Korzystanie z usługi Microsoft Entra ID w celu uwierzytelnienia w PostgreSQL

DOTYCZY: Azure Database for PostgreSQL — pojedynczy serwer

Ważne

Usługa Azure Database for PostgreSQL — pojedynczy serwer znajduje się na ścieżce wycofania. Zdecydowanie zalecamy uaktualnienie do usługi Azure Database for PostgreSQL — serwer elastyczny. Aby uzyskać więcej informacji na temat migracji do usługi Azure Database for PostgreSQL — serwer elastyczny, zobacz Co się dzieje z usługą Azure Database for PostgreSQL — pojedynczy serwer?.

Uwierzytelnianie entra firmy Microsoft to mechanizm łączenia się z usługą Azure Database for PostgreSQL przy użyciu tożsamości zdefiniowanych w identyfikatorze Entra firmy Microsoft. Dzięki uwierzytelnieniu firmy Microsoft Entra można zarządzać tożsamościami użytkowników bazy danych i innymi usługi firmy Microsoft w centralnej lokalizacji, co upraszcza zarządzanie uprawnieniami.

Zalety korzystania z identyfikatora Entra firmy Microsoft obejmują:

• Uwierzytelnianie użytkowników w usługach platformy Azure w jednolity sposób
• Zarządzanie zasadami haseł i rotacją haseł w jednym miejscu
• Wiele form uwierzytelniania obsługiwanych przez identyfikator Entra firmy Microsoft, co może wyeliminować konieczność przechowywania haseł
• Klienci mogą zarządzać uprawnieniami bazy danych przy użyciu grup zewnętrznych (Microsoft Entra ID).
• Uwierzytelnianie firmy Microsoft Entra używa ról bazy danych PostgreSQL do uwierzytelniania tożsamości na poziomie bazy danych
• Obsługa uwierzytelniania opartego na tokenach dla aplikacji łączących się z usługą Azure Database for PostgreSQL

Aby skonfigurować i użyć uwierzytelniania firmy Microsoft Entra, wykonaj następujący proces:

1. Utwórz i wypełnij identyfikator entra firmy Microsoft przy użyciu tożsamości użytkowników zgodnie z potrzebami.
2. Opcjonalnie skojarz lub zmień usługę Active Directory skojarzona obecnie z subskrypcją platformy Azure.
3. Utwórz administratora usługi Microsoft Entra dla serwera usługi Azure Database for PostgreSQL.
4. Utwórz użytkowników bazy danych w bazie danych zamapowanych na tożsamości firmy Microsoft Entra.
5. Połączenie do bazy danych, pobierając token dla tożsamości firmy Microsoft Entra i logując się.

Uwaga

Aby dowiedzieć się, jak utworzyć i wypełnić identyfikator entra firmy Microsoft, a następnie skonfigurować identyfikator entra firmy Microsoft za pomocą usługi Azure Database for PostgreSQL, zobacz Konfigurowanie i logowanie przy użyciu identyfikatora Entra firmy Microsoft dla usługi Azure Database for PostgreSQL.

Architektura

Poniższy diagram wysokiego poziomu zawiera podsumowanie sposobu działania uwierzytelniania przy użyciu uwierzytelniania firmy Microsoft w usłudze Azure Database for PostgreSQL. Strzałki wskazują ścieżki komunikacyjne.

struktura Administracja istrator

W przypadku korzystania z uwierzytelniania Microsoft Entra istnieją dwa konta Administracja istrator dla serwera PostgreSQL; oryginalny administrator PostgreSQL i administrator firmy Microsoft Entra. Tylko administrator oparty na koncie Microsoft Entra może utworzyć pierwszego użytkownika bazy danych Entra ID firmy Microsoft w bazie danych użytkownika. Identyfikator logowania administratora entra firmy Microsoft może być użytkownikiem firmy Microsoft lub grupą Entra firmy Microsoft. Gdy administrator jest kontem grupy, może być używany przez dowolnego członka grupy, włączając wielu administratorów firmy Microsoft Entra dla serwera PostgreSQL. Korzystanie z konta grupy jako administrator zwiększa możliwości zarządzania, umożliwiając centralne dodawanie i usuwanie członków grupy w identyfikatorze Microsoft Entra ID bez zmieniania użytkowników lub uprawnień na serwerze PostgreSQL. W dowolnym momencie można skonfigurować tylko jednego administratora firmy Microsoft (użytkownika lub grupy).

Uwaga

Jednostka usługi lub tożsamość zarządzana nie może działać jako w pełni funkcjonalna usługa Microsoft Entra Administracja istrator na jednym serwerze i to ograniczenie zostało naprawione na naszym serwerze elastycznym

Uprawnienia

Aby utworzyć nowych użytkowników, którzy mogą uwierzytelniać się za pomocą identyfikatora Entra firmy Microsoft, musisz mieć azure_ad_admin rolę w bazie danych. Ta rola jest przypisywana przez skonfigurowanie konta microsoft Entra Administracja istrator dla określonego serwera usługi Azure Database for PostgreSQL.

Aby utworzyć nowego użytkownika bazy danych Entra firmy Microsoft, musisz nawiązać połączenie jako administrator firmy Microsoft Entra. Przedstawiono to w temacie Configure and Login with Microsoft Entra ID for Azure Database for PostgreSQL (Konfigurowanie i logowanie przy użyciu identyfikatora Entra firmy Microsoft dla usługi Azure Database for PostgreSQL).

Każde uwierzytelnianie entra firmy Microsoft jest możliwe tylko wtedy, gdy administrator firmy Microsoft Entra został utworzony dla usługi Azure Database for PostgreSQL. Jeśli administrator firmy Microsoft Entra został usunięty z serwera, istniejący użytkownicy firmy Microsoft Entra utworzony wcześniej nie mogą już łączyć się z bazą danych przy użyciu poświadczeń firmy Microsoft Entra.

Połączenie przy użyciu tożsamości firmy Microsoft

Uwierzytelnianie firmy Microsoft Entra obsługuje następujące metody nawiązywania połączenia z bazą danych przy użyciu tożsamości firmy Microsoft Entra:

• Microsoft Entra Password
• Microsoft Entra integrated
• Microsoft Entra Universal z usługą MFA
• Używanie certyfikatów aplikacji usługi Active Directory lub wpisów tajnych klienta
• Tożsamość zarządzana

Po uwierzytelnieniu w usłudze Active Directory należy pobrać token. Ten token to hasło do logowania.

Należy pamiętać, że operacje zarządzania, takie jak dodawanie nowych użytkowników, są obecnie obsługiwane tylko dla ról użytkowników firmy Microsoft Entra.

Uwaga

Aby uzyskać więcej informacji na temat nawiązywania połączenia z tokenem usługi Active Directory, zobacz Konfigurowanie i logowanie przy użyciu identyfikatora Entra firmy Microsoft dla usługi Azure Database for PostgreSQL.

Uwagi dodatkowe

• Aby zwiększyć możliwości zarządzania, zalecamy aprowizację dedykowanej grupy firmy Microsoft Entra jako administrator.
• W dowolnym momencie można skonfigurować tylko jednego administratora firmy Microsoft (użytkownika lub grupy) dla serwera usługi Azure Database for PostgreSQL.
• Tylko administrator usługi Microsoft Entra for PostgreSQL może początkowo łączyć się z usługą Azure Database for PostgreSQL przy użyciu konta usługi Microsoft Entra. Administrator usługi Active Directory może skonfigurować kolejnych użytkowników bazy danych usługi Microsoft Entra.
• Jeśli użytkownik zostanie usunięty z identyfikatora Entra firmy Microsoft, ten użytkownik nie będzie już mógł uwierzytelnić się przy użyciu identyfikatora Entra firmy Microsoft i dlatego nie będzie już możliwe uzyskanie tokenu dostępu dla tego użytkownika. W takim przypadku, mimo że pasującą rolę będzie nadal znajdować się w bazie danych, nie będzie możliwe nawiązanie połączenia z serwerem z tą rolą.

Uwaga

Zaloguj się przy użyciu usuniętego użytkownika Microsoft Entra, dopóki token nie wygaśnie (do 60 minut od wystawiania tokenu). Jeśli usuniesz również użytkownika z usługi Azure Database for PostgreSQL, ten dostęp zostanie natychmiast odwołany.

• Jeśli administrator firmy Microsoft Entra zostanie usunięty z serwera, serwer nie będzie już skojarzony z dzierżawą firmy Microsoft Entra, dlatego wszystkie identyfikatory logowania firmy Microsoft Entra zostaną wyłączone dla serwera. Dodanie nowego administratora firmy Microsoft Entra z tej samej dzierżawy spowoduje ponowne dołączenie identyfikatorów logowania firmy Microsoft Entra.
• Usługa Azure Database for PostgreSQL dopasuje tokeny dostępu do roli usługi Azure Database for PostgreSQL przy użyciu unikatowego identyfikatora użytkownika Microsoft Entra, w przeciwieństwie do używania nazwy użytkownika. Oznacza to, że jeśli użytkownik entra firmy Microsoft zostanie usunięty w identyfikatorze Entra firmy Microsoft i nowym użytkownikiem utworzonym pod tą samą nazwą, usługa Azure Database for PostgreSQL uzna, że inny użytkownik. W związku z tym, jeśli użytkownik zostanie usunięty z identyfikatora Entra firmy Microsoft, a następnie nowy użytkownik o tej samej nazwie dodany, nowy użytkownik nie będzie mógł nawiązać połączenia z istniejącą rolą. Aby to umożliwić, administrator usługi Azure Database for PostgreSQL firmy Microsoft Entra musi odwołać, a następnie przyznać użytkownikowi rolę "azure_ad_user", aby odświeżyć identyfikator użytkownika entra firmy Microsoft.

Następne kroki

• Aby dowiedzieć się, jak utworzyć i wypełnić identyfikator entra firmy Microsoft, a następnie skonfigurować identyfikator entra firmy Microsoft za pomocą usługi Azure Database for PostgreSQL, zobacz Konfigurowanie i logowanie przy użyciu identyfikatora Entra firmy Microsoft dla usługi Azure Database for PostgreSQL.
• Aby zapoznać się z omówieniem nazw logowania, użytkowników i ról bazy danych usługi Azure Database for PostgreSQL, zobacz Tworzenie użytkowników w usłudze Azure Database for PostgreSQL — pojedynczy serwer.