Microsoft Entra-szerepkörök kezelése az Azure Database for PostgreSQL-ben – rugalmas kiszolgáló
A következőkre vonatkozik: Azure Database for PostgreSQL – Rugalmas kiszolgáló
Ez a cikk azt ismerteti, hogyan hozhat létre Microsoft Entra ID-kompatibilis adatbázis-szerepköröket egy rugalmas Azure Database for PostgreSQL-kiszolgálópéldányon belül.
Feljegyzés
Ez az útmutató feltételezi, hogy már engedélyezte a Microsoft Entra-hitelesítést a rugalmas Azure Database for PostgreSQL-kiszolgálópéldányon. A Microsoft Entra-hitelesítés konfigurálása
Ha szeretne többet megtudni az Azure-előfizetés felhasználóinak és jogosultságainak létrehozásáról és kezeléséről, látogasson el az Azure szerepköralapú hozzáférés-vezérlési (Azure RBAC) cikkére , vagy tekintse át a szerepkörök testreszabásának módját.
Microsoft Entra-rendszergazdák létrehozása vagy törlése az Azure Portal vagy az Azure Resource Manager (ARM) API használatával
- Nyissa meg a rugalmas Azure Database for PostgreSQL-kiszolgálópéldány hitelesítési lapját az Azure Portalon.
- Rendszergazda hozzáadásához válassza a Microsoft Entra hozzáadása Rendszergazda lehetőséget, és válasszon ki egy felhasználót, csoportot, alkalmazást vagy felügyelt identitást az aktuális Microsoft Entra-bérlőből.
- Rendszergazda eltávolításához válassza az eltávolítani kívánt törlés ikont.
- Válassza a Mentés lehetőséget, és várja meg, amíg befejeződik a kiépítési művelet.
Feljegyzés
A Microsoft Entra Rendszergazda istrators Azure SDK-val történő felügyeletének támogatása hamarosan elérhető lesz az az cli és az Azure PowerShell használatával.
Microsoft Entra-szerepkörök kezelése AZ SQL használatával
Miután létrehozta az első Microsoft Entra-rendszergazdat az Azure Portalról vagy az API-ból, a rendszergazdai szerepkörrel kezelheti a Microsoft Entra-szerepköröket a rugalmas Azure Database for PostgreSQL-kiszolgálópéldányban.
Javasoljuk, hogy ismerkedjen meg a Microsoft Identitásplatform a Rugalmas Azure Database for PostgreSQL-kiszolgálóval való Microsoft Entra-integráció legjobb használatához.
Egyszerű típusok
A rugalmas Azure Database for PostgreSQL-kiszolgáló belsőleg tárolja a PostgreSQL-adatbázisszerepkörök és az AzureAD-objektumok egyedi azonosítói közötti leképezést. Minden PostgreSQL-adatbázisszerepkör az alábbi Microsoft Entra-objektumtípusok egyikére képezhető le:
- Felhasználó – Bérlői helyi és vendégfelhasználók is.
- Szolgáltatásnév. Alkalmazásokat és felügyelt identitásokat is beleértve
- Csoport Amikor egy PostgreSQL-szerepkör egy Microsoft Entra-csoporthoz van csatolva, a csoport bármely felhasználója vagy szolgáltatásnév-tagja csatlakozhat a rugalmas Azure Database for PostgreSQL-kiszolgálópéldányhoz a csoportszerepkörrel.
Microsoft Entra-szerepkörök listázása SQL használatával
select * from pgaadauth_list_principals(true);
Paraméterek:
- true –Rendszergazda felhasználókat ad vissza.
- false – az összes Microsoft Entra-felhasználót a Microsoft Entra rendszergazdái és a nem Microsoft Entra-rendszergazdák is visszaadják.
Szerepkör létrehozása a Microsoft Entra egyszerű nevével
select * from pgaadauth_create_principal('<roleName>', <isAdmin>, <isMfa>);
--For example:
select * from pgaadauth_create_principal('mary@contoso.com', false, false);
Paraméterek:
- roleName – A létrehozandó szerepkör neve. Ennek meg kell egyeznie a Microsoft Entra egyszerű nevével:
- A felhasználók a profilból származó felhasználónevet használják. Vendégfelhasználók esetén adja meg a teljes nevet a saját tartományában #EXT# címkével.
- Csoportok és szolgáltatásnevek esetén használja a megjelenítendő nevet. A névnek egyedinek kell lennie a bérlőben.
- is Rendszergazda – Igaz értékre van állítva, ha rendszergazdai felhasználót hoz létre, és egy normál felhasználó esetében hamis. Rendszergazda felhasználó így létrehozott jogosultságai megegyeznek a portálon vagy API-val létrehozott jogosultságokkal.
- isMfa – Annak megjelölése, hogy a többtényezős hitelesítést kötelező-e kikényszeríteni ehhez a szerepkörhöz.
Szerepkör elvetése a Microsoft Entra egyszerű nevével
Ne feledje, hogy a PostgreSQL-ben létrehozott Microsoft Entra-szerepköröket egy Microsoft Entra Rendszergazda kell elvetni. Ha egy reguláris PostgreSQL-rendszergazdát használ egy Entra-szerepkör elvetéséhez, az hibát fog eredményezni.
DROP ROLE rolename;
Szerepkör létrehozása a Microsoft Entra objektumazonosítóval
select * from pgaadauth_create_principal_with_oid('<roleName>', '<objectId>', '<objectType>', <isAdmin>, <isMfa>);
For example: select * from pgaadauth_create_principal_with_oid('accounting_application', '00000000-0000-0000-0000-000000000000', 'service', false, false);
Paraméterek:
- roleName – A létrehozandó szerepkör neve.
- objectId – A Microsoft Entra objektum egyedi objektumazonosítója:
- Felhasználók, csoportok és felügyelt identitások esetén az ObjectId az objektum nevének keresésével található az Azure Portal Microsoft Entra ID lapján. Tekintse meg ezt az útmutatót példaként
- Alkalmazások esetén a megfelelő szolgáltatásnév objectid azonosítóját kell használni. Az Azure Portalon a szükséges ObjectId megtalálható a Nagyvállalati alkalmazások lapon.
- objectType – A Microsoft Entra objektum típusa, amely a következő szerepkörre hivatkozik: szolgáltatás, felhasználó, csoport.
- is Rendszergazda – Igaz értékre van állítva, ha rendszergazdai felhasználót hoz létre, és egy normál felhasználó esetében hamis. Rendszergazda felhasználó így létrehozott jogosultságai megegyeznek a portálon vagy API-val létrehozott jogosultságokkal.
- isMfa – Annak megjelölése, hogy a többtényezős hitelesítést kötelező-e kikényszeríteni ehhez a szerepkörhöz.
Microsoft Entra-hitelesítés engedélyezése meglévő PostgreSQL-szerepkörhöz az SQL használatával
A rugalmas Azure Database for PostgreSQL-kiszolgáló az adatbázis-szerepkörökhöz társított biztonsági címkéket használja a Microsoft Entra ID-leképezések tárolásához.
A következő SQL használatával rendelhet hozzá biztonsági címkét:
SECURITY LABEL for "pgaadauth" on role "<roleName>" is 'aadauth,oid=<objectId>,type=<user|group|service>,admin';
Paraméterek:
- roleName – Annak a meglévő PostgreSQL-szerepkörnek a neve, amelyhez engedélyezni kell a Microsoft Entra-hitelesítést.
- objectId – A Microsoft Entra objektum egyedi objektumazonosítója.
- felhasználó – Végfelhasználói tagok.
- szolgáltatás – Saját szolgáltatás hitelesítő adataival csatlakozó alkalmazások vagy felügyelt identitások.
- csoport – A Microsoft Entra-csoport neve.
Következő lépések
- Tekintse át a Rugalmas Azure Database for PostgreSQL-kiszolgálóval történő Microsoft Entra-hitelesítés általános fogalmait