Microsoft Entra-szerepkörök kezelése az Azure Database for PostgreSQL-ben – rugalmas kiszolgáló

A következőkre vonatkozik: Azure Database for PostgreSQL – Rugalmas kiszolgáló

Ez a cikk azt ismerteti, hogyan hozhat létre Microsoft Entra ID-kompatibilis adatbázis-szerepköröket egy rugalmas Azure Database for PostgreSQL-kiszolgálópéldányon belül.

Feljegyzés

Ez az útmutató feltételezi, hogy már engedélyezte a Microsoft Entra-hitelesítést a rugalmas Azure Database for PostgreSQL-kiszolgálópéldányon. A Microsoft Entra-hitelesítés konfigurálása

Ha szeretne többet megtudni az Azure-előfizetés felhasználóinak és jogosultságainak létrehozásáról és kezeléséről, látogasson el az Azure szerepköralapú hozzáférés-vezérlési (Azure RBAC) cikkére , vagy tekintse át a szerepkörök testreszabásának módját.

Microsoft Entra-rendszergazdák létrehozása vagy törlése az Azure Portal vagy az Azure Resource Manager (ARM) API használatával

1. Nyissa meg a rugalmas Azure Database for PostgreSQL-kiszolgálópéldány hitelesítési lapját az Azure Portalon.
2. Rendszergazda hozzáadásához válassza a Microsoft Entra hozzáadása Rendszergazda lehetőséget, és válasszon ki egy felhasználót, csoportot, alkalmazást vagy felügyelt identitást az aktuális Microsoft Entra-bérlőből.
3. Rendszergazda eltávolításához válassza az eltávolítani kívánt törlés ikont.
4. Válassza a Mentés lehetőséget, és várja meg, amíg befejeződik a kiépítési művelet.

Feljegyzés

A Microsoft Entra Rendszergazda istrators Azure SDK-val történő felügyeletének támogatása hamarosan elérhető lesz az az cli és az Azure PowerShell használatával.

Microsoft Entra-szerepkörök kezelése AZ SQL használatával

Miután létrehozta az első Microsoft Entra-rendszergazdat az Azure Portalról vagy az API-ból, a rendszergazdai szerepkörrel kezelheti a Microsoft Entra-szerepköröket a rugalmas Azure Database for PostgreSQL-kiszolgálópéldányban.

Javasoljuk, hogy ismerkedjen meg a Microsoft Identitásplatform a Rugalmas Azure Database for PostgreSQL-kiszolgálóval való Microsoft Entra-integráció legjobb használatához.

Egyszerű típusok

A rugalmas Azure Database for PostgreSQL-kiszolgáló belsőleg tárolja a PostgreSQL-adatbázisszerepkörök és az AzureAD-objektumok egyedi azonosítói közötti leképezést. Minden PostgreSQL-adatbázisszerepkör az alábbi Microsoft Entra-objektumtípusok egyikére képezhető le:

1. Felhasználó – Bérlői helyi és vendégfelhasználók is.
2. Szolgáltatásnév. Alkalmazásokat és felügyelt identitásokat is beleértve
3. Csoport Amikor egy PostgreSQL-szerepkör egy Microsoft Entra-csoporthoz van csatolva, a csoport bármely felhasználója vagy szolgáltatásnév-tagja csatlakozhat a rugalmas Azure Database for PostgreSQL-kiszolgálópéldányhoz a csoportszerepkörrel.

Microsoft Entra-szerepkörök listázása SQL használatával

select * from pgaadauth_list_principals(true);

Paraméterek:

• true –Rendszergazda felhasználókat ad vissza.
• false – az összes Microsoft Entra-felhasználót a Microsoft Entra rendszergazdái és a nem Microsoft Entra-rendszergazdák is visszaadják.

Szerepkör létrehozása a Microsoft Entra egyszerű nevével

select * from pgaadauth_create_principal('<roleName>', <isAdmin>, <isMfa>);

--For example: 

select * from pgaadauth_create_principal('mary@contoso.com', false, false);

Paraméterek:

• roleName – A létrehozandó szerepkör neve. Ennek meg kell egyeznie a Microsoft Entra egyszerű nevével:
  • A felhasználók a profilból származó felhasználónevet használják. Vendégfelhasználók esetén adja meg a teljes nevet a saját tartományában #EXT# címkével.
  • Csoportok és szolgáltatásnevek esetén használja a megjelenítendő nevet. A névnek egyedinek kell lennie a bérlőben.
• is Rendszergazda – Igaz értékre van állítva, ha rendszergazdai felhasználót hoz létre, és egy normál felhasználó esetében hamis. Rendszergazda felhasználó így létrehozott jogosultságai megegyeznek a portálon vagy API-val létrehozott jogosultságokkal.
• isMfa – Annak megjelölése, hogy a többtényezős hitelesítést kötelező-e kikényszeríteni ehhez a szerepkörhöz.

Szerepkör elvetése a Microsoft Entra egyszerű nevével

Ne feledje, hogy a PostgreSQL-ben létrehozott Microsoft Entra-szerepköröket egy Microsoft Entra Rendszergazda kell elvetni. Ha egy reguláris PostgreSQL-rendszergazdát használ egy Entra-szerepkör elvetéséhez, az hibát fog eredményezni.

DROP ROLE rolename;

Szerepkör létrehozása a Microsoft Entra objektumazonosítóval

select * from pgaadauth_create_principal_with_oid('<roleName>', '<objectId>', '<objectType>', <isAdmin>, <isMfa>);

For example: select * from pgaadauth_create_principal_with_oid('accounting_application', '00000000-0000-0000-0000-000000000000', 'service', false, false);

Paraméterek:

• roleName – A létrehozandó szerepkör neve.
• objectId – A Microsoft Entra objektum egyedi objektumazonosítója:
  • Felhasználók, csoportok és felügyelt identitások esetén az ObjectId az objektum nevének keresésével található az Azure Portal Microsoft Entra ID lapján. Tekintse meg ezt az útmutatót példaként
  • Alkalmazások esetén a megfelelő szolgáltatásnév objectid azonosítóját kell használni. Az Azure Portalon a szükséges ObjectId megtalálható a Nagyvállalati alkalmazások lapon.
• objectType – A Microsoft Entra objektum típusa, amely a következő szerepkörre hivatkozik: szolgáltatás, felhasználó, csoport.
• is Rendszergazda – Igaz értékre van állítva, ha rendszergazdai felhasználót hoz létre, és egy normál felhasználó esetében hamis. Rendszergazda felhasználó így létrehozott jogosultságai megegyeznek a portálon vagy API-val létrehozott jogosultságokkal.
• isMfa – Annak megjelölése, hogy a többtényezős hitelesítést kötelező-e kikényszeríteni ehhez a szerepkörhöz.

Microsoft Entra-hitelesítés engedélyezése meglévő PostgreSQL-szerepkörhöz az SQL használatával

A rugalmas Azure Database for PostgreSQL-kiszolgáló az adatbázis-szerepkörökhöz társított biztonsági címkéket használja a Microsoft Entra ID-leképezések tárolásához.

A következő SQL használatával rendelhet hozzá biztonsági címkét:

SECURITY LABEL for "pgaadauth" on role "<roleName>" is 'aadauth,oid=<objectId>,type=<user|group|service>,admin';

Paraméterek:

• roleName – Annak a meglévő PostgreSQL-szerepkörnek a neve, amelyhez engedélyezni kell a Microsoft Entra-hitelesítést.
• objectId – A Microsoft Entra objektum egyedi objektumazonosítója.
• felhasználó – Végfelhasználói tagok.
• szolgáltatás – Saját szolgáltatás hitelesítő adataival csatlakozó alkalmazások vagy felügyelt identitások.
• csoport – A Microsoft Entra-csoport neve.

Következő lépések

• Tekintse át a Rugalmas Azure Database for PostgreSQL-kiszolgálóval történő Microsoft Entra-hitelesítés általános fogalmait