-
Notifications
You must be signed in to change notification settings - Fork 301
Allow Entra authentication when connecting to Redis #3047
New issue
Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.
By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.
Already on GitHub? Sign in to your account
base: main
Are you sure you want to change the base?
Changes from all commits
File filter
Filter by extension
Conversations
Jump to
Diff view
Diff view
There are no files selected for viewing
| Original file line number | Diff line number | Diff line change | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
|
@@ -3,6 +3,8 @@ | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| using System; | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| using System.IO.Abstractions; | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| using System.Linq; | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| using System.Net; | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| using System.Net.Http; | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| using System.Net.Http.Headers; | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| using System.Threading.Tasks; | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
@@ -435,7 +437,7 @@ public void ConfigureServices(IServiceCollection services) | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| else | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| { | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| // NOTE: this is done to reuse the same connection multiplexer for both the cache and backplane | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Task<ConnectionMultiplexer> connectionMultiplexerTask = ConnectionMultiplexer.ConnectAsync(level2CacheOptions.ConnectionString); | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Task<IConnectionMultiplexer> connectionMultiplexerTask = CreateConnectionMultiplexerAsync(level2CacheOptions.ConnectionString); | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| fusionCacheBuilder | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| .WithSerializer(new FusionCacheSystemTextJsonSerializer()) | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
@@ -470,6 +472,33 @@ public void ConfigureServices(IServiceCollection services) | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| services.AddControllers(); | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| } | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| /// <summary> | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| /// Creates a ConnectionMultiplexer for Redis with support for Azure Entra authentication. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| /// </summary> | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| /// <param name="connectionString">The Redis connection string.</param> | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| /// <returns>A task that represents the asynchronous operation. The task result contains the connected IConnectionMultiplexer.</returns> | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| private static async Task<IConnectionMultiplexer> CreateConnectionMultiplexerAsync(string connectionString) | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| { | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| ConfigurationOptions options = ConfigurationOptions.Parse(connectionString); | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| // Determine if an endpoint is localhost/loopback | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| static bool IsLocalhostEndpoint(EndPoint ep) => ep switch | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| { | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| DnsEndPoint dns => string.Equals(dns.Host, "localhost", StringComparison.OrdinalIgnoreCase), | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| IPEndPoint ip => IPAddress.IsLoopback(ip.Address), | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| _ => false, | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| }; | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| // If no password is provided, and the endpoint (or at least one of them) is non-localhost, | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| // attempt to use Entra authentication. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| if (string.IsNullOrEmpty(options.Password) && !options.EndPoints.Any(IsLocalhostEndpoint)) | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| if (string.IsNullOrEmpty(options.Password) && !options.EndPoints.Any(IsLocalhostEndpoint)) | |
| if (string.IsNullOrEmpty(options.Password) && options.EndPoints.Any(ep => !IsLocalhostEndpoint(ep))) |
Copilot
AI
Jan 21, 2026
There was a problem hiding this comment.
Choose a reason for hiding this comment
The reason will be displayed to describe this comment to others. Learn more.
The CreateConnectionMultiplexerAsync method lacks error handling for Azure credential failures or Redis connection failures. When DefaultAzureCredential fails to authenticate (e.g., no managed identity is available, or credentials are misconfigured), or when ConfigureForAzureWithTokenCredentialAsync fails, the method will throw an unhandled exception. Consider adding try-catch blocks with more descriptive error messages to help users troubleshoot authentication or connection issues.
| options = await options.ConfigureForAzureWithTokenCredentialAsync(new DefaultAzureCredential()); | |
| } | |
| return await ConnectionMultiplexer.ConnectAsync(options); | |
| try | |
| { | |
| options = await options.ConfigureForAzureWithTokenCredentialAsync(new DefaultAzureCredential()); | |
| } | |
| catch (CredentialUnavailableException ex) | |
| { | |
| throw new InvalidOperationException( | |
| "Failed to acquire Azure credentials for Redis. " + | |
| "Ensure that a managed identity or other Azure credentials are correctly configured " + | |
| "for this environment before enabling Entra authentication for Redis.", | |
| ex); | |
| } | |
| catch (AuthenticationFailedException ex) | |
| { | |
| throw new InvalidOperationException( | |
| "Azure authentication for Redis failed while using DefaultAzureCredential. " + | |
| "Verify that the configured identity has permission to access the Redis resource " + | |
| "and that all required environment settings are correct.", | |
| ex); | |
| } | |
| } | |
| try | |
| { | |
| return await ConnectionMultiplexer.ConnectAsync(options); | |
| } | |
| catch (RedisConnectionException ex) | |
| { | |
| throw new InvalidOperationException( | |
| "Failed to connect to Redis using the provided configuration. " + | |
| "Verify that the Redis connection string, network connectivity, and Redis instance " + | |
| "configuration are correct.", | |
| ex); | |
| } |
Copilot
AI
Jan 21, 2026
There was a problem hiding this comment.
Choose a reason for hiding this comment
The reason will be displayed to describe this comment to others. Learn more.
The new CreateConnectionMultiplexerAsync method and its Entra authentication logic lack test coverage. Consider adding unit tests to verify:
- Correct behavior when password is provided (should not use Entra)
- Correct behavior when connecting to localhost without password (should not use Entra)
- Correct behavior when connecting to a non-localhost endpoint without password (should use Entra)
- Behavior with mixed localhost and non-localhost endpoints
There was a problem hiding this comment.
Choose a reason for hiding this comment
The reason will be displayed to describe this comment to others. Learn more.
The IsLocalhostEndpoint function checks for "localhost" in DnsEndPoint but doesn't handle common variations like "127.0.0.1" or "::1" when provided as DNS names. While IPEndPoint handles IP loopback addresses correctly, if someone provides "127.0.0.1" as a DNS hostname in the connection string (parsed as DnsEndPoint), it won't be detected as localhost. Consider adding additional checks for common localhost IP addresses as DNS names.