Microsoft Entra-autentisering för Azure Database for MySQL – flexibel server
GÄLLER FÖR:
Azure Database for MySQL – flexibel server
Microsoft Entra-autentisering är en mekanism för att ansluta till en flexibel Azure Database for MySQL-server med hjälp av identiteter som definierats i Microsoft Entra-ID. Med Microsoft Entra-autentisering kan du hantera databasanvändares identiteter och andra Microsoft-tjänster på en central plats, vilket förenklar behörighetshanteringen.
Förmåner
- Autentisering av användare i Azure Services på ett enhetligt sätt
- Hantering av lösenordsprinciper och lösenordsrotation på en enda plats
- Flera former av autentisering som stöds av Microsoft Entra-ID, vilket kan eliminera behovet av att lagra lösenord
- Kunder kan hantera databasbehörigheter med hjälp av externa (Microsoft Entra ID)-grupper.
- Microsoft Entra-autentisering använder MySQL-databasanvändare för att autentisera identiteter på databasnivå
- Stöd för tokenbaserad autentisering för program som ansluter till Azure Database for MySQL – flexibel server
Använd stegen nedan för att konfigurera och använda Microsoft Entra-autentisering
Välj önskad autentiseringsmetod för åtkomst till den flexibla servern. Som standard är den valda autentiseringen endast inställd på MySQL-autentisering. Välj Endast Microsoft Entra-autentisering eller MySQL- och Microsoft Entra-autentisering för att aktivera Microsoft Entra-autentisering.
Välj den användarhanterade identiteten (UMI) med följande behörigheter för att konfigurera Microsoft Entra-autentisering:
- User.Read.All: Tillåter åtkomst till Microsoft Entra-användarinformation.
- GroupMember.Read.All: Tillåter åtkomst till Microsoft Entra-gruppinformation.
- Application.Read.ALL: Tillåter åtkomst till Microsoft Entra-tjänstens huvudnamn (program).
Lägg till Microsoft Entra-administratör. Det kan vara Microsoft Entra-användare eller -grupper, som har åtkomst till en flexibel server.
Skapa databasanvändare i databasen som mappats till Microsoft Entra-identiteter.
Anslut till databasen genom att hämta en token för en Microsoft Entra-identitet och logga in.
Kommentar
Detaljerade stegvisa instruktioner om hur du konfigurerar Microsoft Entra-autentisering med flexibel Azure Database for MySQL-server finns i Lär dig hur du konfigurerar Microsoft Entra-autentisering för flexibel Azure Database for MySQL-server
Arkitektur
Användarhanterade identiteter krävs för Microsoft Entra-autentisering. När en användartilldelad identitet är länkad till den flexibla servern utfärdar MSRP (Managed Identity Resource Provider) ett certifikat internt till den identiteten. När den hanterade identiteten tas bort tas motsvarande tjänsthuvudnamn bort automatiskt.
Tjänsten använder sedan den hanterade identiteten för att begära åtkomsttoken för tjänster som stöder Microsoft Entra-autentisering. Azure Database stöder för närvarande endast en användartilldelad hanterad identitet (UMI) för Azure Database for MySQL – flexibel server. Mer information finns i Hanterade identitetstyper i Azure.
Följande diagram på hög nivå sammanfattar hur autentisering fungerar med Microsoft Entra-autentisering med flexibel Azure Database for MySQL-server. Pilarna indikerar kommunikationsvägar.
- Ditt program kan begära en token från Azure Instance Metadata Service-identitetsslutpunkten.
- När du använder klient-ID och certifikat görs ett anrop till Microsoft Entra-ID för att begära en åtkomsttoken.
- En JSON Web Token-åtkomsttoken (JWT) returneras av Microsoft Entra ID. Ditt program skickar åtkomsttoken vid ett anrop till din flexibla server.
- Den flexibla servern validerar token med Microsoft Entra-ID.
Administratörsstruktur
Det finns två administratörskonton för Azure Database for MySQL – flexibel server när du använder Microsoft Entra-autentisering: den ursprungliga MySQL-administratören och Microsoft Entra-administratören.
Endast administratören baserat på ett Microsoft Entra-konto kan skapa den första Microsoft Entra-ID:t som innehåller databasanvändaren i en användardatabas. Microsoft Entra-administratörsinloggningen kan vara en Microsoft Entra-användare eller en Microsoft Entra-grupp. När administratören är ett gruppkonto kan det användas av valfri gruppmedlem, vilket möjliggör flera Microsoft Entra-administratörer för den flexibla servern. Att använda ett gruppkonto som administratör förbättrar hanterbarheten genom att låta dig centralt lägga till och ta bort gruppmedlemmar i Microsoft Entra-ID utan att ändra användare eller behörigheter på den flexibla servern. Endast en Microsoft Entra-administratör (en användare eller grupp) kan konfigureras åt gången.
Metoder för autentisering för åtkomst till den flexibla servern är:
Endast MySQL-autentisering – det här är standardalternativet. Endast den inbyggda MySQL-autentiseringen med mySQL-inloggning och lösenord kan användas för att komma åt den flexibla servern.
Endast Microsoft Entra-autentisering – Intern MySQL-autentisering är inaktiverad och användarna kan endast autentisera med hjälp av sin Microsoft Entra-användare och token. För att aktivera det här läget är serverparametern aad_auth_only inställd på PÅ.
Autentisering med MySQL och Microsoft Entra ID – Både intern MySQL-autentisering och Microsoft Entra-autentisering stöds. För att aktivera det här läget är serverparametern aad_auth_only inställd på AV.
Behörigheter
Följande behörigheter krävs för att tillåta att UMI läser från Microsoft Graph som serveridentitet. Alternativt kan du ge UMI rollen Katalogläsare .
Viktigt!
Endast en global administratör eller privilegierad rolladministratör kan bevilja dessa behörigheter.
- User.Read.All: Tillåter åtkomst till Microsoft Entra-användarinformation.
- GroupMember.Read.All: Tillåter åtkomst till Microsoft Entra-gruppinformation.
- Application.Read.ALL: Tillåter åtkomst till Microsoft Entra-tjänstens huvudnamn (program).
Vägledning om hur du beviljar och använder behörigheterna finns i Översikt över Microsoft Graph-behörigheter
När du har beviljat behörigheterna till UMI aktiveras de för alla servrar som skapats med UMI tilldelad som en serveridentitet.
Tokenverifiering
Microsoft Entra-autentisering i Azure Database for MySQL – flexibel server säkerställer att användaren finns på MySQL-servern och kontrollerar tokens giltighet genom att verifiera tokens innehåll. Följande verifieringssteg för token utförs:
- Token är signerad av Microsoft Entra-ID och har inte manipulerats.
- Token utfärdades av Microsoft Entra-ID för den klientorganisation som är associerad med servern.
- Token har inte upphört att gälla.
- Token är för den flexibla serverresursen (och inte en annan Azure-resurs).
Anslut med Microsoft Entra-identiteter
Microsoft Entra-autentisering stöder följande metoder för att ansluta till en databas med hjälp av Microsoft Entra-identiteter:
- Microsoft Entra-lösenord
- Microsoft Entra-integrerat
- Microsoft Entra Universal med MFA
- Använda Active Directory-programcertifikat eller klienthemligheter
- Hanterad identitet
När du har autentiserat mot Active Directory hämtar du en token. Den här token är ditt lösenord för att logga in.
Kommentar
Den hanteringsåtgärden, till exempel att lägga till nya användare, stöds endast för Microsoft Entra-användarroller.
Kommentar
Mer information om hur du ansluter med en Active Directory-token finns i Konfigurera och logga in med Microsoft Entra ID för Azure Database for MySQL – flexibel server.
Övriga beaktanden
Du kan bara konfigurera en Microsoft Entra-administratör per flexibel server när som helst.
Endast en Microsoft Entra-administratör för MySQL kan först ansluta till den flexibla servern med ett Microsoft Entra-konto. Active Directory-administratören kan konfigurera efterföljande Microsoft Entra-databasanvändare eller en Microsoft Entra-grupp. När administratören är ett gruppkonto kan det användas av valfri gruppmedlem, vilket möjliggör flera Microsoft Entra-administratörer för den flexibla servern. Att använda ett gruppkonto som administratör förbättrar hanterbarheten genom att låta dig centralt lägga till och ta bort gruppmedlemmar i Microsoft Entra-ID utan att ändra användare eller behörigheter på den flexibla servern.
Om en användare tas bort från Microsoft Entra-ID kan användaren inte längre autentisera med Microsoft Entra-ID. Därför är det inte längre möjligt att hämta en åtkomsttoken för den användaren. Även om den matchande användaren fortfarande finns i databasen är det inte möjligt att ansluta till servern med den användaren.
Kommentar
Logga in med den borttagna Microsoft Entra-användaren kan fortfarande göras tills token upphör att gälla (upp till 60 minuter från utfärdande av token). Om du tar bort användaren från en flexibel Azure Database for MySQL-server återkallas den här åtkomsten omedelbart.
Om Microsoft Entra-administratören tas bort från servern är servern inte längre associerad med en Microsoft Entra-klientorganisation och därför inaktiveras alla Microsoft Entra-inloggningar för servern. Om du lägger till en ny Microsoft Entra-administratör från samma klientorganisation återaktiver du Microsoft Entra-inloggningar.
En flexibel server matchar åtkomsttoken till azure database for MySQL-användare med flexibel server med hjälp av användarens unika Microsoft Entra-användar-ID i stället för användarnamnet. Det innebär att om en Microsoft Entra-användare tas bort i Microsoft Entra-ID och en ny användare skapas med samma namn, anser den flexibla servern att en annan användare. Om en användare tas bort från Microsoft Entra-ID och en ny användare med samma namn läggs till kan den nya användaren därför inte ansluta till den befintliga användaren.
Kommentar
Prenumerationer på en flexibel server med Microsoft Entra-autentisering aktiverat kan inte överföras till en annan klientorganisation eller katalog.
Nästa steg
- Information om hur du konfigurerar Microsoft Entra-ID med flexibel Azure Database for MySQL-server finns i Konfigurera Microsoft Entra-autentisering för Azure Database for MySQL – flexibel server