Konfigurera lösenordslösa databasanslutningar för Java-appar på Red Hat JBoss EAP

2025-07-22

Den här artikeln visar hur du konfigurerar lösenordslösa databasanslutningar för Java-appar på Red Hat JBoss EAP-erbjudanden med Azure-portalen.

I den här guiden utför du följande uppgifter:

Etablera databasresurser med Hjälp av Azure CLI.
Aktivera Microsoft Entra-administratören i databasen.
Etablera en användartilldelad hanterad identitet och skapa en databasanvändare för den.
Konfigurera en lösenordslös databasanslutning i Red Hat JBoss EAP-erbjudanden med Azure-portalen.
Verifiera databasanslutningen.

Erbjudandena stöder lösenordslösa anslutningar för Azure Database for PostgreSQL- och Azure SQL-databaser.

Förutsättningar

Ett Azure-abonnemang. Om du inte har en Azure-prenumeration kan du skapa ettkostnadsfritt konto innan du börjar.
Använd Azure Cloud Shell- med hjälp av Bash-miljön. Kontrollera att Azure CLI-versionen är 2.43.0 eller senare.
Om du vill kan du installera Azure CLI 2.43.0 eller senare för att köra Azure CLI-kommandon.
- Om du använder en lokal installation loggar du in med Azure CLI med hjälp av kommandot az login. För att slutföra autentiseringsprocessen, följ stegen som visas i din terminal. Se Logga in med Azure CLI för andra inloggningsalternativ.
- När du uppmanas till det installerar du Azure CLI-tillägg vid första användning. För mer information om tillägg, se Använda tillägg med Azure CLI.
- Kör az version för att hitta den version och de beroende bibliotek som är installerade. Om du vill uppgradera till den senaste versionen kör du az upgrade.
Kontrollera att den Azure-identitet som du använder för att logga in och slutföra den här artikeln har rollen Ägare i den aktuella prenumerationen eller rollen Deltagare och Administratör för användaråtkomst i den aktuella prenumerationen. En översikt över Azure-roller finns i Vad är rollbaserad åtkomstkontroll i Azure (Azure RBAC)? Mer information om de specifika roller som krävs av Oracle WebLogic Marketplace-erbjudandet finns i Inbyggda Roller i Azure.

Välj en region för distributionen

Välj en region som har tillgängliga SKU:er för din önskade databas. Följande Azure CLI-kommando visar en lista över tillgängliga SKU:er i en viss region. Fortsätt att prova olika regioner tills du hittar en som har några resultat.

az mysql flexible-server list-skus --location "$REGION" --output table

az postgres flexible-server list-skus --location "$REGION" --output table

az sql db list-editions --location "$REGION" --output table

Skapa en resursgrupp

Skapa en resursgrupp med az group create. Eftersom resursgrupper måste vara unika i en prenumeration väljer du ett unikt namn. Ett enkelt sätt att få unika namn är att använda en kombination av dina initialer, dagens datum och någon identifierare – till exempel abc1228rg. I det här exemplet skapas en resursgrupp med namnet abc1228rg på eastus platsen.

export RESOURCE_GROUP_NAME="abc1228rg"
export REGION=eastus
az group create \
    --name ${RESOURCE_GROUP_NAME} \
    --location ${REGION}

Skapa en databasserver och en databas

Skapa en flexibel server med kommandot az mysql flexible-server create. Det här exemplet skapar en flexibel server med namnet mysql20221201 med administratörsanvändare azureuser och administratörslösenord Secret123456. Ersätt lösenordet med ditt. Mer information finns i Skapa en flexibel Azure Database for MySQL-server med Azure CLI.

export MYSQL_NAME="mysql20221201"
export MYSQL_ADMIN_USER="azureuser"
export MYSQL_ADMIN_PASSWORD="Secret123456"

az mysql flexible-server create \
    --resource-group $RESOURCE_GROUP_NAME \
    --name $MYSQL_NAME \
    --location ${REGION} \
    --admin-user $MYSQL_ADMIN_USER \
    --admin-password $MYSQL_ADMIN_PASSWORD \
    --public-access 0.0.0.0 \
    --tier Burstable \
    --sku-name Standard_B1ms

Skapa en databas med az mysql flexible-server db create.

export DATABASE_NAME="contoso"

# create mysql database
az mysql flexible-server db create \
    --resource-group $RESOURCE_GROUP_NAME \
    --server-name $MYSQL_NAME \
    --database-name $DATABASE_NAME

När kommandot har slutförts bör du se utdata som liknar följande exempel:

Creating database with utf8 charset and utf8_general_ci collation
{
  "charset": "utf8",
  "collation": "utf8_general_ci",
  "id": "/subscriptions/contoso-hashcode/resourceGroups/abc1228rg/providers/Microsoft.DBforMySQL/flexibleServers/mysql20221201/databases/contoso",
  "name": "contoso",
  "resourceGroup": "abc1228rg",
  "systemData": null,
  "type": "Microsoft.DBforMySQL/flexibleServers/databases"
}

Skapa en flexibel server med kommandot az postgres flexible-server create. Det här exemplet skapar en flexibel server med namnet postgresql20221223 med administratörsanvändare azureuser och administratörslösenord Secret123456. Ersätt lösenordet med ditt. Mer information finns i Skapa en flexibel Azure Database for PostgreSQL-server med Azure CLI.

export POSTGRESQL_NAME="postgresql20221223"
export POSTGRESQL_ADMIN_USER="azureuser"
export POSTGRESQL_ADMIN_PASSWORD="Secret123456"

az postgres flexible-server create \
    --resource-group $RESOURCE_GROUP_NAME \
    --name $POSTGRESQL_NAME \
    --location ${REGION} \
    --admin-user $POSTGRESQL_ADMIN_USER \
    --admin-password $POSTGRESQL_ADMIN_PASSWORD \
    --public-access 0.0.0.0 \
    --tier Burstable \
    --sku-name Standard_B1ms \
    --active-directory-auth Enabled

Skapa en databas med az postgres flexible-server db create.

export DATABASE_NAME="contoso"

# create postgresql database
az postgres flexible-server db create \
    --resource-group $RESOURCE_GROUP_NAME \
    --server-name $POSTGRESQL_NAME \
    --database-name $DATABASE_NAME

Tillåt offentlig åtkomst från valfri Azure-tjänst i Azure till den här servern.

az postgres flexible-server firewall-rule create \
    --resource-group $RESOURCE_GROUP_NAME \
    --name $POSTGRESQL_NAME \
    --rule-name AllowAllAzureServices \
    --start-ip-address 0.0.0.0 \
    --end-ip-address 0.0.0.0

Skapa en server med kommandot az sql server create. Det här exemplet skapar en server med namnet myazuresql20130213 med administratörsanvändare azureuser och administratörslösenord Secret123456. Ersätt lösenordet med ditt. Mer information finns i Snabbstart: Skapa en enkel databas – Azure SQL Database.

export AZURESQL_SERVER_NAME="myazuresql20130213"
export AZURESQL_ADMIN_USER="azureuser"
export AZURESQL_ADMIN_PASSWORD="Secret123456"

az sql server create \
    --resource-group $RESOURCE_GROUP_NAME \
    --name $AZURESQL_SERVER_NAME \
    --location ${REGION} \
    --admin-user $AZURESQL_ADMIN_USER \
    --admin-password $AZURESQL_ADMIN_PASSWORD

Skapa en databas med kommandot az sql db create på serverlös beräkningsnivå.

export DATABASE_NAME="mysingledatabase20230213"

az sql db create \
    --resource-group $RESOURCE_GROUP_NAME \
    --server $AZURESQL_SERVER_NAME \
    --name $DATABASE_NAME \
    --sample-name AdventureWorksLT \
    --edition GeneralPurpose \
    --compute-model Serverless \
    --family Gen5 \
    --capacity 2

Konfigurera en Microsoft Entra-administratör för databasen

Nu när du har skapat databasen måste du göra den redo att stödja lösenordslösa anslutningar. En lösenordslös anslutning kräver en kombination av hanterade identiteter för Azure-resurser och Microsoft Entra-autentisering. En översikt över hanterade identiteter för Azure-resurser finns i Vad är hanterade identiteter för Azure-resurser?

Information om hur MySQL – flexibel server interagerar med hanterade identiteter finns i dokumentationen Azure Database for MySQL.

I följande exempel konfigureras den aktuella Azure CLI-användaren som ett Microsoft Entra-administratörskonto. För att aktivera Azure-autentisering är det nödvändigt att tilldela en identitet till MySQL – flexibel server.

Skapa först en hanterad identitet med az identity create och tilldela identiteten till MySQL-servern med az mysql flexible-server identity assign.

export MYSQL_UMI_NAME="id-mysql-aad-20221205"

# create a User Assigned Managed Identity for MySQL to be used for AAD authentication
az identity create \
    --resource-group $RESOURCE_GROUP_NAME \
    --name $MYSQL_UMI_NAME

## assign the identity to the MySQL server
az mysql flexible-server identity assign \
    --resource-group $RESOURCE_GROUP_NAME \
    --server-name $MYSQL_NAME \
    --identity $MYSQL_UMI_NAME

Ange sedan den aktuella Azure CLI-användaren som Microsoft Entra-administratörskonto med az mysql flexible-server ad-admin create.

export CURRENT_USER=$(az account show --query user.name --output tsv)
export CURRENT_USER_OBJECTID=$(az ad signed-in-user show --query id --output tsv)

az mysql flexible-server ad-admin create \
    --resource-group $RESOURCE_GROUP_NAME \
    --server-name $MYSQL_NAME \
    --object-id $CURRENT_USER_OBJECTID \
    --display-name $CURRENT_USER \
    --identity $MYSQL_UMI_NAME

Information om hur PostgreSQL – flexibel server interagerar med hanterade identiteter finns i Använda Microsoft Entra-ID för autentisering med Azure Database for PostgreSQL – flexibel server.

Lägg till den aktuella inloggade användaren som Microsoft Entra-administratör i Azure Database for PostgreSQL – flexibel serverinstans med hjälp av följande kommandon:

export CURRENT_USER=$(az account show --query user.name --output tsv)
az postgres flexible-server ad-admin create \
    --resource-group $RESOURCE_GROUP_NAME \
    --server-name $POSTGRESQL_NAME \
    --display-name $CURRENT_USER \
    --object-id $(az ad signed-in-user show --query id --output tsv)

Skapa en användartilldelad hanterad identitet

I Azure CLI skapar du sedan en identitet i din prenumeration med hjälp av kommandot az identity create. Du använder den här hanterade identiteten för att ansluta till databasen.

az identity create \
    --resource-group ${RESOURCE_GROUP_NAME} \
    --name myManagedIdentity

Om du vill konfigurera identiteten i följande steg använder du kommandot az identity show för att lagra identitetens klient-ID i en gränssnittsvariabel.

# Get client ID of the user-assigned identity
export CLIENT_ID=$(az identity show \
    --resource-group ${RESOURCE_GROUP_NAME} \
    --name myManagedIdentity \
    --query clientId \
    --output tsv)

Skapa en databasanvändare för din hanterade identitet

Först måste du skapa en brandväggsregel för åtkomst till databasservern från CLI-klienten. Kör följande kommandon för att hämta din aktuella IP-adress:

export MY_IP=$(curl http://whatismyip.akamai.com)

Om du arbetar med Windows Undersystem för Linux (WSL) med VPN aktiverat kan följande kommando returnera en felaktig IPv4-adress. Ett sätt att få din IPv4-adress är genom att besöka whatismyipaddress.com. Ange miljövariabeln MY_IP som den IPv4-adress som du vill ansluta till databasen från. Du konfigurerar databasbrandväggen med den här IP-adressen senare.

Anslut som Microsoft Entra-administratörsanvändare till din MySQL-databas och skapa en MySQL-användare för din hanterade identitet.

Skapa en tillfällig brandväggsregel med az mysql flexible-server firewall-rule create.

az mysql flexible-server firewall-rule create \
    --resource-group $RESOURCE_GROUP_NAME \
    --name $MYSQL_NAME \
    --rule-name AllowCurrentMachineToConnect \
    --start-ip-address ${MY_IP} \
    --end-ip-address ${MY_IP}

Förbered sedan en SQL-fil för att skapa en databasanvändare för den hanterade identiteten. I följande exempel läggs en användare med inloggningsnamn identity-contoso och ger användaren behörighet att komma åt databasen contoso:

export IDENTITY_LOGIN_NAME="identity-contoso"

cat <<EOF >createuser.sql
SET aad_auth_validate_oids_in_tenant = OFF;
DROP USER IF EXISTS '${IDENTITY_LOGIN_NAME}'@'%';
CREATE AADUSER '${IDENTITY_LOGIN_NAME}' IDENTIFIED BY '${CLIENT_ID}';
GRANT ALL PRIVILEGES ON ${DATABASE_NAME}.* TO '${IDENTITY_LOGIN_NAME}'@'%';
FLUSH privileges;
EOF

Kör SQL-filen med kommandot az mysql flexible-server execute. Du kan hämta din åtkomsttoken med kommandot az account get-access-token.

export RDBMS_ACCESS_TOKEN=$(az account get-access-token \
    --resource-type oss-rdbms \
    --query accessToken \
    --output tsv) 

az mysql flexible-server execute \
    --name ${MYSQL_NAME} \
    --admin-user ${CURRENT_USER} \
    --admin-password ${RDBMS_ACCESS_TOKEN} \
    --file-path "createuser.sql"

Du kan uppmanas att installera tillägget rdbms-connect, som visas i följande utdata. Tryck på y för att fortsätta. Om du inte arbetar med root användaren måste du ange användarlösenordet.

The command requires the extension rdbms-connect. Do you want to install it now? The command will continue to run after the extension is installed. (Y/n): y
Run 'az config set extension.use_dynamic_install=yes_without_prompt' to allow installing extensions without prompt.
This extension depends on gcc, libpq-dev, python3-dev and they will be installed first.
[sudo] password for user:

Om SQL-filen körs korrekt liknar dina utdata följande exempel:

Running *.sql* file 'createuser.sql'...
Successfully executed the file.
Closed the connection to mysql20221201

Den hanterade identiteten myManagedIdentity har nu åtkomst till databasen när du autentiserar med användarnamnet identity-contoso.

Om du inte längre vill komma åt servern från den här IP-adressen kan du ta bort brandväggsregeln med hjälp av följande kommando:

az mysql flexible-server firewall-rule delete \
    --resource-group $RESOURCE_GROUP_NAME \
    --name $MYSQL_NAME \
    --rule-name AllowCurrentMachineToConnect \
    --yes

Använd slutligen följande kommando för att hämta anslutningssträngen som du använder i nästa avsnitt:

export CONNECTION_STRING="jdbc:mysql://${MYSQL_NAME}.mysql.database.azure.com:3306/${DATABASE_NAME}?useSSL=true"
echo ${CONNECTION_STRING}

Anslut som Microsoft Entra-administratörsanvändare till din PostgreSQL-databas och skapa en PostgreSQL-användare för din hanterade identitet.

Skapa en tillfällig brandväggsregel med az postgres flexible-server firewall-rule create, som du ser i följande exempel:

az postgres flexible-server firewall-rule create \
    --resource-group $RESOURCE_GROUP_NAME \
    --name $POSTGRESQL_NAME \
    --rule-name $POSTGRESQL_NAME-database-allow-local-ip \
    --start-ip-address $MY_IP \
    --end-ip-address $MY_IP

I samma Azure CLI-gränssnitt som du har använt hämtar du en token för anslutning med hjälp av följande kommando:

export RDBMS_ACCESS_TOKEN=$(az account get-access-token --resource-type oss-rdbms --query accessToken --output tsv)

Förbered sedan en SQL-fil för att skapa en databasanvändare för den hanterade identiteten. I följande exempel läggs en användare med inloggningsnamn myManagedIdentity och ger användaren behörighet att komma åt databasen contoso:

cat <<EOF >createuser.sql
select * from pgaadauth_create_principal('myManagedIdentity', false, false);
select * from pgaadauth_list_principals(false);
GRANT ALL PRIVILEGES ON DATABASE "contoso" TO "myManagedIdentity";
GRANT ALL PRIVILEGES ON ALL TABLES IN SCHEMA public TO "myManagedIdentity";
GRANT ALL PRIVILEGES ON ALL SEQUENCES IN SCHEMA public TO "myManagedIdentity";
EOF

Använd följande kommandon för att köra SQL-filen:

az config set extension.use_dynamic_install=yes_without_prompt

az postgres flexible-server execute --verbose \
    --name ${POSTGRESQL_NAME} \
    --admin-user ${CURRENT_USER} \
    --admin-password ${RDBMS_ACCESS_TOKEN} \
    --file-path createuser.sql

Utdata ser ut ungefär så här:

Connecting to postgres database by default.
Running sql file 'dbuser.sql'...
Successfully executed the file.
Closed the connection to postgresql20221223
Command ran in 2.752 seconds (init: 0.144, invoke: 2.609)

Använd följande kommando för att hämta anslutningssträngen som du använder i nästa avsnitt:

export CONNECTION_STRING="jdbc:postgresql://${POSTGRESQL_NAME}.postgres.database.azure.com:5432/${DATABASE_NAME}?sslmode=require"
echo ${CONNECTION_STRING}

Anslut som Microsoft Entra-administratörsanvändare till din Azure SQL-databas från Azure-portalen och skapa en användare för din hanterade identitet.

Skapa först en brandväggsregel för åtkomst till Azure SQL-servern från portalen, enligt följande steg:

Öppna Azure SQL Server-instansen myazuresql20130213i Azure-portalen.
Välj Securityoch välj sedan Nätverk.
Under Brandväggsregler väljer duLägg till klientens IPV4 IP-adress.
Under Undantag välj Tillåt Att Azure-tjänster och resurser får åtkomst till den här servern.
Välj Spara.

När brandväggsregeln har skapats kan du komma åt Azure SQL-servern från Azure-portalen. Använd följande steg för att skapa en databasanvändare:

Välj Inställningar och välj sedan SQL-databaser. Välj mysingledatabase20230213.
Välj Frågeredigeraren. På sidan Välkommen till SQL Database-frågeredigeraren under Active Directory-autentiseringhittar du ett meddelande som liknar "Inloggad som user@contoso.com".
Välj Fortsätt som user@contoso.com, där användare är ditt AD-administratörskontonamn.

När du har loggat in använder du följande kommandon i redigeraren Fråga 1 för att skapa en databasanvändare för hanterad identitet myManagedIdentity:

CREATE USER "myManagedIdentity" FROM EXTERNAL PROVIDER;
ALTER ROLE db_datareader ADD MEMBER "myManagedIdentity";
ALTER ROLE db_datawriter ADD MEMBER "myManagedIdentity";
ALTER ROLE db_ddladmin ADD MEMBER "myManagedIdentity";
GO

I frågeredigeraren väljer du Kör för att köra SQL-kommandona.
Om kommandona har slutförts svarar systemet med ett meddelande med texten "Frågan lyckades: Berörda rader: 0".

Använd följande kommando för att hämta anslutningssträngen som du använder i nästa avsnitt:

export CONNECTION_STRING="jdbc:sqlserver://myazuresql20130213.database.windows.net:1433;database=mysingledatabase20230213;encrypt=true;trustServerCertificate=false;hostNameInCertificate=*.database.windows.net;loginTimeout=30;"
echo ${CONNECTION_STRING}

Konfigurera en lösenordslös databasanslutning för Red Hat JBoss EAP på virtuella Azure-datorer

Innan du fortsätter kontrollerar du att den Azure-identitet som du använder för att logga in och slutföra den här artikeln har rollen Ägare i den aktuella prenumerationen eller rollen Deltagare och Administratör för användaråtkomst i den aktuella prenumerationen. En översikt över Azure-roller finns i Vad är rollbaserad åtkomstkontroll i Azure (Azure RBAC)? Mer information om de specifika roller som krävs av Red Hat JBoss EAP Marketplace-erbjudandet finns i Inbyggda Roller i Azure.

Det här avsnittet visar hur du konfigurerar den lösenordslösa datakällans anslutning med hjälp av Azure Marketplace-erbjudandena för Red Hat JBoss EAP.

Börja med att distribuera ett erbjudande. Följande erbjudanden stöder lösenordslösa databasanslutningar:

Ange nödvändig information i fönstret Grundläggande och andra fönster om du vill aktivera funktionerna. När du når fönstret Database anger du den lösenordslösa konfigurationen enligt följande steg:

Välj Ja för Anslut till databas?.
Under Anslutningsinställningar går du till Välj databastyp, öppnar den nedrullningsbara menyn och väljer sedan Azure SQL (stöder lösenordslös anslutning).
För JNDI-namn anger du testpasswordless eller ditt förväntade värde.
För DataSource-anslutningssträng anger du den anslutningssträng du fick i förra avsnittet.
Välj Använd lösenordslös datakällaanslutning.
För Användartilldelad hanterad identitet väljer du den hanterade identitet som du skapade i föregående steg. I det här exemplet är namnet myManagedIdentity.
Välj Lägg till.

Avsnittet Anslutningsinställningar bör se ut som på följande skärmbild:

Verifiera databasanslutningen

Databasanslutningen är konfigurerad korrekt om utplaceringen av erbjudandet slutförs utan fel.

När distributionen är klar följer du de här stegen i Azure-portalen för att hitta administratörskonsolens URL.

Leta reda på den resursgrupp där du distribuerade JBoss EAP.
Under Inställningar väljer du Distributioner.
Välj distributionen med den längsta varaktigheten. Den här distributionen bör finnas längst ned i listan.
Välj Utdata.
URL:en för administratörskonsolen är värdet för adminConsole-utdata .
Kopiera värdet för utdatavariabeln adminConsole.
Klistra in värdet i webbläsarens adressfält och tryck på Retur för att öppna inloggningssidan i konsolen för integrerade lösningar.

Använd följande steg för att verifiera databasanslutningen:

Logga in på administratörskonsolen med det användarnamn och lösenord som du angav i fönstret Grundläggande.
När du har loggat in väljer du Konfiguration på huvudmenyn.
I kolumnwebbläsaren väljer du Undersystem, Datakällor och drivrutiner, Datakällor, dataSource-mssqlserver.
I den nedrullningsbara menyn väljer du Testa anslutning
Du bör se ett meddelande som anger något som liknar Successfully tested connection for data source dataSource-mssqlserver.

Följande skärmbild visar relevanta användargränssnittselement:

Rensa resurser

Om du inte behöver dessa resurser kan du ta bort dem med hjälp av följande kommandon:

az group delete --name ${RESOURCE_GROUP_NAME}
az group delete --name <resource-group-name-that-deploys-the-offer>

Nästa steg

Läs mer om att köra JBoss EAP på Azure RedHat OpenShift och virtuella datorer genom att följa dessa länkar:

Utforska JBoss EAP-produkter i Azure

Snabbstart: Distribuera ett JBoss EAP-kluster på virtuella Azure-datorer

Snabbstart: Distribuera JBoss EAP på Azure Red Hat OpenShift

Migrera JBoss EAP-program till JBoss EAP på virtuella Azure-datorer

Självstudie: Migrera JBoss EAP-programservern till virtuella Azure-datorer med hög tillgänglighet och haveriberedskap

Feedback

Var den här sidan till hjälp?