Azure Managed Identities in .Net 6.0

Azure Managed Identities lassen sich in .Net 6.0 mit dem EF Core 6.0 ohne Code-Anpassungen nutzen. Dies ist möglich über den SqlClient 2.1, der hier standardmäßig mitgeliefert wird. Hiermit können Managed Identites nur durch Anpassung des Connection Strings verwendet werden.
Der entsprechende Access Token wird dann automatisch vom SqlClient angefordert und verwendet um die Verbindung zur Azure SQL Database herzustellen.

Bisher hat man für eine Managed Identity z.B. folgenden Connection String verwendet:

Server=tcp:<your-server-name>.database.windows.net,1433;Initial Catalog=<your-db-name>;Persist Security Info=False;MultipleActiveResultSets=False;Encrypt=True;TrustServerCertificate=False;Connection Timeout=30

1	Server=tcp:<your-server-name>.database.windows.net,1433;Initial Catalog=<your-db-name>;Persist Security Info=False;MultipleActiveResultSets=False;Encrypt=True;TrustServerCertificate=False;Connection Timeout=30

Mit einer System Assigned Managed Identity kann man den Connection String jetzt direkt auf folgende Weise umschreiben:

Server=tcp:<your-server-name>.database.windows.net,1433;Authentication=Active Directory MSI;Initial Catalog=<your-db-name>;Persist Security Info=False;MultipleActiveResultSets=False;Encrypt=True;TrustServerCertificate=False;Connection Timeout=30

1	Server=tcp:<your-server-name>.database.windows.net,1433;Authentication=Active Directory MSI;Initial Catalog=<your-db-name>;Persist Security Info=False;MultipleActiveResultSets=False;Encrypt=True;TrustServerCertificate=False;Connection Timeout=30

Hierbei muss am entsprechenden App Service auch die entsprechende System Assigned Managed Identity aktiviert sein.

Weiterhin muss die Managed Identity an der Zieldatenbank entsprechende Berechtigungen besitzen. Die Managed Identity heißt dabei per Default genau wie der entsprechende App Service. In diesem Beispiel wird die Managed Identity der db_owner Rolle zugewiesen.

-- Create User for Managed Identity
CREATE USER [<name-of-managed-identity>] FROM EXTERNAL PROVIDER;

-- Assign db_owner database role to managed identity
ALTER ROLE [db_owner] ADD MEMBER [<name-of-managed-identity>];

-- Create User for Managed Identity

CREATE USER [<name-of-managed-identity>] FROM EXTERNAL PROVIDER;

-- Assign db_owner database role to managed identity

ALTER ROLE [db_owner] ADD MEMBER [<name-of-managed-identity>];

In der Praxis sollten hier allerdings minimale Berechtigungen gewählt werden. Gerade in Azure ist die db_owner Rolle für Azure SQL Datenbanken sehr mächtig und kann beispielsweise auch Skalierungsoperationen auf der Datenbank durchführen oder eigene Database Level Firewall Regeln erstellen.

Alternativ lassen sich auch User Assigned Managed Identities nutzen. Diese haben die Eigenschaft, dass man die gleiche Managed Identity auch für mehrere Dienste nutzen kann. Allerdings werden User Assigned Managed Identities nicht automatisch von Azure aufgeräumt, wenn der entsprechende App Service gelöscht wird.