Web APIとアプリケーション（Azure AD）で使用されるAzure SQLデータベースのセキュリティ方法

Question

現在、Azureでホストされているいくつかのアプリケーションを開発中です：AzureでホストされているAPIを呼び出すExcelアドイン（Office Apps） Azureでホストされているアプリケーション、おそらく後で他のアプリケーションを使用します。

ユーザーを認証するために、Web APIのトークン認証とWebアプリケーションのOpenIDに基づいて、Azure Active Directory（Azure AD）を使用します。 Azure ADのおかげで、APIやWebアプリケーションの呼び出しがすべて認証されるため、アプリケーション層でロールベースのアクセス制御を実装できます。

これらのAPI /アプリケーションはしばしばAzure SQLデータベースを呼び出します。私の質問は次のとおりです。認証されたユーザー（Azure AD）を使用してデータベースアクセスを認証することは可能ですか？

現在、データベースの資格情報は接続文字列にハードコードされています（ログインはアプリケーション用に作成されます）。ただし、厳密なDBアクセス制御ルールは許可されていません。

追加情報：組織のWindowsログインとAzureログインが異なるため、統合認証（Windowsユーザーを使用）はできません。AzureとWindows Active Directoryは異なります。

ありがとうございました。

Answer 1

はい、Azure SQL ServerはAzure Active Directory認証をサポートしています。この記事では、この機能を設定する方法について説明します。https://docs.microsoft.com/en-us/azure/sql-database/sql-database-aad-authentication

データベースはこの機能ではV12にする必要があります。そうでない場合は、V12にアップグレードすることができます。

あなたは、その後のようなたconnectionStringを使用してデータベースに接続できます。

string ConnectionString = @"Data Source=n9lxnyuzhv.database.windows.net; Authentication=Active Directory Integrated; Initial Catalog=testdb;"; 
    SqlConnection conn = new SqlConnection(ConnectionString); 
    conn.Open();