Share via

Microsoft Entra-hitelesítés az Azure Database for PostgreSQL-lel – rugalmas kiszolgáló

  • Cikk

A következőkre vonatkozik: Azure Database for PostgreSQL – Rugalmas kiszolgáló

A Microsoft Entra-hitelesítés az Azure Database for PostgreSQL rugalmas kiszolgálóhoz való csatlakozás mechanizmusa a Microsoft Entra ID-ban meghatározott identitások használatával. A Microsoft Entra-hitelesítéssel központi helyen kezelheti az adatbázis felhasználói identitásait és más Microsoft-szolgáltatások, ami leegyszerűsíti az engedélykezelést.

A Microsoft Entra ID használatának előnyei a következők:

  • A felhasználók hitelesítése az Azure-szolgáltatásokban egységes módon.
  • Jelszószabályzatok és jelszóváltás kezelése egyetlen helyen.
  • Több hitelesítési forma támogatása, amely szükségtelenné teszi a jelszavak tárolását.
  • Az ügyfelek azon képessége, hogy külső (Microsoft Entra ID) csoportokkal kezeljék az adatbázis-engedélyeket.
  • A PostgreSQL-adatbázisszerepkörök használata az identitások adatbázisszintű hitelesítéséhez.
  • Jogkivonatalapú hitelesítés támogatása rugalmas Azure Database for PostgreSQL-kiszolgálóhoz csatlakozó alkalmazásokhoz.

A Microsoft Entra ID szolgáltatás és a képességek összehasonlítása az üzembe helyezési lehetőségek között

A rugalmas Azure Database for PostgreSQL-kiszolgálóhoz készült Microsoft Entra-hitelesítés magában foglalja az önálló Azure Database for PostgreSQL-kiszolgálóról gyűjtött tapasztalatainkat és visszajelzéseinket.

Az alábbi táblázat a Microsoft Entra ID funkcióinak és képességeinek magas szintű összehasonlítását sorolja fel az önálló Azure Database for PostgreSQL-kiszolgáló és a rugalmas Azure Database for PostgreSQL-kiszolgáló között.

Funkció/képesség Önálló Azure Database for PostgreSQL-kiszolgáló Rugalmas Azure Database for PostgreSQL-kiszolgáló
Több Microsoft Entra-rendszergazda Nem Igen
Felügyelt identitások (rendszer és felhasználó által hozzárendelt) Részleges Teljes
Meghívott felhasználói támogatás Nem Igen
Jelszóhitelesítés kikapcsolása Nem elérhető Rendelkezésre áll
Szolgáltatásnév képessége csoporttagként való működésre Nem Igen
Microsoft Entra-bejelentkezések naplózása Nem Igen
PgBouncer-támogatás Nem Igen

A Microsoft Entra ID működése rugalmas Azure Database for PostgreSQL-kiszolgálón

Az alábbi magas szintű diagram összefoglalja, hogyan működik a hitelesítés, amikor rugalmas Azure Database for PostgreSQL-kiszolgálóval használja a Microsoft Entra-hitelesítést. A nyilak kommunikációs útvonalakat jelölnek.

hitelesítési folyamat

A Microsoft Entra ID rugalmas Azure Database for PostgreSQL-kiszolgálóval való konfigurálásához lásd : Konfigurálás és bejelentkezés a Rugalmas Azure Database for PostgreSQL-kiszolgálóHoz készült Microsoft Entra ID-val.

A PostgreSQL-rendszergazda és a Microsoft Entra-rendszergazda közötti különbségek

Ha bekapcsolja a Microsoft Entra-hitelesítést a rugalmas kiszolgálóhoz, és Microsoft Entra-rendszergazdaként hozzáad egy Microsoft Entra-tagot, a fiók:

  • Ugyanazokat a jogosultságokat kapja, mint az eredeti PostgreSQL-rendszergazda.
  • Kezelheti a kiszolgálón lévő többi Microsoft Entra-szerepkört.

A PostgreSQL-rendszergazda csak helyi jelszóalapú felhasználókat hozhat létre. A Microsoft Entra rendszergazdája azonban jogosult a Microsoft Entra-felhasználók és a helyi jelszóalapú felhasználók kezelésére.

A Microsoft Entra rendszergazdája lehet Microsoft Entra-felhasználó, Microsoft Entra-csoport, szolgáltatásnév vagy felügyelt identitás. A csoportfiókok rendszergazdaként való használata javítja a kezelhetőséget. Lehetővé teszi a csoporttagok központosított hozzáadását és eltávolítását a Microsoft Entra ID-ban anélkül, hogy módosítaná a felhasználókat vagy engedélyeket a rugalmas Azure Database for PostgreSQL-kiszolgálópéldányon.

Egyszerre több Microsoft Entra-rendszergazdát is konfigurálhat. Lehetősége van arra, hogy inaktiválja a jelszóhitelesítést egy rugalmas Azure Database for PostgreSQL-kiszolgálópéldányra a fokozott naplózási és megfelelőségi követelmények érdekében.

rendszergazdai struktúra

Feljegyzés

A szolgáltatásnév vagy a felügyelt identitás teljes mértékben működőképes Microsoft Entra-rendszergazdaként működhet a rugalmas Azure Database for PostgreSQL-kiszolgálón. Ez egy korlátozás volt az önálló Azure Database for PostgreSQL-kiszolgálón.

Az Azure Portalon, API-val vagy SQL-sel létrehozott Microsoft Entra-rendszergazdák ugyanazokkal az engedélyekkel rendelkeznek, mint a kiszolgáló kiépítése során létrehozott szokásos rendszergazdai felhasználó. A nem rendszergazdai Microsoft Entra-szerepkörök adatbázis-engedélyei a normál szerepkörökhöz hasonlóan kezelhetők.

Csatlakozás ion a Microsoft Entra-identitásokkal

A Microsoft Entra-hitelesítés az alábbi módszereket támogatja az adatbázishoz való csatlakozáshoz Microsoft Entra-identitások használatával:

  • Microsoft Entra jelszóhitelesítés
  • Microsoft Entra integrált hitelesítés
  • Univerzális Microsoft Entra többtényezős hitelesítéssel
  • Active Directory-alkalmazástanúsítványok vagy ügyfélkulcsok
  • Kezelt identitás

Miután hitelesítést végzett az Active Directoryval, lekéri a jogkivonatot. Ez a jogkivonat a bejelentkezéshez használt jelszó.

Ha rugalmas Azure Database for PostgreSQL-kiszolgálóval szeretné konfigurálni a Microsoft Entra ID-t, kövesse a Rugalmas Azure Database for PostgreSQL-kiszolgálóHoz készült Microsoft Entra ID konfigurálását és bejelentkezését.

Egyéb szempontok

  • Ha azt szeretné, hogy a Microsoft Entra-tagok bármilyen üzembe helyezési eljáráson belül átvállalják a felhasználói adatbázisok tulajdonjogát, adjon hozzá explicit függőségeket az üzembe helyezési modulon belül (Terraform vagy Azure Resource Manager) annak érdekében, hogy a Felhasználói adatbázisok létrehozása előtt a Microsoft Entra-hitelesítés be legyen kapcsolva.

  • Egyszerre több Microsoft Entra-tag (felhasználó, csoport, szolgáltatásnév vagy felügyelt identitás) konfigurálható Microsoft Entra-rendszergazdaként egy rugalmas Azure Database for PostgreSQL-kiszolgálópéldányhoz.

  • A Rugalmas Azure Database for PostgreSQL-kiszolgálópéldányhoz kezdetben csak a PostgreSQL-hez készült Microsoft Entra-rendszergazda csatlakozhat Microsoft Entra-fiókkal. Az Active Directory rendszergazda konfigurálhatja a későbbi Microsoft Entra adatbázis-felhasználókat.

  • Ha egy Microsoft Entra-tagot törölnek a Microsoft Entra-azonosítóból, az PostgreSQL-szerepkör marad, de már nem tud új hozzáférési jogkivonatot beszerezni. Ebben az esetben, bár az egyező szerepkör továbbra is létezik az adatbázisban, nem tud hitelesítést végezni a kiszolgálón. Az adatbázisgazdáknak manuálisan kell átadniuk a tulajdonjogot, és el kell helyezni a szerepköröket.

    Feljegyzés

    A törölt Microsoft Entra-felhasználó továbbra is bejelentkezhet a jogkivonat lejáratáig (a jogkivonat kiállításától számított 60 percig). Ha a felhasználót is eltávolítja a rugalmas Azure Database for PostgreSQL-kiszolgálóról, a rendszer azonnal visszavonja a hozzáférést.

  • A rugalmas Azure Database for PostgreSQL-kiszolgáló a felhasználónév helyett a felhasználó egyedi Microsoft Entra felhasználói azonosítójával egyezik meg az adatbázis-szerepkör hozzáférési jogkivonatával. Ha töröl egy Microsoft Entra-felhasználót, és egy új felhasználót hoz létre ugyanazzal a névvel, a rugalmas Azure Database for PostgreSQL-kiszolgáló úgy véli, hogy egy másik felhasználó. Ezért ha a rendszer töröl egy felhasználót a Microsoft Entra-azonosítóból, és új felhasználót ad hozzá ugyanazzal a névvel, az új felhasználó nem tud csatlakozni a meglévő szerepkörhöz.

Gyakori kérdések

  • Milyen hitelesítési módok érhetők el a rugalmas Azure Database for PostgreSQL-kiszolgálón?

    A rugalmas Azure Database for PostgreSQL-kiszolgáló három hitelesítési módot támogat: csak a PostgreSQL-hitelesítést, csak a Microsoft Entra-hitelesítést, valamint a PostgreSQL- és a Microsoft Entra-hitelesítést.

  • Konfigurálhatok több Microsoft Entra-rendszergazdát a rugalmas kiszolgálón?

    Igen. Rugalmas kiszolgálón több Microsoft Entra-rendszergazdát is konfigurálhat. A kiépítés során csak egyetlen Microsoft Entra-rendszergazda állítható be. A kiszolgáló létrehozása után azonban a Hitelesítés panelre lépve tetszőleges számú Microsoft Entra-rendszergazdát állíthat be.

  • A Microsoft Entra rendszergazdája csak Microsoft Entra-felhasználó?

    Szám A Microsoft Entra rendszergazdája lehet felhasználó, csoport, szolgáltatásnév vagy felügyelt identitás.

  • Létrehozhat egy Microsoft Entra-rendszergazda helyi jelszóalapú felhasználókat?

    A Microsoft Entra rendszergazdája jogosult a Microsoft Entra-felhasználók és a helyi jelszóalapú felhasználók kezelésére.

  • Mi történik, ha engedélyezem a Microsoft Entra-hitelesítést a rugalmas kiszolgálón?

    Amikor a Microsoft Entra-hitelesítést kiszolgálószinten állítja be, a PGAadAuth bővítmény engedélyezve van, és a kiszolgáló újraindul.

  • Hogyan Microsoft Entra-hitelesítéssel jelentkezik be?

    A rugalmas kiszolgálóra való bejelentkezéshez használhat olyan ügyféleszközöket, mint a psql vagy a pg Rendszergazda. Jelszóként használja a Microsoft Entra felhasználói azonosítóját felhasználónévként és Microsoft Entra-jogkivonatként.

  • Hogyan hozza létre a jogkivonatomat?

    A jogkivonatot a következő használatával az loginhozhatja létre: . További információ: Microsoft Entra hozzáférési jogkivonat lekérése.

  • Mi a különbség a csoportos bejelentkezés és az egyéni bejelentkezés között?

    A Microsoft Entra-csoporttagként való bejelentkezés és az egyéni Microsoft Entra-felhasználóként való bejelentkezés között az egyetlen különbség a felhasználónévben rejlik. Egyéni felhasználóként való bejelentkezéshez egyéni Microsoft Entra-felhasználói azonosítóra van szükség. A csoporttagként való bejelentkezéshez a csoport neve szükséges. Mindkét esetben ugyanazt az egyéni Microsoft Entra-jogkivonatot használja, mint a jelszót.

  • Mi a jogkivonat élettartama?

    A felhasználói jogkivonatok legfeljebb 1 óráig érvényesek. A rendszer által hozzárendelt felügyelt identitások jogkivonatai legfeljebb 24 óráig érvényesek.

Következő lépések