Подключение к Azure SQL с использованием субъекта-службы в NodeJS, но токен отклонен

У меня возникают проблемы с подключением моего приложения NodeJS к базе данных SQL Azure с помощью субъекта-службы. Однако когда я пытаюсь проделать то же самое с C # Snippet, он работает нормально. Я заметил, что токены, возвращаемые аутентификацией на обоих языках, немного отличаются, и если я возьму правильный токен с C # и жестко закодирую его в NodeJS, мое SQL-соединение теперь будет успешным.

Сначала я использую ms-rest-azure для проверки подлинности и предоставляю свои clientId, tenantId и clientSecret. Это возвращает действительные учетные данные, из которых я извлекаю accessToken.

Затем я утомительно пытаюсь подключиться к Azure SQL по адресу * .database.windows.net и указывать значение accessToken в конфигурации.

Я просто получаю сообщение Ошибка входа для пользователя '‹основного пользователя, идентифицированного токеном›'

Что я делаю неправильно при входе в систему ms-rest-azure, чтобы предоставить мне токен, который отклонен Azure SQL? Я заметил, что рабочий токен имеет аудиторию database.windows.net, тогда как токен из ms-rest-azure - это management.core.windows.net .

Я застрял на несколько дней, если у кого-нибудь есть какие-нибудь подсказки, это было бы круто. Документация по ms-rest-azure кажется практически несуществующей и просто дает вам обходной путь к страницам продаж Azure.

const msRestAzure = require('ms-rest-azure'); const { reject } = require('async'); let clientSecret = "xxx"; let serverName = "xxx.database.windows.net"; let databaseName = "xxx"; let clientId = "xxx"; let tenantId = "xxx"; azureCredentials = msRestAzure.loginWithServicePrincipalSecret(clientId, clientSecret, tenantId, function(err, credentials) { if (err) return console.log(err); credentials.getToken((err, results) => { if(err) return reject(err); let accessToken = results.accessToken; var Connection = require('tedious').Connection; var Request = require('tedious').Request; var config = { server: serverName, authentication: { type: 'azure-active-directory-access-token', options: { token: accessToken } } ,options: { debug: { packet: true, data: true, payload: true, token: false, log: true }, database: databaseName, encrypt: true } }; var connection = new Connection(config); connection.connect(); connection.on('connect', function(err) { if(err) { console.log(err); } executeStatement(); } ); connection.on('debug', function(text) { console.log(text); } ); function executeStatement() { request = new Request("select * from Text", function(err, rowCount) { if (err) { console.log(err); } else { console.log(rowCount + ' rows'); } connection.close(); }); request.on('row', function(columns) { columns.forEach(function(column) { if (column.value === null) { console.log('NULL'); } else { console.log(column.value); } }); }); request.on('done', function(rowCount, more) { console.log(rowCount + ' rows returned'); }); connection.execSql(request); } }); })

node.js azure-active-directory azure-sql-database azure-service-principal

Cameron Stubber    16.08.2020    источник

comment

Могли ли вы проанализировать свой токен с помощью jwt.ms?   -   Jim Xu    18.08.2020

Ответы (1)

arrow_upward
3
arrow_downward

когда мы используем сертификаты в пакете ms-rest-azure для получения токена, по умолчанию аудитория токена https://management.core.windows.net/, его просто можно использовать для вызова Azure rest api. Если мы хотим использовать токен Azure AD для подключения sql, аудитория токена должна быть https://database.windows.net/. Поэтому мы должны обновить код, используемый для получения токена, как

msrestAzure.loginWithServicePrincipalSecret( clientId, clientSecret, tenantId, { tokenAudience: "https://database.windows.net/", },

Например

Создать субъект-службу

az login az ad sp create-for-rbac -n 'MyApp' --skip-assignment

Настроить базу данных SQL

а. Используйте свой Администратор Azure Sql AD для подключения Azure SQL vai SSMS

б. Добавьте субъект-службу в нужную базу данных.

create user [<Azure_AD_principal_name>] from external provider ALTER ROLE db_owner ADD MEMBER [<Azure_AD_principal_name>]

код

var msrestAzure = require("ms-rest-azure"); var { Connection, Request } = require("tedious"); let clientSecret = "xxx"; let serverName = "xxx.database.windows.net"; let databaseName = "xxx"; let clientId = "xxx"; let tenantId = "xxx"; async function getConnect() { // way for Azure Service Principal let databaseCredentials = await msrestAzure.loginWithServicePrincipalSecret( clientId, clientSecret, tenantId, { tokenAudience: "https://database.windows.net/", }, ); // getting access token let databaseAccessToken = await new Promise((resolve, reject) => { databaseCredentials.getToken((err, results) => { if (err) return reject(err); resolve(results.accessToken); }); }); var config = { server: serverName, authentication: { type: "azure-active-directory-access-token", options: { token: databaseAccessToken, }, }, options: { debug: { packet: true, data: true, payload: true, token: false, log: true, }, database: databaseName, encrypt: true, }, }; var connection = new Connection(config); connection.connect(); connection.on("connect", function (err) { if (err) { console.log(err); } executeStatement(connection); }); connection.on("debug", function (text) { console.log(text); }); } function executeStatement(connection) { request = new Request("select * from CSVTest", function (err, rowCount) { if (err) { console.log(err); } else { console.log(rowCount + " rows"); } connection.close(); }); request.on("row", function (columns) { columns.forEach(function (column) { if (column.value === null) { console.log("NULL"); } else { console.log(column.value); } }); }); request.on("done", function (rowCount, more) { console.log(rowCount + " rows returned"); }); connection.execSql(request); } getConnect() .then(() => { console.log("run successfully"); }) .catch((err) => { console.log(err); });

Дополнительные сведения см. здесь

Jim Xu    18.08.2020

Подключение к Azure SQL с использованием субъекта-службы в NodeJS, но токен отклонен

Ответы (1)

Вопросы по теме