مصادقة Microsoft Entra لقاعدة بيانات Azure ل MySQL - خادم مرن

ينطبق على: قاعدة بيانات Azure ل MySQL - خادم مرن

مصادقة Microsoft Entra هي آلية للاتصال بقاعدة بيانات Azure لخادم MySQL المرن باستخدام الهويات المعرفة في معرف Microsoft Entra. باستخدام مصادقة Microsoft Entra، يمكنك إدارة هويات مستخدمي قاعدة البيانات خدمات Microsoft الأخرى في موقع مركزي، مما يبسط إدارة الأذونات.

المزايا

• مصادقة المستخدمين عبر خدمات Azure بطريقة موحدة
• إدارة نهج كلمة المرور ودوران كلمة المرور في مكان واحد
• نماذج متعددة من المصادقة التي يدعمها معرف Microsoft Entra، والتي يمكن أن تلغي الحاجة إلى تخزين كلمات المرور
• يمكن للعملاء إدارة أذونات قاعدة البيانات باستخدام مجموعات خارجية (معرف Microsoft Entra).
• تستخدم مصادقة Microsoft Entra مستخدمي قاعدة بيانات MySQL لمصادقة الهويات على مستوى قاعدة البيانات
• دعم المصادقة المستندة إلى الرمز المميز للتطبيقات المتصلة بقاعدة بيانات Azure لخادم MySQL المرن

استخدم الخطوات أدناه لتكوين مصادقة Microsoft Entra واستخدامها

1. حدد أسلوب المصادقة المفضل لديك للوصول إلى الخادم المرن. بشكل افتراضي، يتم تعيين المصادقة المحددة إلى مصادقة MySQL فقط. حدد مصادقة Microsoft Entra فقط أو مصادقة MySQL وMicrosoft Entra لتمكين مصادقة Microsoft Entra.

2. حدد هوية المستخدم المدارة (UMI) بالامتيازات التالية لتكوين مصادقة Microsoft Entra:

   • User.Read.All: يسمح بالوصول إلى معلومات مستخدم Microsoft Entra.
   • GroupMember.Read.All: يسمح بالوصول إلى معلومات مجموعة Microsoft Entra.
   • Application.Read.ALL: يسمح بالوصول إلى معلومات كيان خدمة Microsoft Entra (التطبيق).

3. إضافة Microsoft Entra Admin. يمكن أن يكون مستخدمو Microsoft Entra أو المجموعات، التي لديها حق الوصول إلى خادم مرن.

4. إنشاء مستخدمي قاعدة البيانات في قاعدة البيانات المعينة لهويات Microsoft Entra.

5. اتصل بقاعدة البيانات الخاصة بك عن طريق استرداد رمز مميز لهوية Microsoft Entra وتسجيل الدخول.

إشعار

للحصول على إرشادات مفصلة خطوة بخطوة حول كيفية تكوين مصادقة Microsoft Entra باستخدام قاعدة بيانات Azure لخادم MySQL المرن، راجع التعرف على كيفية إعداد مصادقة Microsoft Entra لقاعدة بيانات Azure لخادم MySQL المرن

بناء الأنظمة

الهويات التي يديرها المستخدم مطلوبة لمصادقة Microsoft Entra. عندما تكون الهوية المعينة من قبل المستخدم مرتبطة بالخادم المرن، يصدر موفر موارد الهوية المدارة (MSRP) شهادة داخليا لتلك الهوية. عند حذف الهوية المُدارة، تتم إزالة أساس الخدمة المطابقة تلقائيًّا.

ثم تستخدم الخدمة الهوية المدارة لطلب رموز الوصول المميزة للخدمات التي تدعم مصادقة Microsoft Entra. تدعم قاعدة بيانات Azure حاليا فقط الهوية المدارة المعينة من قبل المستخدم (UMI) لقاعدة بيانات Azure لخادم MySQL المرن. لمزيد من المعلومات، راجع أنواع الهويات المُدارة في Azure.

يلخص الرسم التخطيطي عالي المستوى التالي كيفية عمل المصادقة باستخدام مصادقة Microsoft Entra مع قاعدة بيانات Azure لخادم MySQL المرن. تشير الأسهم إلى مسارات الاتصال.

1. يمكن للتطبيق الخاص بك طلب رمز مميز من نقطة نهاية هوية Azure Instance Metadata Service.
2. عند استخدام معرف العميل والشهادة، يتم إجراء مكالمة إلى معرف Microsoft Entra لطلب رمز مميز للوصول.
3. يتم إرجاع رمز مميز للوصول إلى JSON Web Token (JWT) بواسطة معرف Microsoft Entra. يرسل التطبيق الخاص بك رمز الوصول المميز عند استدعاء إلى الخادم المرن.
4. يتحقق الخادم المرن من صحة الرمز المميز باستخدام معرف Microsoft Entra.

بنية المسؤول

هناك حسابان للمسؤول لقاعدة بيانات Azure لخادم MySQL المرن عند استخدام مصادقة Microsoft Entra: مسؤول MySQL الأصلي ومسؤول Microsoft Entra.

يمكن فقط للمسؤول المستند إلى حساب Microsoft Entra إنشاء أول مستخدم قاعدة بيانات يحتوي على معرف Microsoft Entra في قاعدة بيانات المستخدم. يمكن أن يكون تسجيل دخول مسؤول Microsoft Entra مستخدم Microsoft Entra أو مجموعة Microsoft Entra. عندما يكون المسؤول حساب مجموعة، يمكن استخدامه من قبل أي عضو في المجموعة، مما يتيح العديد من مسؤولي Microsoft Entra للخادم المرن. يؤدي استخدام حساب مجموعة كمسؤول إلى تحسين إمكانية الإدارة من خلال السماح لك بإضافة أعضاء المجموعة وإزالتها مركزيا في Microsoft Entra ID دون تغيير المستخدمين أو الأذونات في الخادم المرن. يمكن تكوين مسؤول Microsoft Entra واحد فقط (مستخدم أو مجموعة) في كل مرة.

تتضمن طرق المصادقة للوصول إلى الخادم المرن ما يلي:

• مصادقة MySQL فقط - هذا هو الخيار الافتراضي. يمكن استخدام مصادقة MySQL الأصلية فقط مع تسجيل الدخول إلى MySQL وكلمة المرور للوصول إلى الخادم المرن.

• مصادقة Microsoft Entra فقط - يتم تعطيل المصادقة الأصلية MySQL، ويمكن للمستخدمين المصادقة باستخدام مستخدم Microsoft Entra ورمزهم المميز فقط. لتمكين هذا الوضع، يتم تعيين معلمة الخادم aad_auth_only إلى ON.

• المصادقة باستخدام MySQL ومعرف Microsoft Entra - يتم دعم كل من مصادقة MySQL الأصلية ومصادقة Microsoft Entra. لتمكين هذا الوضع، يتم تعيين معلمة الخادم aad_auth_only إلى إيقاف التشغيل.

الأذونات

الأذونات التالية مطلوبة للسماح ل UMI بالقراءة من Microsoft Graph كهوية الخادم. بدلا من ذلك، امنح UMI دور قراء الدليل.

هام

يمكن فقط للمسؤول العام أو مسؤول الدور المتميز منح هذه الأذونات.

• User.Read.All: يسمح بالوصول إلى معلومات مستخدم Microsoft Entra.
• GroupMember.Read.All: يسمح بالوصول إلى معلومات مجموعة Microsoft Entra.
• Application.Read.ALL: يسمح بالوصول إلى معلومات كيان خدمة Microsoft Entra (التطبيق).

للحصول على إرشادات حول كيفية منح الأذونات واستخدامها، راجع نظرة عامة على أذونات Microsoft Graph

بعد منح الأذونات إلى UMI، يتم تمكينها لجميع الخوادم التي تم إنشاؤها باستخدام UMI المعين كهوية خادم.

التحقق من صحة الرمز المميز

تضمن مصادقة Microsoft Entra في خادم Azure Database for MySQL المرن وجود المستخدم في خادم MySQL والتحقق من صلاحية الرمز المميز عن طريق التحقق من صحة محتويات الرمز المميز. تنفيذ خطوات التحقق من صحة الرمز المميز التالية:

• تم توقيع الرمز المميز بواسطة معرف Microsoft Entra ولم يتم العبث به.
• تم إصدار الرمز المميز بواسطة معرف Microsoft Entra للمستأجر المقترن بالخادم.
• لم تنته صلاحية الرمز المميز.
• الرمز المميز هو لمورد الخادم المرن (وليس مورد Azure آخر).

الاتصال باستخدام هويات Microsoft Entra

تدعم مصادقة Microsoft Entra الطرق التالية للاتصال بقاعدة بيانات باستخدام هويات Microsoft Entra:

• كلمة مرور Microsoft Entra
• Microsoft Entra متكامل
• Microsoft Entra Universal مع MFA
• استخدام شهادات تطبيق Active Directory أو أسرار العميل
• الهوية المُدارة

بمجرد المصادقة مقابل Active Directory، يمكنك استرداد رمز مميز. هذا الرمز المميز هو كلمة المرور الخاصة بك لتسجيل الدخول.

إشعار

عملية الإدارة هذه، مثل إضافة مستخدمين جدد، مدعومة فقط لأدوار مستخدم Microsoft Entra.

إشعار

لمزيد من المعلومات حول كيفية الاتصال برمز Active Directory المميز، راجع تكوين وتسجيل الدخول باستخدام معرف Microsoft Entra لقاعدة بيانات Azure ل MySQL - الخادم المرن.

اعتبارات أخرى

• يمكنك تكوين مسؤول Microsoft Entra واحد فقط لكل خادم مرن في أي وقت.

• يمكن فقط لمسؤول Microsoft Entra ل MySQL الاتصال في البداية بالخادم المرن باستخدام حساب Microsoft Entra. يمكن لمسؤول Active Directory تكوين مستخدمي قاعدة بيانات Microsoft Entra اللاحقة أو مجموعة Microsoft Entra. عندما يكون المسؤول حساب مجموعة، يمكن استخدامه من قبل أي عضو في المجموعة، مما يتيح العديد من مسؤولي Microsoft Entra للخادم المرن. يؤدي استخدام حساب مجموعة كمسؤول إلى تحسين إمكانية الإدارة من خلال السماح لك بإضافة أعضاء المجموعة وإزالتها مركزيا في Microsoft Entra ID دون تغيير المستخدمين أو الأذونات في الخادم المرن.

• إذا تم حذف مستخدم من معرف Microsoft Entra، فلن يتمكن هذا المستخدم من المصادقة باستخدام معرف Microsoft Entra. لذلك، لم يعد الحصول على رمز وصول لهذا المستخدم ممكنا. على الرغم من أن المستخدم المطابق لا يزال في قاعدة البيانات، فإن الاتصال بالخادم مع هذا المستخدم غير ممكن.

إشعار

لا يزال من الممكن تسجيل الدخول باستخدام مستخدم Microsoft Entra المحذوف حتى تنتهي صلاحية الرمز المميز (حتى 60 دقيقة من إصدار الرمز المميز). إذا قمت بإزالة المستخدم من خادم Azure Database for MySQL المرن، يتم إبطال هذا الوصول على الفور.

• إذا تمت إزالة مسؤول Microsoft Entra من الخادم، فلن يكون الخادم مقترنا بمستأجر Microsoft Entra، وبالتالي يتم تعطيل جميع عمليات تسجيل الدخول إلى Microsoft Entra للخادم. إضافة مسؤول Microsoft Entra جديد من نفس المستأجر إعادة تمكين تسجيلات دخول Microsoft Entra.

• يطابق الخادم المرن رموز الوصول المميزة لمستخدمي الخادم المرن ل Azure Database for MySQL باستخدام معرف مستخدم Microsoft Entra الفريد للمستخدم بدلا من اسم المستخدم. وهذا يعني أنه إذا تم حذف مستخدم Microsoft Entra في معرف Microsoft Entra وتم إنشاء مستخدم جديد بنفس الاسم، فإن الخادم المرن يعتبر أن مستخدما مختلفا. لذلك، إذا تم حذف مستخدم من معرف Microsoft Entra ثم تمت إضافة مستخدم جديد بنفس الاسم، فلن يتمكن المستخدم الجديد من الاتصال بالمستخدم الحالي.

إشعار

لا يمكن نقل اشتراكات خادم مرن مع تمكين مصادقة Microsoft Entra إلى مستأجر أو دليل آخر.

الخطوات التالية

• لمعرفة كيفية تكوين معرف Microsoft Entra باستخدام خادم Azure Database for MySQL المرن، راجع إعداد مصادقة Microsoft Entra لقاعدة بيانات Azure لخادم MySQL المرن