チュートリアル: マネージド ID を使用してシークレットなしで App Service から Azure データベースに接続する

[アーティクル]
09/30/2024

App Service では、Azure の高度にスケーラブルな自己適用型の Web ホスティングサービスを提供しています。さらに、以下のような Azure データベースへのアクセスをセキュリティ保護するためのターンキーソリューションであるマネージド ID もアプリ向けに提供しています。

Note

このチュートリアルには、Microsoft Entra 認証を異なる方法でサポートする Azure Cosmos DB のガイダンスは含まれていません。詳しくは、「システム割り当てマネージド ID を使用して Azure Cosmos DB データにアクセスする」など、Azure Cosmos DB のドキュメントをご覧ください。

App Service のマネージド ID を使用すると、接続文字列内の認証情報などのシークレットをアプリから排除することで、アプリのセキュリティを強化できます。このチュートリアルでは、マネージド ID を使用して App Service から上記のデータベースに接続する方法について説明します。

学習内容

Microsoft Entra ユーザーを Azure データベースの管理者として構成します。
データベースに Microsoft Entra ユーザーとして接続します。
App Service アプリのシステム割り当てまたはユーザー割り当てマネージド ID を構成します。
データベースへのアクセスをマネージド ID に付与します。
マネージド ID を使用して、コード (.NET Framework 4.8、.NET 6、Node.js、Python、Java) から Azure データベースに接続します。
Microsoft Entra ユーザーを使用して、開発環境から Azure データベースに接続します。

Azure サブスクリプションをお持ちでない場合は、開始する前に Azure 無料アカウントを作成してください。

前提条件

.NET、Node.js、Python、または Java に基づいて、App Service でアプリを作成します。
Azure SQL Database、Azure Database for MySQL、または Azure Database for PostgreSQL でデータベースサーバーを作成します。
標準的な接続パターン (ユーザー名とパスワード) を熟知し、App Service アプリから選択したデータベースに正常に接続できるようになる必要があります。

Azure CLI の環境を準備します。

Azure Cloud Shell で Bash 環境を使用します。詳細については、「Azure Cloud Shell の Bash のクイックスタート」を参照してください。
CLI リファレンスコマンドをローカルで実行する場合、Azure CLI をインストールします。 Windows または macOS で実行している場合は、Docker コンテナーで Azure CLI を実行することを検討してください。詳細については、「Docker コンテナーで Azure CLI を実行する方法」を参照してください。
- ローカルインストールを使用する場合は、az login コマンドを使用して Azure CLI にサインインします。認証プロセスを完了するには、ターミナルに表示される手順に従います。その他のサインインオプションについては、Azure CLI でのサインインに関するページを参照してください。
- 初回使用時にインストールを求められたら、Azure CLI 拡張機能をインストールします。拡張機能の詳細については、Azure CLI で拡張機能を使用する方法に関するページを参照してください。
- az version を実行し、インストールされているバージョンおよび依存ライブラリを検索します。最新バージョンにアップグレードするには、az upgrade を実行します。

1.Service Connector パスワードレス拡張機能をインストールする

最新の Azure CLI 用 Service Connector パスワードレス拡張機能をインストールします。

az extension add --name serviceconnector-passwordless --upgrade

Note

az version を実行して、拡張機能 "serviceconnector-passwordless" バージョンが "2.0.2" 以降であることを確認してください。拡張機能のバージョンをアップグレードするには、最初に Azure CLI のアップグレードが必要になる場合があります。

2.パスワードレス接続を作成する

次に、Service Connector を使用してパスワードレス接続を作成します。

ヒント

Azure portal は、次のコマンドの作成に役立ちます。 Azure portal で、[Azure App Service] リソースに移動し、左側のメニューから [サービスコネクタ] を選択し、[作成] を選択します。フォームに必要なすべてのパラメーターを入力します。 Azure automaticaly によって接続作成コマンドが生成されます。このコマンドは、コピーして CLI で使用したり、Azure Cloud Shell で実行したりできます。

次の Azure CLI コマンドでは、--client-type パラメーターを使用します。

必要に応じて、az webapp connection create sql -h を実行してサポートされているクライアントの種類を取得します。

クライアントの種類を選択し、対応するコマンドを実行します。次のプレースホルダーを実際の情報に置き換えてください。

ユーザー割り当てマネージド ID
システム割り当てマネージド ID

az webapp connection create sql \
    --resource-group <group-name> \
    --name <server-name> \
    --target-resource-group <sql-group-name> \
    --server <sql-name> \
    --database <database-name> \
    --user-identity client-id=<client-id> subs-id=<subscription-id> \
    --client-type <client-type>

az webapp connection create sql \
    --resource-group <group-name> \
    --name <server-name> \
    --target-resource-group <group-name> \
    --server <sql-name> \
    --database <database-name> \
    --system-identity \
    --client-type <client-type>

Note

Azure Database for MySQL - フレキシブルサーバーの場合は、まず Microsoft Entra 認証を手動で設定する必要があります。これには、個別のユーザー割り当てマネージド ID と特定の Microsoft Graph アクセス許可が必要です。この手順は自動化できません。

手動で Azure Database for MySQL - フレキシブルサーバーの Microsoft Entra 認証を設定します。
必要に応じて、コマンド az webapp connection create mysql-flexible -h を実行してサポートされているクライアントの種類を取得します。

クライアントの種類を選択し、対応するコマンドを実行します。次の Azure CLI コマンドでは、--client-type パラメーターを使用します。

ユーザー割り当てマネージド ID
システム割り当てマネージド ID

az webapp connection create mysql-flexible \
    --resource-group <group-name> \
    --name <server-name> \
    --target-resource-group <group-name> \
    --server <mysql-name> \
    --database <database-name> \
    --user-identity client-id=XX subs-id=XX mysql-identity-id=$IDENTITY_RESOURCE_ID \
    --client-type <client-type>

az webapp connection create mysql-flexible \
--resource-group <group-name> \
--name <server-name> \
--target-resource-group <group-name> \
--server <mysql-name> \
--database <database-name> \
--system-identity mysql-identity-id=$IDENTITY_RESOURCE_ID \
--client-type <client-type>

次の Azure CLI コマンドでは、--client-type パラメーターを使用します。

必要に応じて、コマンド az webapp connection create postgres-flexible -h を実行して、サポートされているすべてのクライアントの種類の一覧を取得します。

クライアントの種類を選択し、対応するコマンドを実行します。

ユーザー割り当てマネージド ID
システム割り当てマネージド ID

az webapp connection create postgres-flexible \
    --resource-group <group-name> \
    --name <server-name> \
    --target-resource-group <group-name> \
    --server <postgresql-name> \
    --database <database-name> \
    --user-identity client-id=XX subs-id=XX \
    --client-type java

az webapp connection create postgres-flexible \
    --resource-group <group-name> \
    --name <server-name> \
    --target-resource-group <group-name> \
    --server <postgresql-name> \
    --database <database-name> \
    --system-identity \
    --client-type <client-type>

事前に作成されたテーブルへのアクセス許可を付与する

次に、Service Connector を使用する前に PostgreSQL フレキシブルサーバーでテーブルとシーケンスを作成している場合、所有者として接続し、Service Connector によって作成された <aad-username> にアクセス許可を付与する必要があります。 Service Connector によって設定された接続文字列または構成からのユーザー名は aad_<connection name> のようになるはずです。 Azure portal を使用する場合、Service Type 列の横にある展開ボタンを選択し、値を取得します。 Azure CLI を使用する場合、CLI コマンドの出力の configurations をチェックします。

次に、クエリを実行してアクセス許可を付与します

az extension add --name rdbms-connect

az postgres flexible-server execute -n <postgres-name> -u <owner-username> -p "<owner-password>" -d <database-name> --querytext "GRANT ALL PRIVILEGES ON ALL TABLES IN SCHEMA public TO \"<aad-username>\";GRANT ALL PRIVILEGES ON ALL SEQUENCES IN SCHEMA public TO \"<aad username>\";"

<owner-username> と <owner-password> は、他のユーザーにアクセス許可を付与できる既存のテーブルの所有者です。 <aad-username> は、サービスコネクタによって作成されたユーザーです。これらを実際の値に置き換えます。

次のコマンドを使用して結果を検証します。

az postgres flexible-server execute -n <postgres-name> -u <owner-username> -p "<owner-password>" -d <database-name> --querytext "SELECT distinct(table_name) FROM information_schema.table_privileges WHERE grantee='<aad-username>' AND table_schema='public';" --output table

この Service Connector コマンドは、バックグラウンドで次のタスクを完了します。

システム割り当てマネージド ID を有効にするか、Azure App Service によってホストされているアプリ <server-name> のユーザー ID を割り当てます。
Microsoft Entra 管理者を現在サインインしているユーザーに設定します。
システム割り当てマネージド ID またはユーザー割り当てマネージド ID のデータベースユーザーを追加します。データベース <database-name> のすべての特権をこのユーザーに付与します。ユーザー名は、前のコマンド出力の接続文字列で確認できます。
AZURE_MYSQL_CONNECTIONSTRING、AZURE_POSTGRESQL_CONNECTIONSTRING、または AZURE_SQL_CONNECTIONSTRING という名前の構成を、データベースの種類に基づいて Azure リソースに設定します。
App Service の場合、構成は [アプリの設定] ブレードで設定されます。

接続の作成時に問題が発生した場合は、「トラブルシューティング」を参照してください。

3. コードを変更する

依存関係をインストールします。

dotnet add package Microsoft.Data.SqlClient

サービスコネクタによって追加された環境変数から Azure SQL Database 接続文字列を取得します。

using Microsoft.Data.SqlClient;

// AZURE_SQL_CONNECTIONSTRING should be one of the following:
// For system-assigned managed identity:"Server=tcp:<server-name>.database.windows.net;Database=<database-name>;Authentication=Active Directory Default;TrustServerCertificate=True"
// For user-assigned managed identity: "Server=tcp:<server-name>.database.windows.net;Database=<database-name>;Authentication=Active Directory Default;User Id=<client-id-of-user-assigned-identity>;TrustServerCertificate=True"

string connectionString = 
    Environment.GetEnvironmentVariable("AZURE_SQL_CONNECTIONSTRING")!;

using var connection = new SqlConnection(connectionString);
connection.Open();

詳細については、「Active Directory Managed Identity 認証の使用」を参照してください。

pom.xml ファイルに次の依存関係を追加します。

<dependency>
    <groupId>com.azure</groupId>
    <artifactId>azure-identity</artifactId>
    <version>1.4.6</version>
</dependency>
<dependency>
    <groupId>com.microsoft.sqlserver</groupId>
    <artifactId>mssql-jdbc</artifactId>
    <version>10.2.0.jre11</version>
</dependency>

サービスコネクタによって追加された環境変数から Azure SQL Database 接続文字列を取得します。

import java.sql.Connection;
import java.sql.ResultSet;
import java.sql.Statement;

import com.microsoft.sqlserver.jdbc.SQLServerDataSource;

public class Main {
    public static void main(String[] args) {
        // AZURE_SQL_CONNECTIONSTRING should be one of the following:
        // For system-assigned managed identity: "jdbc:sqlserver://{SQLName}.database.windows.net:1433;databaseName={SQLDbName};authentication=ActiveDirectoryMSI;"
        // For user-assigned managed identity: "jdbc:sqlserver://{SQLName}.database.windows.net:1433;databaseName={SQLDbName};msiClientId={UserAssignedMiClientId};authentication=ActiveDirectoryMSI;"
        String connectionString = System.getenv("AZURE_SQL_CONNECTIONSTRING");
        SQLServerDataSource ds = new SQLServerDataSource();
        ds.setURL(connectionString);
        try (Connection connection = ds.getConnection()) {
            System.out.println("Connected successfully.");
        } catch (SQLException e) {
            e.printStackTrace();
        }
    }
}

詳細については、「Microsoft Entra 認証を使用して接続する」を参照してください。

依存関係をインストールします。
```
python -m pip install pyodbc
```

サービスコネクタによって追加された環境変数から Azure SQL Database 接続構成を取得します。使用する認証型のコードスニペットの一部をコメント解除します。

import os;
import pyodbc

server = os.getenv('AZURE_SQL_SERVER')
port = os.getenv('AZURE_SQL_PORT')
database = os.getenv('AZURE_SQL_DATABASE')
authentication = os.getenv('AZURE_SQL_AUTHENTICATION')  # The value should be 'ActiveDirectoryMsi'

# Uncomment the following lines according to the authentication type.
# For system-assigned managed identity.
# connString = f'Driver={{ODBC Driver 18 for SQL Server}};Server={server},{port};Database={database};Authentication={authentication};Encrypt=yes;'

# For user-assigned managed identity.
# client_id = os.getenv('AZURE_SQL_USER')
# connString = f'Driver={{ODBC Driver 18 for SQL Server}};Server={server},{port};Database={database};UID={client_id};Authentication={authentication};Encrypt=yes;'

conn = pyodbc.connect(connString)

別の方法として、アクセストークンを使用して Azure SQL Database に接続することもできます。「Azure SQL Database との間でパスワードレス接続を使うように Python アプリケーションを移行する」を参照してください。

依存関係をインストールします。
```
npm install mssql
```

import sql from 'mssql';

const server = process.env.AZURE_SQL_SERVER;
const database = process.env.AZURE_SQL_DATABASE;
const port = parseInt(process.env.AZURE_SQL_PORT);
const authenticationType = process.env.AZURE_SQL_AUTHENTICATIONTYPE;

// Uncomment the following lines according to the authentication type.
// For system-assigned managed identity.
// const config = {
//     server,
//     port,
//     database,
//     authentication: {
//         authenticationType
//     },
//     options: {
//        encrypt: true
//     }
// };  

// For user-assigned managed identity.
// const clientId = process.env.AZURE_SQL_CLIENTID;
// const config = {
//     server,
//     port,
//     database,
//     authentication: {
//         type: authenticationType
//     },
//     options: {
//         encrypt: true,
//         clientId: clientId
//     }
// };  

this.poolconnection = await sql.connect(config);

詳細については、「Microsoft SQL Server に対するクライアントプログラミングのホームページ」を参照してください。その他のコードサンプルについては、「Service Connector を使用してデータベースサービスへのパスワードレス接続を作成する」を参照してください。

コード内の Azure Database for MySQL への接続では、すべての言語スタックの DefaultAzureCredential パターンに従います。 DefaultAzureCredential は、開発環境と Azure 環境の両方に適応できるだけの柔軟性を備えています。ローカルで実行しているとき、任意の環境 (Visual Studio、Visual Studio Code、Azure CLI、Azure PowerShell) からログインしている Azure ユーザーを取得できます。 Azure で実行しているとき、マネージド ID が取得されます。そのため、開発時と運用時の両方でデータベースへの接続が可能です。パターンは次のとおりです。

Azure ID クライアントライブラリから DefaultAzureCredential をインスタンス化します。ユーザー割り当て ID を使用している場合は、ID のクライアント ID を指定します。
Azure Database for MySQL のアクセストークン https://ossrdbms-aad.database.windows.net/.default を取得します。
トークンを接続文字列に追加します。
接続を開きます。

.NET については、Azure.Identity などのクライアントライブラリを使用して、マネージド ID のアクセストークンを取得します。次に、アクセストークンをパスワードとして使用してデータベースに接続できます。次のコードを使用する場合は、使用する認証型に対応するコードスニペットの一部をコメント解除します。

using Azure.Core;
using Azure.Identity;
using MySqlConnector;

// Uncomment the following lines according to the authentication type.
// For system-assigned managed identity.
// var credential = new DefaultAzureCredential();

// For user-assigned managed identity.
// var credential = new DefaultAzureCredential(
//     new DefaultAzureCredentialOptions
//     {
//         ManagedIdentityClientId = Environment.GetEnvironmentVariable("AZURE_MYSQL_CLIENTID");
//     });

var tokenRequestContext = new TokenRequestContext(
    new[] { "https://ossrdbms-aad.database.windows.net/.default" });
AccessToken accessToken = await credential.GetTokenAsync(tokenRequestContext);
// Open a connection to the MySQL server using the access token.
string connectionString =
    $"{Environment.GetEnvironmentVariable("AZURE_MYSQL_CONNECTIONSTRING")};Password={accessToken.Token}";

using var connection = new MySqlConnection(connectionString);
Console.WriteLine("Opening connection using access token...");
await connection.OpenAsync();

// do something

pom.xml ファイルに次の依存関係を追加します。

<dependency>
    <groupId>mysql</groupId>
    <artifactId>mysql-connector-java</artifactId>
    <version>8.0.30</version>
</dependency>
<dependency>
    <groupId>com.azure</groupId>
    <artifactId>azure-identity-extensions</artifactId>
    <version>1.1.5</version>
</dependency>

環境変数から接続文字列を取得し、データベースに接続するためのプラグイン名を追加します。

String url = System.getenv("AZURE_MYSQL_CONNECTIONSTRING");  
String pluginName = "com.azure.identity.extensions.jdbc.mysql.AzureMysqlAuthenticationPlugin";
Connection connection = DriverManager.getConnection(url + "&defaultAuthenticationPlugin=" +
    pluginName + "&authenticationPlugins=" + pluginName);

詳細については、「Azure Database for MySQL - フレキシブルサーバーで Java と JDBC を使用する」を参照してください。

依存関係をインストールします。

pip install azure-identity
# install Connector/Python https://dev.mysql.com/doc/connector-python/en/connector-python-installation.html
pip install mysql-connector-python

azure-identity ライブラリからのアクセストークンを使用して認証します。 Service Connector によって追加された環境変数から接続情報を取得します。次のコードを使用する場合は、使用する認証型に対応するコードスニペットの一部をコメント解除します。

from azure.identity import ManagedIdentityCredential, ClientSecretCredential
import mysql.connector
import os

# Uncomment the following lines according to the authentication type.
# For system-assigned managed identity.
# cred = ManagedIdentityCredential()    

# For user-assigned managed identity.
# managed_identity_client_id = os.getenv('AZURE_MYSQL_CLIENTID')
# cred = ManagedIdentityCredential(client_id=managed_identity_client_id)

# acquire token
accessToken = cred.get_token('https://ossrdbms-aad.database.windows.net/.default')

# open connect to Azure MySQL with the access token.
host = os.getenv('AZURE_MYSQL_HOST')
database = os.getenv('AZURE_MYSQL_NAME')
user = os.getenv('AZURE_MYSQL_USER')
password = accessToken.token

cnx = mysql.connector.connect(user=user,
                              password=password,
                              host=host,
                              database=database)
cnx.close()

依存関係をインストールします。

npm install --save @azure/identity
npm install --save mysql2

Service Connector によって追加された環境変数からの Azure MySQL データベース情報と @azure/identity を使用して、アクセストークンを取得します。次のコードを使用する場合は、使用する認証型に対応するコードスニペットの一部をコメント解除します。

import { DefaultAzureCredential,ClientSecretCredential } from "@azure/identity";

const mysql = require('mysql2');

// Uncomment the following lines according to the authentication type.
// for system-assigned managed identity
// const credential = new DefaultAzureCredential();

// for user-assigned managed identity
// const clientId = process.env.AZURE_MYSQL_CLIENTID;
// const credential = new DefaultAzureCredential({
//    managedIdentityClientId: clientId
// });

// acquire token
var accessToken = await credential.getToken('https://ossrdbms-aad.database.windows.net/.default');

const connection = mysql.createConnection({
  host: process.env.AZURE_MYSQL_HOST,
  user: process.env.AZURE_MYSQL_USER,
  password: accessToken.token,
  database: process.env.AZURE_MYSQL_DATABASE,
  port: process.env.AZURE_MYSQL_PORT,
  ssl: process.env.AZURE_MYSQL_SSL
});

connection.connect((err) => {
  if (err) {
    console.error('Error connecting to MySQL database: ' + err.stack);
    return;
  }
  console.log('Connected to MySQL database');
});

その他のコードサンプルについては、「Service Connector を使用してデータベースサービスへのパスワードレス接続を作成する」を参照してください。

コード内の Azure Database for PostgreSQL への接続では、すべての言語スタックの DefaultAzureCredential パターンに従います。 DefaultAzureCredential は、開発環境と Azure 環境の両方に適応できるだけの柔軟性を備えています。ローカルで実行しているとき、任意の環境 (Visual Studio、Visual Studio Code、Azure CLI、Azure PowerShell) からログインしている Azure ユーザーを取得できます。 Azure で実行しているとき、マネージド ID が取得されます。そのため、開発時と運用時の両方でデータベースへの接続が可能です。パターンは次のとおりです。

Azure ID クライアントライブラリから DefaultAzureCredential をインスタンス化します。ユーザー割り当て ID を使用している場合は、ID のクライアント ID を指定します。
Azure Database for PostgreSQL のアクセストークン https://ossrdbms-aad.database.windows.net/.default を取得します。
トークンを接続文字列に追加します。
接続を開きます。

using Azure.Identity;
using Azure.Core;
using Npgsql;

// Uncomment the following lines according to the authentication type.
// For system-assigned identity.
// var sqlServerTokenProvider = new DefaultAzureCredential();

// For user-assigned identity.
// var sqlServerTokenProvider = new DefaultAzureCredential(
//     new DefaultAzureCredentialOptions
//     {
//         ManagedIdentityClientId = Environment.GetEnvironmentVariable("AZURE_POSTGRESQL_CLIENTID");
//     }
// );

// Acquire the access token. 
AccessToken accessToken = await sqlServerTokenProvider.GetTokenAsync(
    new TokenRequestContext(scopes: new string[]
    {
        "https://ossrdbms-aad.database.windows.net/.default"
    }));

// Combine the token with the connection string from the environment variables provided by Service Connector.
string connectionString =
    $"{Environment.GetEnvironmentVariable("AZURE_POSTGRESQL_CONNECTIONSTRING")};Password={accessToken.Token}";

// Establish the connection.
using (var connection = new NpgsqlConnection(connectionString))
{
    Console.WriteLine("Opening connection using access token...");
    connection.Open();
}

pom.xml ファイルに次の依存関係を追加します。

<dependency>
    <groupId>org.postgresql</groupId>
    <artifactId>postgresql</artifactId>
    <version>42.3.6</version>
</dependency>
<dependency>
    <groupId>com.azure</groupId>
    <artifactId>azure-identity-extensions</artifactId>
    <version>1.1.5</version>
</dependency>

環境変数から接続文字列を取得し、データベースに接続するためのプラグイン名を追加します。

import java.sql.*;

String url = System.getenv("AZURE_POSTGRESQL_CONNECTIONSTRING");
String pluginName = "com.Azure.identity.extensions.jdbc.postgresql.AzurePostgresqlAuthenticationPlugin";  
Connection connection = DriverManager.getConnection(url + "&authenticationPluginClassName=" + pluginName);

詳細については、次のリソースを参照してください。

依存関係をインストールします。

pip install azure-identity
pip install psycopg2-binary

azure-identity ライブラリから取得したアクセストークンで認証し、トークンをパスワードとして使います。 Service Connector によって追加された環境変数から接続情報を取得します。次のコードを使用する場合は、使用する認証型に対応するコードスニペットの一部をコメント解除します。

from azure.identity import DefaultAzureCredential
import psycopg2

# Uncomment the following lines according to the authentication type.
# For system-assigned identity.
# cred = DefaultAzureCredential()

# For user-assigned identity.
# managed_identity_client_id = os.getenv('AZURE_POSTGRESQL_CLIENTID')
# cred = ManagedIdentityCredential(client_id=managed_identity_client_id)   

# Acquire the access token
accessToken = cred.get_token('https://ossrdbms-aad.database.windows.net/.default')

# Combine the token with the connection string from the environment variables added by Service Connector to establish the connection.
conn_string = os.getenv('AZURE_POSTGRESQL_CONNECTIONSTRING')
conn = psycopg2.connect(conn_string + ' password=' + accessToken.token)

詳細については、次のリソースを参照してください。

依存関係をインストールします。

npm install --save @azure/identity
npm install --save pg

コードで、@azure/identity 経由でアクセストークンを取得し、Service Connector サービスによって追加された環境変数から PostgreSQL 接続情報を取得します。これらを組み合わせて接続を確立します。次のコードを使用する場合は、使用する認証型に対応するコードスニペットの一部をコメント解除します。

import { DefaultAzureCredential, ClientSecretCredential } from "@azure/identity";
const { Client } = require('pg');

// Uncomment the following lines according to the authentication type.  
// For system-assigned identity.
// const credential = new DefaultAzureCredential();

// For user-assigned identity.
// const clientId = process.env.AZURE_POSTGRESQL_CLIENTID;
// const credential = new DefaultAzureCredential({
//     managedIdentityClientId: clientId
// });

// Acquire the access token.
var accessToken = await credential.getToken('https://ossrdbms-aad.database.windows.net/.default');

// Use the token and the connection information from the environment variables added by Service Connector to establish the connection.
(async () => {
const client = new Client({
    host: process.env.AZURE_POSTGRESQL_HOST,
    user: process.env.AZURE_POSTGRESQL_USER,
    password: accesstoken.token,
    database: process.env.AZURE_POSTGRESQL_DATABASE,
    port: Number(process.env.AZURE_POSTGRESQL_PORT) ,
    ssl: process.env.AZURE_POSTGRESQL_SSL
});
await client.connect();

await client.end();
})();

その他のコードサンプルについては、「Service Connector を使用してデータベースサービスへのパスワードレス接続を作成する」を参照してください。

4. 開発環境をセットアップする

このサンプルコードは DefaultAzureCredential を使用して Azure データベースの使用可能トークンを Microsoft Entra ID から取得して、データベース接続に追加します。 DefaultAzureCredential はカスタマイズ可能ですが、既に既定で万能で使用できます。トークンをサインインした Microsoft Entra ユーザーから取得するかマネージド ID から取得するかは、開発環境でローカルで実行するか、App Service で実行するかによって異なります。

これ以上変更することなく、あなたのコードは Azure で実行する準備ができました。ただしコードをローカルでデバッグするには、サインインした Microsoft Entra ユーザーが開発環境に必要です。この手順では、Microsoft Entra ユーザーでサインインして、お好きな環境を構成します。

Visual Studio for Windows は Microsoft Entra 認証と統合されています。 Visual Studio で開発とデバッグを有効にするには、メニューから [ファイル]>[アカウント設定] を選択し、[サインイン] または [追加] を選択して、Visual Studio で Microsoft Entra ユーザーを追加してください。
Azure サービス認証用に Microsoft Entra ユーザーを設定するには、メニューから [ツール]>[オプション] の順に選択した後、[Azure サービス認証]>[アカウントの選択] の順に選択してください。追加した Microsoft Entra ユーザーを選択し、[OK] を選択してください。

Visual Studio for Mac は Microsoft Entra 認証と統合されて "いません"。ただし、後で使用する Azure ID クライアントライブラリでは、Azure CLI からトークンを取得することもできます。 Visual Studio での開発とデバッグを可能にするには、ご使用のローカルコンピューター上に Azure CLI をインストールします。
ご自分の Microsoft Entra ユーザーを使用して、次のコマンドで Azure CLI にサインインしてください。
```
az login --allow-no-subscriptions
```

後で使用する Azure ID クライアントライブラリでは、Azure CLI のトークンを使用できます。コマンドラインベースの開発を有効にするには、ローカルコンピューターに Azure CLI をインストールします。
ご自分の Microsoft Entra ユーザーを使用して、次のコマンドで Azure にサインインしてください。
```
az login --allow-no-subscriptions
```

後で使用する Azure ID クライアントライブラリは、Azure PowerShell のトークンが使用できます。コマンドラインベースの開発を有効にするには、ローカルコンピューターに Azure PowerShellをインストールします。
ご自分の Microsoft Entra ユーザーを使用して、次のコマンドレットで Azure CLI にサインインしてください。
```
Connect-AzAccount
```

Microsoft Entra 認証用に開発環境を設定する方法の詳細については.NET 用 Azure Identity クライアントライブラリに関するページを参照してください。

これで、Microsoft Entra 認証を使用し、SQL Database をバックエンドとして利用して、ご自分のアプリを開発およびデバッグする準備ができました。

5. テストして発行する

コードを開発環境で実行します。コードは、環境内でサインインした Microsoft Entra ユーザーを使って、バックエンドデータベースに接続します。このユーザーがデータベースにアクセスできる理由は、データベースの Microsoft Entra 管理者として構成されているからです。
コードを Azure に、望ましい発行方法を使用して発行します。 App Service では、コードはアプリのマネージド ID を使用してバックエンドデータベースに接続します。

よく寄せられる質問

マネージド ID は SQL Server をサポートしていますか?
エラー Login failed for user '<token-identified principal>'. が発生します
App Service 認証または関連しているアプリ登録に変更を加えました。古いトークンをまだ取得するのはなぜですか?
マネージド ID を Microsoft Entra グループに追加するにはどうすればよいですか?
エラー SSL connection is required. Please specify SSL options and retry が発生します。
Web App + Database テンプレートを使用してアプリを作成しましたが、Service Connector コマンドを使用してマネージド ID 接続を構成できなくなりました。

マネージド ID は SQL Server をサポートしていますか?

はい。詳細については、以下を参照してください:

エラー `Login failed for user '<token-identified principal>'.` が発生します

トークンを要求しようとしているマネージド ID が、Azure データベースへのアクセスを許可されていません。

App Service 認証または関連しているアプリ登録に変更を加えました。古いトークンをまだ取得するのはなぜですか?

マネージド ID のバックエンドサービスは、トークンキャッシュも管理します。トークンキャッシュでは、有効期限が切れたときにのみターゲットリソースのトークンが更新されます。アプリでトークンを取得しようとした後に構成を変更すると、キャッシュされたトークンの期限が切れるまで、更新されたアクセス許可で新しいトークンが実際には取得されません。この問題を回避するには、新しい InPrivate (Edge)/private (Safari)/Incognito (Chrome) ウィンドウで変更をテストするのが最もよい方法です。そうすれば、新しい認証済みセッションから始めることができます。

マネージド ID を Microsoft Entra グループに追加するにはどうすればよいですか?

必要に応じて、Microsoft Entra グループに ID を追加し、ID ではなく Microsoft Entra グループにアクセスを許可することができます。たとえば、次のコマンドは、前の手順のマネージド ID を myAzureSQLDBAccessGroup という名前の新しいグループに追加します。

groupid=$(az ad group create --display-name myAzureSQLDBAccessGroup --mail-nickname myAzureSQLDBAccessGroup --query objectId --output tsv)
msiobjectid=$(az webapp identity show --resource-group <group-name> --name <app-name> --query principalId --output tsv)
az ad group member add --group $groupid --member-id $msiobjectid
az ad group member list -g $groupid

Microsoft Entra グループのデータベースアクセス許可を付与するには、それぞれのデータベースの種類に関するドキュメントを参照してください。

エラー `SSL connection is required. Please specify SSL options and retry` が発生します。

Azure データベースへの接続に追加の設定が必要であり、このチュートリアルのスコープを超えています。詳細については、以下のいずれかのリンクを参照してください。

Azure Database for PostgreSQL (単一サーバー) で TLS 接続を構成する zure Database for MySQL に安全に接続するためにアプリケーションで SSL 接続を構成する

Web App + Database テンプレートを使用してアプリを作成しましたが、Service Connector コマンドを使用してマネージド ID 接続を構成できなくなりました。

Service Connector で、アプリ ID にアクセス権を付与するには、データベースへのネットワークアクセスが必要です。 Azure portal で Web App + Database テンプレートを使用して、既定でセキュリティで保護されたアプリとデータベースのアーキテクチャを作成すると、そのアーキテクチャにより、データベースへのネットワークアクセスはロックダウンされ、仮想ネットワーク内からの接続のみが許可されます。これは Azure Cloud Shell の場合も当てはまります。ただし、仮想ネットワークに Cloud Shell をデプロイしてから、その Cloud Shell で Service Connector コマンドを実行することはできます。

次のステップ

ここで学習した内容は次のとおりです。

Microsoft Entra ユーザーを Azure データベースの管理者として構成します。
データベースに Microsoft Entra ユーザーとして接続します。
App Service アプリのシステム割り当てまたはユーザー割り当てマネージド ID を構成します。
データベースへのアクセスをマネージド ID に付与します。
マネージド ID を使用して、コード (.NET Framework 4.8、.NET 6、Node.js、Python、Java) から Azure データベースに接続します。
Microsoft Entra ユーザーを使用して、開発環境から Azure データベースに接続します。

App Service と Azure Functions でマネージド ID を使用する方法

チュートリアル: マネージド ID を使用してシークレットなしで .NET App Service から SQL Database に接続する

チュートリアル: マネージド ID をサポートしていない Azure サービスに接続する (Key Vault を使用)

チュートリアル: 仮想ネットワーク統合を使用してバックエンド通信を分離する

次の方法で共有

チュートリアル: マネージド ID を使用してシークレットなしで App Service から Azure データベースに接続する

前提条件

1.Service Connector パスワードレス拡張機能をインストールする

2.パスワードレス接続を作成する

3. コードを変更する

4. 開発環境をセットアップする

5. テストして発行する

よく寄せられる質問

マネージド ID は SQL Server をサポートしていますか?

App Service 認証または関連しているアプリ登録に変更を加えました。古いトークンをまだ取得するのはなぜですか?

マネージド ID を Microsoft Entra グループに追加するにはどうすればよいですか?

エラー `SSL connection is required. Please specify SSL options and retry` が発生します。

Web App + Database テンプレートを使用してアプリを作成しましたが、Service Connector コマンドを使用してマネージド ID 接続を構成できなくなりました。

次のステップ

フィードバック

その他のリソース

次の方法で共有

チュートリアル: マネージド ID を使用してシークレットなしで App Service から Azure データベースに接続する

前提条件

1.Service Connector パスワードレス拡張機能をインストールする

2.パスワードレス接続を作成する

3. コードを変更する

4. 開発環境をセットアップする

5. テストして発行する

よく寄せられる質問

マネージド ID は SQL Server をサポートしていますか?

エラー Login failed for user '<token-identified principal>'. が発生します

App Service 認証または関連しているアプリ登録に変更を加えました。 古いトークンをまだ取得するのはなぜですか?

マネージド ID を Microsoft Entra グループに追加するにはどうすればよいですか?

エラー SSL connection is required. Please specify SSL options and retry が発生します。

Web App + Database テンプレートを使用してアプリを作成しましたが、Service Connector コマンドを使用してマネージド ID 接続を構成できなくなりました。

次のステップ

フィードバック

その他のリソース

エラー `Login failed for user '<token-identified principal>'.` が発生します

App Service 認証または関連しているアプリ登録に変更を加えました。古いトークンをまだ取得するのはなぜですか?

エラー `SSL connection is required. Please specify SSL options and retry` が発生します。