MySQL için Azure Veritabanı için Microsoft Entra kimlik doğrulaması - Esnek Sunucu

  • Makale

ŞUNLAR IÇIN GEÇERLIDIR: MySQL için Azure Veritabanı - Esnek Sunucu

Microsoft Entra kimlik doğrulaması, Microsoft Entra Kimliği'nde tanımlanan kimlikleri kullanarak MySQL için Azure Veritabanı esnek sunucuya bağlanma mekanizmasıdır. Microsoft Entra kimlik doğrulaması ile veritabanı kullanıcı kimliklerini ve diğer Microsoft hizmetleri merkezi bir konumda yönetebilir ve izin yönetimini basitleştirebilirsiniz.

Sosyal haklar

  • Azure Hizmetleri genelinde kullanıcıların tekdüzen bir şekilde kimlik doğrulaması
  • Parola ilkelerinin ve parola döndürmenin tek bir yerde yönetimi
  • Microsoft Entra Id tarafından desteklenen ve parolaları depolama gereksinimini ortadan kaldırabilen birden çok kimlik doğrulaması biçimi
  • Müşteriler dış (Microsoft Entra Id) gruplarını kullanarak veritabanı izinlerini yönetebilir.
  • Microsoft Entra kimlik doğrulaması, kimlikleri veritabanı düzeyinde doğrulamak için MySQL veritabanı kullanıcılarını kullanır
  • MySQL için Azure Veritabanı esnek sunucuya bağlanan uygulamalar için belirteç tabanlı kimlik doğrulaması desteği

Microsoft Entra kimlik doğrulamasını yapılandırmak ve kullanmak için aşağıdaki adımları kullanın

  1. Esnek sunucuya erişmek için tercih ettiğiniz kimlik doğrulama yöntemini seçin. Varsayılan olarak, seçilen kimlik doğrulaması yalnızca MySQL kimlik doğrulaması olarak ayarlanır. Microsoft Entra kimlik doğrulamasını etkinleştirmek için yalnızca Microsoft Entra kimlik doğrulamasını veya MySQL ve Microsoft Entra kimlik doğrulamasını seçin.

  2. Microsoft Entra kimlik doğrulamasını yapılandırmak için aşağıdaki ayrıcalıklara sahip kullanıcı tarafından yönetilen kimliği (UMI) seçin:

  3. Microsoft Entra Yönetici ekleyin. Esnek bir sunucuya erişimi olan Microsoft Entra kullanıcıları veya Grupları olabilir.

  4. Veritabanınızda Microsoft Entra kimliklerine eşlenmiş veritabanı kullanıcıları oluşturun.

  5. Microsoft Entra kimliği için bir belirteç alıp oturum açarak veritabanınıza Bağlan.

Dekont

Esnek MySQL için Azure Veritabanı sunucuyla Microsoft Entra kimlik doğrulamasını yapılandırma hakkında ayrıntılı, adım adım yönergeler için bkz. MySQL için Azure Veritabanı esnek sunucu için Microsoft Entra kimlik doğrulamasını ayarlamayı öğrenin

Mimari

Kullanıcı tarafından yönetilen kimlikler, Microsoft Entra kimlik doğrulaması için gereklidir. Kullanıcı Tarafından Atanan Kimlik esnek sunucuya bağlandığında, Yönetilen Kimlik Kaynak Sağlayıcısı (MSRP) bu kimliğe dahili olarak bir sertifika gönderir. Yönetilen kimlik silindiğinde, ilgili hizmet sorumlusu otomatik olarak kaldırılır.

Ardından hizmet, Microsoft Entra kimlik doğrulamasını destekleyen hizmetler için erişim belirteçleri istemek üzere yönetilen kimliği kullanır. Azure Veritabanı şu anda esnek MySQL için Azure Veritabanı sunucu için yalnızca Kullanıcı Tarafından Atanan Yönetilen Kimliği (UMI) desteklemektedir. Daha fazla bilgi için bkz . Azure'da yönetilen kimlik türleri .

Aşağıdaki üst düzey diyagramda, MySQL için Azure Veritabanı esnek sunucuyla Microsoft Entra kimlik doğrulamasını kullanarak kimlik doğrulamasının nasıl çalıştığı özetlenmiştir. Oklar iletişim yollarını gösterir.

Diagram of how Microsoft Entra authentication works.

  1. Uygulamanız Azure Instance Metadata Service kimlik uç noktasından belirteç isteyebilir.
  2. İstemci kimliğini ve sertifikayı kullandığınızda, erişim belirteci istemek için Microsoft Entra Id'ye bir çağrı yapılır.
  3. Microsoft Entra Id tarafından bir JSON Web Belirteci (JWT) erişim belirteci döndürülür. Uygulamanız, esnek sunucunuza yapılan bir çağrıda erişim belirtecini gönderir.
  4. Esnek sunucu, belirteci Microsoft Entra Kimliği ile doğrular.

Yönetici istrator yapısı

Microsoft Entra kimlik doğrulamasını kullanırken esnek MySQL için Azure Veritabanı sunucu için iki Yönetici istrator hesabı vardır: özgün MySQL yöneticisi ve Microsoft Entra yöneticisi.

Yalnızca bir Microsoft Entra hesabını temel alan yönetici, bir kullanıcı veritabanındaki ilk Microsoft Entra kimliğine sahip veritabanı kullanıcısını oluşturabilir. Microsoft Entra yöneticisi oturum açma bilgileri bir Microsoft Entra kullanıcısı veya Bir Microsoft Entra grubu olabilir. Yönetici bir grup hesabı olduğunda, herhangi bir grup üyesi tarafından kullanılabilir ve esnek sunucu için birden çok Microsoft Entra yöneticisi etkinleştirilebilir. Grup hesabını yönetici olarak kullanmak, Esnek sunucudaki kullanıcıları veya izinleri değiştirmeden Microsoft Entra Id'de grup üyelerini merkezi olarak eklemenizi ve kaldırmanızı sağlayarak yönetilebilirliği artırır. Aynı anda yalnızca bir Microsoft Entra yöneticisi (kullanıcı veya grup) yapılandırılabilir.

Diagram of Microsoft Entra admin structure.

Esnek sunucuya erişmek için kimlik doğrulama yöntemleri şunlardır:

  • Yalnızca MySQL kimlik doğrulaması - Bu varsayılan seçenektir. Esnek sunucuya erişmek için yalnızca MySQL oturum açma ve parola ile yerel MySQL kimlik doğrulaması kullanılabilir.

  • Yalnızca Microsoft Entra kimlik doğrulaması - MySQL yerel kimlik doğrulaması devre dışı bırakılır ve kullanıcılar yalnızca Microsoft Entra kullanıcılarını ve belirteçlerini kullanarak kimlik doğrulaması yapabilir. Bu modu etkinleştirmek için aad_auth_only sunucu parametresi ON olarak ayarlanır.

  • MySQL ve Microsoft Entra Id ile kimlik doğrulaması - Hem yerel MySQL kimlik doğrulaması hem de Microsoft Entra kimlik doğrulaması desteklenir. Bu modu etkinleştirmek için aad_auth_only sunucu parametresi KAPALI olarak ayarlanır.

İzinler

UMI'nin sunucu kimliği olarak Microsoft Graph'tan okumasına izin vermek için aşağıdaki izinler gereklidir. Alternatif olarak, UMI'ye Dizin Okuyucuları rolünü verin.

Önemli

Yalnızca bir Genel Yönetici istrator veya Privileged Role Yönetici istrator bu izinleri verebilir.

İzinleri verme ve kullanma hakkında yönergeler için bkz. Microsoft Graph izinlerine genel bakış

UMI'ye izin verdikten sonra, bunlar sunucu kimliği olarak atanan UMI ile oluşturulan tüm sunucular için etkinleştirilir.

Belirteç Doğrulama

Esnek MySQL için Azure Veritabanı sunucuda Microsoft Entra kimlik doğrulaması, kullanıcının MySQL sunucusunda var olmasını sağlar ve belirtecin içeriğini doğrulayarak belirtecin geçerliliğini denetler. Aşağıdaki belirteç doğrulama adımları gerçekleştirilir:

  • Belirteç Microsoft Entra Kimliği tarafından imzalanmıştır ve değiştirilmemiştir.
  • Belirteç, sunucuyla ilişkilendirilmiş kiracı için Microsoft Entra Kimliği tarafından verildi.
  • Belirtecin süresi dolmadı.
  • Belirteç, esnek sunucu kaynağı içindir (başka bir Azure kaynağı için değil).

Microsoft Entra kimliklerini kullanarak Bağlan

Microsoft Entra kimlik doğrulaması, Microsoft Entra kimliklerini kullanarak veritabanına bağlanmak için aşağıdaki yöntemleri destekler:

  • Microsoft Entra Parolası
  • Microsoft Entra tümleşik
  • MFA ile Microsoft Entra Universal
  • Active Directory Uygulama sertifikalarını veya istemci gizli dizilerini kullanma
  • Yönetilen Kimlik

Active Directory'de kimlik doğrulaması yaptıktan sonra bir belirteç alırsınız. Bu belirteç, oturum açmak için parolanızdır.

Dekont

Yeni kullanıcı ekleme gibi bu yönetim işlemi yalnızca Microsoft Entra kullanıcı rolleri için desteklenir.

Dekont

Active Directory belirtecine bağlanma hakkında daha fazla bilgi için bkz. MySQL için Azure Veritabanı için Microsoft Entra Id - Esnek Sunucu'da yapılandırma ve oturum açma.

Dikkat edilecek diğer noktalar

  • İstediğiniz zaman esnek sunucu başına yalnızca bir Microsoft Entra yöneticisi yapılandırabilirsiniz.

  • Yalnızca MySQL için Microsoft Entra yöneticisi başlangıçta bir Microsoft Entra hesabı kullanarak esnek sunucuya bağlanabilir. Active Directory yöneticisi, sonraki Microsoft Entra veritabanı kullanıcılarını veya bir Microsoft Entra grubunu yapılandırabilir. Yönetici bir grup hesabı olduğunda, herhangi bir grup üyesi tarafından kullanılabilir ve esnek sunucu için birden çok Microsoft Entra yöneticisi etkinleştirilebilir. Grup hesabını yönetici olarak kullanmak, esnek sunucudaki kullanıcıları veya izinleri değiştirmeden Microsoft Entra Id'de grup üyelerini merkezi olarak eklemenizi ve kaldırmanızı sağlayarak yönetilebilirliği artırır.

  • Bir kullanıcı Microsoft Entra Id'den silinirse, bu kullanıcı artık Microsoft Entra Id ile kimlik doğrulamasına sahip olamaz. Bu nedenle, bu kullanıcı için bir erişim belirteci almak artık mümkün değildir. Eşleşen kullanıcı hala veritabanında olsa da, bu kullanıcıyla sunucuya bağlanmak mümkün değildir.

Dekont

Silinen Microsoft Entra kullanıcısıyla oturum açma işlemi, belirtecin süresi dolana kadar (belirtecin verilmesinden itibaren en fazla 60 dakika) yapılabilir. Kullanıcıyı esnek MySQL için Azure Veritabanı sunucudan kaldırırsanız, bu erişim hemen iptal edilir.

  • Microsoft Entra yöneticisi sunucudan kaldırılırsa, sunucu artık bir Microsoft Entra kiracısıyla ilişkilendirilmez ve bu nedenle tüm Microsoft Entra oturum açma işlemleri sunucu için devre dışı bırakılır. Aynı kiracıdan yeni bir Microsoft Entra yöneticisi eklemek, Microsoft Entra oturum açma bilgilerini yeniden etkinleştirir.

  • Esnek sunucu, erişim belirteçlerini kullanıcı adı yerine kullanıcının benzersiz Microsoft Entra kullanıcı kimliğini kullanarak MySQL için Azure Veritabanı esnek sunucu kullanıcılarıyla eşleştirir. Bu, bir Microsoft Entra kullanıcısı Microsoft Entra Kimliği'nde silinirse ve aynı ada sahip yeni bir kullanıcı oluşturulursa esnek sunucunun farklı bir kullanıcı olduğunu düşündüğü anlamına gelir. Bu nedenle, bir kullanıcı Microsoft Entra Id'den silinirse ve aynı ada sahip yeni bir kullanıcı eklenirse, yeni kullanıcı mevcut kullanıcıyla bağlantı kuramaz.

Dekont

Microsoft Entra kimlik doğrulaması etkinleştirilmiş esnek bir sunucunun abonelikleri başka bir kiracıya veya dizine aktarılamaz.

Sonraki adımlar