Azure Pipeline 使用服务主体连接到 SQL 数据库

Question

在我的 azure 管道创建了一个 azure sql 数据库后，我想执行一些 sql。

有问题的 sql 必须由经过 AAD 身份验证的用户执行。

管道的服务连接是数据库的 AAD 身份验证用户。

如果我愿意让脚本使用服务主体机密，那么我可以构造一个 OAuth 调用来检索不记名令牌并使用它连接到数据库。

然而，由于 powershell 脚本是运行在服务主体的上下文中，我有一种直觉，有一种更好的方法可以使用服务主体连接到数据库，而不依赖于秘密。

有什么办法可以做到这一点吗？

Answer 1

您可以在 azure pipeline 的 azure powershell 任务中尝试以下脚本来获取资源的 accesstoken https://database.windows.net/

$context = [Microsoft.Azure.Commands.Common.Authentication.Abstractions.AzureRmProfileProvider]::Instance.Profile.DefaultContext

$databaseAccessToken = [Microsoft.Azure.Commands.Common.Authentication.AzureSession]::Instance.AuthenticationFactory.Authenticate($context.Account, $context.Environment, $context.Tenant.Id.ToString(), $null, [Microsoft.Azure.Commands.Common.Authentication.ShowDialog]::Never, $null, "https://database.windows.net/").AccessToken

$databaseAccessToken

Answer 2

解决方案是：

我添加了一个 Azure CLI 任务来检索不记名令牌。然后我将其传递给使用令牌的 Azure Powershell 任务。

$token= & az account get-access-token --resource=https://database.windows.net --query accessToken
Write-Host("##vso[task.setvariable variable=sqlToken]$token")

Azure Pipeline 使用服务主体连接到 SQL 数据库

Azure Pipeline connect to SQL DB using service principal

azure-sql-database

service-principal

azure-devops