Partilhar via

Gerenciar funções do Microsoft Entra no Banco de Dados do Azure para PostgreSQL - Servidor Flexível

  • Artigo

APLICA-SE A: Banco de Dados do Azure para PostgreSQL - Servidor Flexível

Este artigo descreve como você pode criar uma função de banco de dados habilitada para ID do Microsoft Entra em uma instância de servidor flexível do Banco de Dados do Azure para PostgreSQL.

Nota

Este guia pressupõe que você já tenha habilitado a autenticação do Microsoft Entra em seu Banco de Dados do Azure para instância flexível do servidor PostgreSQL. Consulte Como configurar a autenticação do Microsoft Entra

Se você quiser saber mais sobre como criar e gerenciar usuários de assinatura do Azure e seus privilégios, visite o artigo Controle de acesso baseado em função do Azure (Azure RBAC) ou revise como personalizar funções.

Criar ou excluir administradores do Microsoft Entra usando o portal do Azure ou a API do Azure Resource Manager (ARM)

  1. Abra a página Autenticação para sua instância de servidor flexível do Banco de Dados do Azure para PostgreSQL no portal do Azure.
  2. Para adicionar um administrador - selecione Adicionar administrador do Microsoft Entra e selecione um usuário, grupo, aplicativo ou uma identidade gerenciada do locatário atual do Microsoft Entra.
  3. Para remover um administrador - selecione o ícone Excluir para aquele a ser removido.
  4. Selecione Salvar e aguarde a conclusão da operação de provisionamento.

Screenshot of managing Microsoft Entra administrators via portal.

Nota

O suporte para o gerenciamento de Administradores do Microsoft Entra por meio do SDK do Azure, az cli e Azure PowerShell será disponibilizado em breve.

Gerenciar funções do Microsoft Entra usando SQL

Depois que o primeiro administrador do Microsoft Entra for criado a partir do portal ou da API do Azure, você poderá usar a função de administrador para gerenciar funções do Microsoft Entra em sua instância de servidor flexível do Banco de Dados do Azure para PostgreSQL.

Recomendamos familiarizar-se com a plataforma de identidade da Microsoft para melhor uso da integração do Microsoft Entra com o Banco de Dados do Azure para servidor flexível PostgreSQL.

Principais tipos

O servidor flexível do Banco de Dados do Azure para PostgreSQL armazena internamente o mapeamento entre funções de banco de dados PostgreSQL e identificadores exclusivos de objetos AzureAD. Cada função de banco de dados PostgreSQL pode ser mapeada para um dos seguintes tipos de objeto do Microsoft Entra:

  1. Usuário - Incluindo usuários inquilinos locais e convidados.
  2. Entidade de Serviço. Incluindo aplicativos e identidades gerenciadas
  3. Grupo Quando uma função PostgreSQL está vinculada a um grupo do Microsoft Entra, qualquer usuário ou membro da entidade de serviço desse grupo pode se conectar à instância de servidor flexível do Banco de Dados do Azure para PostgreSQL com a função de grupo.

Listar funções do Microsoft Entra usando SQL

select * from pgaadauth_list_principals(true);

Parâmetros:

  • true -retornará usuários administradores.
  • false -retornará todos os usuários do Microsoft Entra tanto os administradores do Microsoft Entra quanto os administradores que não são do Microsoft Entra.

Criar uma função usando o nome principal do Microsoft Entra

select * from pgaadauth_create_principal('<roleName>', <isAdmin>, <isMfa>);

--For example: 

select * from pgaadauth_create_principal('mary@contoso.com', false, false);

Parâmetros:

  • roleName - Nome da função a ser criada. Isso deve corresponder a um nome da entidade de segurança do Microsoft Entra:
    • Para os usuários, use o Nome Principal do Usuário do Perfil. Para usuários convidados, inclua o nome completo em seu domínio inicial com a tag #EXT#.
    • Para grupos e entidades de serviço, use o nome para exibição. O nome deve ser exclusivo no locatário.
  • isAdmin - Defina como true se ao criar um usuário admin e false para um usuário regular. O usuário administrador criado dessa forma tem os mesmos privilégios de um criado via portal ou API.
  • isMfa - Sinalize se a Autenticação Multifator tiver de ser imposta para esta função.

Soltar uma função usando o nome principal do Microsoft Entra

Lembre-se de que qualquer função do Microsoft Entra criada no PostgreSQL deve ser descartada usando um administrador do Microsoft Entra. Se você usar um administrador regular do PostgreSQL para soltar uma função do Entra, isso resultará em um erro.

DROP ROLE rolename;

Criar uma função usando o identificador de objeto do Microsoft Entra

select * from pgaadauth_create_principal_with_oid('<roleName>', '<objectId>', '<objectType>', <isAdmin>, <isMfa>);

For example: select * from pgaadauth_create_principal_with_oid('accounting_application', '00000000-0000-0000-0000-000000000000', 'service', false, false);

Parâmetros:

  • roleName - Nome da função a ser criada.
  • objectId - Identificador de objeto exclusivo do objeto Microsoft Entra:
    • Para Usuários, Grupos e Identidades Gerenciadas, o ObjectId pode ser encontrado pesquisando o nome do objeto na página ID do Microsoft Entra no portal do Azure. Veja este guia como exemplo
    • Para Aplicativos, Objectid da entidade de serviço correspondente deve ser usado. No portal do Azure, o ObjectId necessário pode ser encontrado na página Aplicativos Empresariais.
  • objectType - Tipo do objeto Microsoft Entra para vincular a esta função: serviço, usuário, grupo.
  • isAdmin - Defina como true se ao criar um usuário admin e false para um usuário regular. O usuário administrador criado dessa forma tem os mesmos privilégios de um criado via portal ou API.
  • isMfa - Sinalize se a Autenticação Multifator tiver de ser imposta para esta função.

Habilitar a autenticação do Microsoft Entra para uma função existente do PostgreSQL usando SQL

O servidor flexível do Banco de Dados do Azure para PostgreSQL usa rótulos de segurança associados a funções de banco de dados para armazenar o mapeamento de ID do Microsoft Entra.

Você pode usar o seguinte SQL para atribuir rótulo de segurança:

SECURITY LABEL for "pgaadauth" on role "<roleName>" is 'aadauth,oid=<objectId>,type=<user|group|service>,admin';

Parâmetros:

  • roleName - Nome de uma função existente do PostgreSQL para a qual a autenticação do Microsoft Entra precisa ser habilitada.
  • objectId - Identificador de objeto exclusivo do objeto Microsoft Entra.
  • user - Entidades de usuário final.
  • service - Aplicativos ou Identidades Gerenciadas conectando-se sob suas próprias credenciais de serviço.
  • group - Nome do grupo Microsoft Entra.

Próximos passos