Uso de Microsoft Entra ID para la autenticación con PostgreSQL

Se aplica a: Azure Database for PostgreSQL: servidor único

Importante

El servicio de servidor único de Azure Database for PostgreSQL está en proceso de retirada. Se recomienda encarecidamente actualizar a Azure Database for PostgreSQL: servidor flexible. Para más información sobre la migración al servidor flexible de Azure Database for PostgreSQL, consulte ¿Qué sucederá con el servicio de servidor único de Azure Database for PostgreSQL?

La autenticación de Microsoft Entra es un mecanismo de conexión a Azure Database for PostgreSQL mediante identidades definidas en Microsoft Entra ID. Con la autenticación de Microsoft Entra, puede administrar las identidades de los usuarios de la base de datos y otros servicios de Microsoft en una ubicación central, lo que simplifica la administración de permisos.

Las ventajas de utilizar Microsoft Entra ID incluyen:

• Autenticación de usuarios en los servicios de Azure de manera uniforme.
• Administración de directivas de contraseñas y rotación de contraseñas en un solo lugar.
• Varias formas de autenticación compatibles con Microsoft Entra ID, lo que puede eliminar la necesidad de almacenar contraseñas.
• Los clientes pueden administrar los permisos de la base de datos con grupos externos (Microsoft Entra ID).
• La autenticación de Microsoft Entra utiliza roles de base de datos de PostgreSQL para autenticar las identidades en el nivel de base de datos.
• Compatibilidad de la autenticación basada en tokens para las aplicaciones que se conectan a Azure Database for PostgreSQL.

Para configurar y usar la autenticación de Microsoft Entra, siga el proceso a continuación:

1. Cree y rellene Microsoft Entra ID con identidades de usuario según sea necesario.
2. De manera opcional, asocie o cambie la instancia de Active Directory asociada actualmente a la suscripción de Azure.
3. Cree un administrador dE Microsoft Entra para el servidor de Azure Database for PostgreSQL.
4. Cree usuarios de bases de datos en la base de datos, asignados a identidades de Microsoft Entra.
5. Conéctese a la base de datos recuperando un token para una identidad de Microsoft Entra e iniciando sesión.

Nota:

Para obtener información sobre cómo crear y rellenar Microsoft Entra ID y, a continuación, configurar Microsoft Entra ID con Azure Database for PostgreSQL, consulte Configuración e inicio de sesión con Microsoft Entra ID parar Azure Database for PostgreSQL.

Architecture

En el siguiente diagrama de alto nivel se resume cómo funciona la autenticación de Microsoft Entra con Azure Database for PostgreSQL. Las flechas indican las rutas de comunicación.

Estructura del administrador

Cuando se usa la autenticación de Microsoft Entra, existen dos cuentas de administrador para el servidor de PostgreSQL: el administrador de PostgreSQL original y el administrador de Microsoft Entra. Solo el administrador basado en una cuenta de Microsoft Entra puede crear el primer usuario de base de datos independiente en Microsoft Entra ID en una base de datos de usuario. El inicio de sesión de administrador de Microsoft Entra puede ser un usuario de Microsoft Entra o un grupo de Microsoft Entra. Cuando el administrador es una cuenta de grupo, cualquier miembro del grupo lo puede usar, lo que permite varios administradores de Microsoft Entra para el servidor de PostgreSQL. Mediante el uso de una cuenta de grupo como administrador, se mejora la administración al permitir agregar y quitar miembros de grupo de forma centralizada en Microsoft Entra ID sin cambiar los usuarios ni los permisos del servidor de PostgreSQL. Solo un administrador de Microsoft Entra (un usuario o grupo) se puede configurar en cualquier momento.

Nota:

La entidad de servicio o identidad administrada no pueden actuar como administrador de Microsoft Entra de una manera completamente funcional en un solo servidor. Esta limitación se ha corregido en nuestro servidor flexible.

Permisos

Para crear nuevos usuarios que se puedan autenticar con Microsoft Entra, debe tener el rol azure_ad_admin en la base de datos. Este rol se asigna mediante la configuración de la cuenta de administrador de Microsoft Entra para un servidor de Azure Database for PostgreSQL específico.

Para crear un nuevo usuario de base de datos de Microsoft Entra, debe conectarse como administrador de Microsoft Entra. Esto se muestra en Configuración e inicio de sesión con Microsoft Entra ID para Azure Database for PostgreSQL.

La autenticación de Microsoft Entra solo es posible si se creó el administrador de Microsoft Entra para Azure Database for PostgreSQL. Si se ha quitado el administrador de Microsoft Entra del servidor, los usuarios de Microsoft Entra creados previamente ya no podrán conectarse a la base de datos utilizando sus credenciales de Microsoft Entra.

Conexión mediante identidades de Microsoft Entra

La autenticación de Microsoft Entra admite los siguientes métodos de conexión a una base de datos mediante identidades de Microsoft Entra:

• Contraseña de Microsoft Entra
• Microsoft Entra integrado
• Microsoft Entra universal con MFA
• Uso de certificados de aplicación o secretos de cliente de Active Directory
• Identidad administrada

Una vez que se ha autenticado en el Active Directory, se recupera un token. Este token es la contraseña para iniciar sesión.

Tenga en cuenta que las operaciones de administración, como agregar usuarios nuevos, solo se admiten para roles de usuario de Microsoft Entra en este momento.

Nota:

Para obtener más información sobre cómo conectarse con un token de Active Directory, consulte Configuración e inicio de sesión con Microsoft Entra ID para Azure Database for PostgreSQL.

Consideraciones adicionales

• Para mejorar la capacidad de administración, se recomienda que aprovisione un grupo dedicado de Microsoft Entra como administrador.
• Solo un administrador de Microsoft Entra (un usuario o grupo) se puede configurar en un servidor de Azure Database for PostgreSQL en cualquier momento.
• Solo un administrador de Microsoft Entra para PostgreSQL puede conectarse inicialmente a Azure Database for PostgreSQL utilizando una cuenta de Microsoft Entra. El administrador de Active Directory puede configurar los usuarios de la base de datos de Microsoft Entra sucesivos.
• Si se elimina un usuario de Microsoft Entra ID, ese usuario ya no podrá autenticarse con Microsoft Entra ID y, por tanto, ya no será posible adquirir un token de acceso para dicho usuario. En este caso, aunque el rol coincidente seguirá estando en la base de datos, no será posible conectarse al servidor con ese rol.

Nota:

Aún es posible iniciar sesión con el usuario de Microsoft Entra eliminado, hasta que expire el token (máximo de 60 minutos a partir de la emisión del token). Si también quita el usuario de Azure Database for PostgreSQL, este acceso se revocará inmediatamente.

• Si el administrador de Microsoft Entra se quita del servidor, el servidor ya no estará asociado a un inquilino de Microsoft Entra y, por tanto, se deshabilitarán todos los inicios de sesión de Microsoft Entra para el servidor. La adición de un nuevo administrador de Microsoft Entra desde el mismo inquilino volverá a habilitar los inicios de sesión de Microsoft Entra.
• Azure Database for PostgreSQL asocia los tokens de acceso al rol de Azure Database for PostgreSQL mediante el identificador de usuario de Microsoft Entra exclusivo del usuario, en lugar de usar el nombre de usuario. Esto significa que si un usuario de Microsoft Entra se elimina en Microsoft Entra ID y se crea un nuevo usuario con el mismo nombre, Azure Database for PostgreSQL lo toma como un usuario diferente. Por lo tanto, si se elimina un usuario de Microsoft Entra ID y, a continuación, se agrega un nuevo usuario con el mismo nombre, el nuevo usuario no podrá conectarse con el rol existente. Para permitirlo, el administrador de Microsoft Entra para Azure Database for PostgreSQL debe revocar y, a continuación, conceder al usuario el rol "azure_ad_user" para actualizar el identificador de usuario de Microsoft Entra.

Pasos siguientes

• Para obtener información sobre cómo crear y rellenar Microsoft Entra ID y, a continuación, configurar Microsoft Entra ID con Azure Database for PostgreSQL, consulte Configuración e inicio de sesión con Microsoft Entra ID parar Azure Database for PostgreSQL.
• Para obtener información general sobre los inicios de sesión, los usuarios y los roles de base de datos de Azure Database for PostgreSQL, consulte Creación de usuarios en Azure Database for PostgreSQL con un único servidor.