで実行すると、マネージド ID が取得されます。 そのため、開発時と運用時の両方でデータベースへの接続が可能です。 パターンは次のとおりです。
- Azure ID クライアント ライブラリから
DefaultAzureCredential をインスタンス化します。 ユーザー割り当て ID を使用している場合は、ID のクライアント ID を指定します。
- Azure Database for MySQLのアクセス トークン (
https://ossrdbms-aad.database.windows.net/.default) を取得します。
- トークンを接続文字列に追加します。
- 接続を開きます。
.NETの場合、Azure.Identityなどのクライアントライブラリを使用して、マネージドIDのアクセス トークンを取得します。 次に、アクセス トークンをパスワードとして使用してデータベースに接続できます。 次のコードを使用する場合は、使用する認証型に対応するコード スニペットの一部をコメント解除します。
using Azure.Core;
using Azure.Identity;
using MySqlConnector;
// Uncomment the following lines according to the authentication type.
// For system-assigned managed identity.
// var credential = new DefaultAzureCredential();
// For user-assigned managed identity.
// var credential = new DefaultAzureCredential(
// new DefaultAzureCredentialOptions
// {
// ManagedIdentityClientId = Environment.GetEnvironmentVariable("AZURE_MYSQL_CLIENTID");
// });
var tokenRequestContext = new TokenRequestContext(
new[] { "https://ossrdbms-aad.database.windows.net/.default" });
AccessToken accessToken = await credential.GetTokenAsync(tokenRequestContext);
// Open a connection to the MySQL server using the access token.
string connectionString =
$"{Environment.GetEnvironmentVariable("AZURE_MYSQL_CONNECTIONSTRING")};Password={accessToken.Token}";
using var connection = new MySqlConnection(connectionString);
Console.WriteLine("Opening connection using access token...");
await connection.OpenAsync();
// do something
pom.xml ファイルに次の依存関係を追加します。
<dependency>
<groupId>mysql</groupId>
<artifactId>mysql-connector-java</artifactId>
<version>8.0.33</version>
</dependency>
<dependency>
<groupId>com.azure</groupId>
<artifactId>azure-identity-extensions</artifactId>
<version>1.2.0</version>
</dependency>
環境変数から接続文字列を取得し、プラグイン名を追加してデータベースに接続します。
String url = System.getenv("AZURE_MYSQL_CONNECTIONSTRING");
String pluginName = "com.azure.identity.extensions.jdbc.mysql.AzureMysqlAuthenticationPlugin";
Connection connection = DriverManager.getConnection(url + "&defaultAuthenticationPlugin=" +
pluginName + "&authenticationPlugins=" + pluginName);
詳細については、「 Azure Database for MySQL - フレキシブル サーバーでJavaと JDBC を使用する」を参照してください。
依存関係をインストールします。
pip install azure-identity
# install Connector/Python https://dev.mysql.com/doc/connector-python/en/connector-python-installation.html
pip install mysql-connector-python
ライブラリからのアクセス トークンを使用して認証します。 Service Connector によって追加された環境変数から接続情報を取得します。 次のコードを使用する場合は、使用する認証型に対応するコード スニペットの一部をコメント解除します。
from azure.identity import ManagedIdentityCredential, ClientSecretCredential
import mysql.connector
import os
# Uncomment the following lines according to the authentication type.
# For system-assigned managed identity.
# cred = ManagedIdentityCredential()
# For user-assigned managed identity.
# managed_identity_client_id = os.getenv('AZURE_MYSQL_CLIENTID')
# cred = ManagedIdentityCredential(client_id=managed_identity_client_id)
# acquire token
accessToken = cred.get_token('https://ossrdbms-aad.database.windows.net/.default')
# open connect to Azure MySQL with the access token.
host = os.getenv('AZURE_MYSQL_HOST')
database = os.getenv('AZURE_MYSQL_NAME')
user = os.getenv('AZURE_MYSQL_USER')
password = accessToken.token
cnx = mysql.connector.connect(user=user,
password=password,
host=host,
database=database)
cnx.close()
依存関係をインストールします。
npm install --save @azure/identity
npm install --save mysql2
Service Connector によって追加された環境変数から、@azure/identity と Azure MySQL データベース情報を使用してアクセス トークンを取得します。 次のコードを使用する場合は、使用する認証型に対応するコード スニペットの一部をコメント解除します。
import { DefaultAzureCredential,ClientSecretCredential } from "@azure/identity";
const mysql = require('mysql2');
// Uncomment the following lines according to the authentication type.
// for system-assigned managed identity
// const credential = new DefaultAzureCredential();
// for user-assigned managed identity
// const clientId = process.env.AZURE_MYSQL_CLIENTID;
// const credential = new DefaultAzureCredential({
// managedIdentityClientId: clientId
// });
// acquire token
var accessToken = await credential.getToken('https://ossrdbms-aad.database.windows.net/.default');
const connection = mysql.createConnection({
host: process.env.AZURE_MYSQL_HOST,
user: process.env.AZURE_MYSQL_USER,
password: accessToken.token,
database: process.env.AZURE_MYSQL_DATABASE,
port: process.env.AZURE_MYSQL_PORT,
ssl: process.env.AZURE_MYSQL_SSL
});
connection.connect((err) => {
if (err) {
console.error('Error connecting to MySQL database: ' + err.stack);
return;
}
console.log('Connected to MySQL database');
});
その他のコード サンプルについては、サービス コネクタを使用したデータベース サービスへのパスワードレス接続の作成に関する記事を参照してください。
コード内のAzure Database for PostgreSQLへの接続は、すべての言語スタックの DefaultAzureCredential パターンに従います。
DefaultAzureCredential は、開発環境とAzure環境の両方に適応するのに十分な柔軟性があります。 ローカルで実行している場合は、選択した環境 (Visual Studio、Visual Studio Code、Azure CLI、またはAzure PowerShell) からログインAzureユーザーを取得できます。 Azureで実行すると、マネージド ID が取得されます。 そのため、開発時と運用時の両方でデータベースへの接続が可能です。 パターンは次のとおりです。
- Azure ID クライアント ライブラリから
DefaultAzureCredential をインスタンス化します。 ユーザー割り当て ID を使用している場合は、ID のクライアント ID を指定します。
- Azure Database for PostgreSQLのアクセス トークン (
https://ossrdbms-aad.database.windows.net/.default) を取得します。
- トークンを接続文字列に追加します。
- 接続を開きます。
.NETの場合は、Azure.Identityなどのクライアント ライブラリを使用してマネージド アイデンティティのアクセス トークンを取得します。 次に、アクセス トークンをパスワードとして使用してデータベースに接続できます。 次のコードを使用する場合は、使用する認証型に対応するコード スニペットの一部をコメント解除します。
using Azure.Identity;
using Azure.Core;
using Npgsql;
// Uncomment the following lines according to the authentication type.
// For system-assigned identity.
// var sqlServerTokenProvider = new DefaultAzureCredential();
// For user-assigned identity.
// var sqlServerTokenProvider = new DefaultAzureCredential(
// new DefaultAzureCredentialOptions
// {
// ManagedIdentityClientId = Environment.GetEnvironmentVariable("AZURE_POSTGRESQL_CLIENTID");
// }
// );
// Acquire the access token.
AccessToken accessToken = await sqlServerTokenProvider.GetTokenAsync(
new TokenRequestContext(scopes: new string[]
{
"https://ossrdbms-aad.database.windows.net/.default"
}));
// Combine the token with the connection string from the environment variables provided by Service Connector.
string connectionString =
$"{Environment.GetEnvironmentVariable("AZURE_POSTGRESQL_CONNECTIONSTRING")};Password={accessToken.Token}";
// Establish the connection.
using (var connection = new NpgsqlConnection(connectionString))
{
Console.WriteLine("Opening connection using access token...");
connection.Open();
}
pom.xml ファイルに次の依存関係を追加します。
<dependency>
<groupId>org.postgresql</groupId>
<artifactId>postgresql</artifactId>
<version>42.7.5</version>
</dependency>
<dependency>
<groupId>com.azure</groupId>
<artifactId>azure-identity-extensions</artifactId>
<version>1.2.0</version>
</dependency>
環境変数から接続文字列を取得し、データベースに接続するプラグイン名を追加します。
import java.sql.*;
String url = System.getenv("AZURE_POSTGRESQL_CONNECTIONSTRING");
String pluginName = "com.Azure.identity.extensions.jdbc.postgresql.AzurePostgresqlAuthenticationPlugin";
Connection connection = DriverManager.getConnection(url + "&authenticationPluginClassName=" + pluginName);
詳細については、次のリソースを参照してください。
依存関係をインストールします。
pip install azure-identity
pip install psycopg2-binary
ライブラリから取得したアクセス トークンで認証し、トークンをパスワードとして使います。 Service Connector によって追加された環境変数から接続情報を取得します。 次のコードを使用する場合は、使用する認証型に対応するコード スニペットの一部をコメント解除します。
from azure.identity import DefaultAzureCredential
import psycopg2
# Uncomment the following lines according to the authentication type.
# For system-assigned identity.
# cred = DefaultAzureCredential()
# For user-assigned identity.
# managed_identity_client_id = os.getenv('AZURE_POSTGRESQL_CLIENTID')
# cred = ManagedIdentityCredential(client_id=managed_identity_client_id)
# Acquire the access token
accessToken = cred.get_token('https://ossrdbms-aad.database.windows.net/.default')
# Combine the token with the connection string from the environment variables added by Service Connector to establish the connection.
conn_string = os.getenv('AZURE_POSTGRESQL_CONNECTIONSTRING')
conn = psycopg2.connect(conn_string + ' password=' + accessToken.token)
詳細については、次のリソースを参照してください。
依存関係をインストールします。
npm install --save @azure/identity
npm install --save pg
コードで、 経由でアクセス トークンを取得し、サービス コネクタ サービスによって追加された環境変数から PostgreSQL 接続情報を取得します。 これらを組み合わせて接続を確立します。 次のコードを使用する場合は、使用する認証型に対応するコード スニペットの一部をコメント解除します。
import { DefaultAzureCredential, ClientSecretCredential } from "@azure/identity";
const { Client } = require('pg');
// Uncomment the following lines according to the authentication type.
// For system-assigned identity.
// const credential = new DefaultAzureCredential();
// For user-assigned identity.
// const clientId = process.env.AZURE_POSTGRESQL_CLIENTID;
// const credential = new DefaultAzureCredential({
// managedIdentityClientId: clientId
// });
// Acquire the access token.
var accessToken = await credential.getToken('https://ossrdbms-aad.database.windows.net/.default');
// Use the token and the connection information from the environment variables added by Service Connector to establish the connection.
(async () => {
const client = new Client({
host: process.env.AZURE_POSTGRESQL_HOST,
user: process.env.AZURE_POSTGRESQL_USER,
password: accesstoken.token,
database: process.env.AZURE_POSTGRESQL_DATABASE,
port: Number(process.env.AZURE_POSTGRESQL_PORT) ,
ssl: process.env.AZURE_POSTGRESQL_SSL
});
await client.connect();
await client.end();
})();
その他のコード サンプルについては、サービス コネクタを使用したデータベース サービスへのパスワードレス接続の作成に関する記事を参照してください。
4.開発環境を設定する
このサンプル コードでは、DefaultAzureCredential を使用してMicrosoft Entra IDからAzure データベースの使用可能なトークンを取得し、それをデータベース接続に追加します。 はカスタマイズ可能ですが、既に既定で万能で使用できます。 サインインMicrosoft Entraユーザーから、またはマネージド ID からトークンを取得します。これは、開発環境または App Service でローカルに実行するかどうかに応じて異なります。
これ以上変更を加えずに、コードをAzureで実行する準備ができました。 ただし、コードをローカルでデバッグするには、開発環境にサインインMicrosoft Entraユーザーが必要です。 この手順では、Microsoft Entra ユーザーとサインインして、選択した環境を構成します。
WindowsのVisual Studioは、Microsoft Entra認証と統合されています。 Visual Studioで開発とデバッグを有効にするには、メニューから File>Account Settings を選択して、Visual StudioにMicrosoft Entra ユーザーを追加します。 Sign in または Add を選択します。
Azure サービス認証のMicrosoft Entra ユーザーを設定するには、 メニューから Tools>Options を選択し、Azure サービス認証>Account Selection を選択します。 追加したMicrosoft Entraユーザーを選択し、OK を選択します。
Visual Studio for Mac はMicrosoft Entra認証と統合されていません。 ただし、後で使用するAzure ID クライアント ライブラリは、Azure CLIからトークンを取得することもできます。 Visual Studioで開発とデバッグを有効にするには、ローカル コンピューターに install Azure CLIします。
Microsoft Entra ユーザーを使用して、次のコマンドを使用してAzure CLIにサインインします。
az login --allow-no-subscriptions
Visual Studio Codeは、Azure拡張機能を使用してMicrosoft Entra認証と統合されます。 Visual Studio Codeに Azure Tools 拡張機能をインストールします。
Visual Studio Codeで、Activity Bar で、Azure ロゴを選択します。
App Service エクスプローラーで Sign in to Azure...指示に従います。
後で使用するAzure ID クライアント ライブラリでは、Azure CLIのトークンを使用できます。 コマンド ライン ベースの開発を有効にするには、ローカル コンピューターに install Azure CLIします。
Microsoft Entra ユーザーを使用して、次のコマンドを使用してAzureにサインインします。
az login --allow-no-subscriptions
後で使用するAzure ID クライアント ライブラリでは、Azure PowerShellのトークンを使用できます。 コマンド ライン ベースの開発を有効にするには、ローカル コンピューターに install Azure PowerShellします。
Microsoft Entra ユーザーを使用して、次のコマンドレットを使用してAzure CLIにサインインします。
Connect-AzAccount
Microsoft Entra認証用に開発環境を設定する方法の詳細については、「.NET の Azure Identity クライアント ライブラリ」を参照してください。
これで、Microsoft Entra認証を使用して、SQL Database をバックエンドとして使用してアプリを開発およびデバッグする準備ができました。
5.テストして公開する
コードを開発環境で実行します。 コードでは、環境内のサインインMicrosoft Entraユーザーを使用してバックエンド データベースに接続します。 ユーザーは、データベースのMicrosoft Entra管理者として構成されているため、データベースにアクセスできます。
推奨される発行方法を使用して、コードをAzureに発行します。 App Service では、コードはアプリのマネージド ID を使用してバックエンド データベースに接続します。
よく寄せられる質問
マネージド ID はSQL Serverをサポートしていますか?
はい。 詳細については、次を参照してください。
エラー が発生します
トークンを要求しようとしているマネージド ID には、Azure データベースへのアクセスが許可されていません。
App Service 認証または関連しているアプリ登録に変更を加えました。 古いトークンをまだ取得するのはなぜですか?
マネージド ID のバックエンド サービスは、トークン キャッシュも管理します。トークン キャッシュでは、有効期限が切れたときにのみターゲット リソースのトークンが更新されます。 アプリでトークンを取得しようとした後に構成を変更すると、キャッシュされたトークンの期限が切れるまで、更新されたアクセス許可で新しいトークンが実際には取得されません。 この問題を回避するには、新しい InPrivate (Edge)/private (Safari)/Incognito (Chrome) ウィンドウで変更をテストするのが最もよい方法です。 そうすれば、新しい認証済みセッションから始めることができます。
マネージド ID を Microsoft Entra グループに追加するにはどうすればよいですか?
必要に応じて、id を Microsoft Entra グループに追加し、ID ではなくMicrosoft Entra グループへのアクセス権を付与できます。 たとえば、次のコマンドは、前の手順のマネージド ID を myAzureSQLDBAccessGroup という名前の新しいグループに追加します。
groupid=$(az ad group create --display-name myAzureSQLDBAccessGroup --mail-nickname myAzureSQLDBAccessGroup --query objectId --output tsv)
msiobjectid=$(az webapp identity show --resource-group <group-name> --name <app-name> --query principalId --output tsv)
az ad group member add --group $groupid --member-id $msiobjectid
az ad group member list -g $groupid
Microsoft Entra グループのデータベース権限を付与するには、それぞれのデータベースの種類のドキュメントを参照してください。
エラー が発生します。
Azure データベースに接続するには、追加の設定が必要であり、このチュートリアルの範囲外です。 詳細については、以下のいずれかのリンクを参照してください。
Azure Database for PostgreSQL - シングル サーバーで TLS 接続を構成するアプリケーションで SSL 接続を構成して、Azure Database for MySQL
Service Connector で、アプリ ID にアクセス権を付与するには、データベースへのネットワーク アクセスが必要です。 Web App + データベース テンプレートを使用して Azure ポータルで既定でセキュリティで保護されたアプリとデータベース アーキテクチャを作成すると、アーキテクチャによってデータベースへのネットワーク アクセスがロックされ、仮想ネットワーク内からの接続のみが許可されます。 Azure Cloud Shellにも当てはまります。 ただし、仮想ネットワークにCloud Shellをデプロイ、そのCloud Shellで Service Connector コマンドを実行できます。
次のステップ
ここで学習した内容は次のとおりです。
- Azure データベースの管理者としてMicrosoft Entra ユーザーを構成します。
- Microsoft Entra ユーザーとしてデータベースに接続します。
- App Service アプリのシステム割り当てまたはユーザー割り当てマネージド ID を構成します。
- データベースへのアクセスをマネージド ID に付与します。
- マネージド ID を使用して、コード (.NET Framework 4.8、.NET 6、Node.js、Python、Java) からAzure データベースに接続します。
- Microsoft Entra ユーザーを使用して、開発環境からAzure データベースに接続します。
App Service と Azure Functions
