مصادقة Microsoft Entra مع قاعدة بيانات Azure ل PostgreSQL - خادم مرن

  • مقالة

يطبق على: قاعدة بيانات Azure لـ PostgreSQL - الخادم المرن

مصادقة Microsoft Entra هي آلية للاتصال بقاعدة بيانات Azure لخادم PostgreSQL المرن باستخدام الهويات المعرفة في معرف Microsoft Entra. باستخدام مصادقة Microsoft Entra، يمكنك إدارة هويات مستخدمي قاعدة البيانات خدمات Microsoft الأخرى في موقع مركزي، ما يبسط إدارة الأذونات.

تشمل فوائد استخدام معرف Microsoft Entra ما يلي:

  • مصادقة المستخدمين عبر خدمات Azure بطريقة موحدة.
  • إدارة نهج كلمة المرور وتدارة كلمة المرور في مكان واحد.
  • دعم أشكال متعددة من المصادقة، والتي يمكن أن تلغي الحاجة إلى تخزين كلمات المرور.
  • قدرة العملاء على إدارة أذونات قاعدة البيانات باستخدام مجموعات خارجية (معرف Microsoft Entra).
  • استخدام أدوار قاعدة بيانات PostgreSQL لمصادقة الهويات على مستوى قاعدة البيانات.
  • دعم المصادقة المستندة إلى الرمز المميز للتطبيقات التي تتصل بقاعدة بيانات Azure لخادم PostgreSQL المرن.

ميزة معرف Microsoft Entra ومقارنات القدرة بين خيارات النشر

تتضمن مصادقة Microsoft Entra لقاعدة بيانات Azure لخادم PostgreSQL المرن تجربتنا وملاحظاتنا التي تم جمعها من قاعدة بيانات Azure لخادم PostgreSQL الفردي.

يسرد الجدول التالي مقارنات عالية المستوى لميزات معرف Microsoft Entra والقدرات بين قاعدة بيانات Azure لخادم PostgreSQL الفردي وقاعدة بيانات Azure لخادم PostgreSQL المرن.

الميزة/الإمكانية قاعدة بيانات Azure لخادم PostgreSQL الفردي الخادم المرن من Azure Database for PostgreSQL
العديد من مسؤولي Microsoft Entra لا ‏‏نعم‬
الهويات المدارة (النظام والمستخدم المعين) جزئي كامل
دعم المستخدم المدعو لا ‏‏نعم‬
القدرة على إيقاف تشغيل مصادقة كلمة المرور غير متوفرة متاح
قدرة كيان الخدمة على العمل كعضو في المجموعة لا ‏‏نعم‬
عمليات تدقيق عمليات تسجيل الدخول إلى Microsoft Entra لا ‏‏نعم‬
دعم PgBouncer لا ‏‏نعم‬

كيف يعمل معرف Microsoft Entra في قاعدة بيانات Azure لخادم PostgreSQL المرن

يلخص الرسم التخطيطي عالي المستوى التالي كيفية عمل المصادقة عند استخدام مصادقة Microsoft Entra مع قاعدة بيانات Azure لخادم PostgreSQL المرن. تشير الأسهم إلى مسارات الاتصال.

تدفق المصادقة

للحصول على خطوات تكوين معرف Microsoft Entra مع قاعدة بيانات Azure لخادم PostgreSQL المرن، راجع تكوين وتسجيل الدخول باستخدام معرف Microsoft Entra لقاعدة بيانات Azure ل PostgreSQL - الخادم المرن.

الاختلافات بين مسؤول PostgreSQL ومسؤول Microsoft Entra

عند تشغيل مصادقة Microsoft Entra للخادم المرن وإضافة أساس Microsoft Entra كمسؤول Microsoft Entra، الحساب:

  • يحصل على نفس الامتيازات مثل مسؤول PostgreSQL الأصلي.
  • يمكنه إدارة أدوار Microsoft Entra الأخرى على الخادم.

يمكن لمسؤول PostgreSQL إنشاء مستخدمين محليين يستندون إلى كلمة المرور فقط. ولكن مسؤول Microsoft Entra لديه السلطة لإدارة كل من مستخدمي Microsoft Entra والمستخدمين المحليين المستندين إلى كلمة المرور.

يمكن أن يكون مسؤول Microsoft Entra مستخدم Microsoft Entra أو مجموعة Microsoft Entra أو كيان الخدمة أو الهوية المدارة. يؤدي استخدام حساب مجموعة كمسؤول إلى تحسين إمكانية الإدارة. يسمح بإضافة أعضاء المجموعة وإزالتها مركزيا في معرف Microsoft Entra دون تغيير المستخدمين أو الأذونات داخل قاعدة بيانات Azure لمثيل خادم PostgreSQL المرن.

يمكنك تكوين العديد من مسؤولي Microsoft Entra بشكل متزامن. لديك خيار إلغاء تنشيط مصادقة كلمة المرور إلى قاعدة بيانات Azure لمثيل خادم PostgreSQL المرن لمتطلبات التدقيق والتوافق المحسنة.

بنية المسؤول

إشعار

يمكن أن يعمل كيان الخدمة أو الهوية المدارة كمسؤول Microsoft Entra يعمل بكامل طاقته في قاعدة بيانات Azure لخادم PostgreSQL المرن. كان هذا قيدا في قاعدة بيانات Azure لخادم PostgreSQL الفردي.

يتمتع مسؤولو Microsoft Entra الذين تقوم بإنشائه عبر مدخل Microsoft Azure أو واجهة برمجة التطبيقات أو SQL بنفس الأذونات مثل المستخدم المسؤول العادي الذي قمت بإنشائه أثناء توفير الخادم. تتم إدارة أذونات قاعدة البيانات لأدوار Microsoft Entra غير المسؤولة بشكل مشابه للأدوار العادية.

الاتصال عبر هويات Microsoft Entra

تدعم مصادقة Microsoft Entra الطرق التالية للاتصال بقاعدة بيانات باستخدام هويات Microsoft Entra:

  • مصادقة كلمة مرور Microsoft Entra
  • مصادقة Microsoft Entra المتكاملة
  • Microsoft Entra العالمي مع مصادقة متعددة العوامل
  • شهادات تطبيق Active Directory أو أسرار العميل
  • الهوية المدارة

بعد المصادقة مقابل Active Directory، يمكنك استرداد رمز مميز. هذا الرمز المميز هو كلمة المرور الخاصة بك لتسجيل الدخول.

لتكوين معرف Microsoft Entra مع قاعدة بيانات Azure لخادم PostgreSQL المرن، اتبع الخطوات الواردة في تكوين وتسجيل الدخول باستخدام معرف Microsoft Entra لقاعدة بيانات Azure ل PostgreSQL - الخادم المرن.

اعتبارات أخرى

  • إذا كنت تريد أن تفترض أساسيات Microsoft Entra ملكية قواعد بيانات المستخدم ضمن أي إجراء نشر، أضف تبعيات صريحة داخل الوحدة النمطية للتوزيع (Terraform أو Azure Resource Manager) للتأكد من تشغيل مصادقة Microsoft Entra قبل إنشاء أي قواعد بيانات للمستخدم.

  • يمكن تكوين أساسيات Microsoft Entra المتعددة (المستخدم أو المجموعة أو كيان الخدمة أو الهوية المدارة) كمسؤول Microsoft Entra لقاعدة بيانات Azure لمثيل خادم PostgreSQL المرن في أي وقت.

  • يمكن فقط لمسؤول Microsoft Entra ل PostgreSQL الاتصال في البداية بقاعدة بيانات Azure لمثيل خادم PostgreSQL المرن باستخدام حساب Microsoft Entra. يمكن لمسؤول Active Directory تكوين مستخدمي قاعدة بيانات Microsoft Entra اللاحقين.

  • إذا تم حذف أساس Microsoft Entra من معرف Microsoft Entra، فإنه يبقى كدور PostgreSQL ولكن لم يعد بإمكانه الحصول على رمز وصول جديد. في هذه الحالة، على الرغم من أن دور المطابقة لا يزال موجودا في قاعدة البيانات، فإنه لا يمكن المصادقة على الخادم. يحتاج مسؤولو قاعدة البيانات إلى نقل الملكية وإفلات الأدوار يدويا.

    إشعار

    لا يزال بإمكان مستخدم Microsoft Entra المحذوف تسجيل الدخول حتى تنتهي صلاحية الرمز المميز (حتى 60 دقيقة من إصدار الرمز المميز). إذا قمت أيضا بإزالة المستخدم من قاعدة بيانات Azure لخادم PostgreSQL المرن، يتم إبطال هذا الوصول على الفور.

  • يطابق خادم Azure Database for PostgreSQL المرن رموز الوصول المميزة لدور قاعدة البيانات باستخدام معرف مستخدم Microsoft Entra الفريد للمستخدم، بدلا من استخدام اسم المستخدم. إذا تم حذف مستخدم Microsoft Entra وتم إنشاء مستخدم جديد بنفس الاسم، فإن خادم Azure Database for PostgreSQL المرن يعتبر أن مستخدما مختلفا. لذلك، إذا تم حذف مستخدم من معرف Microsoft Entra وإضافة مستخدم جديد بنفس الاسم، فلن يتمكن المستخدم الجديد من الاتصال بالدور الموجود.

الأسئلة المتداولة

  • ما هي أوضاع المصادقة المتوفرة في قاعدة بيانات Azure لخادم PostgreSQL المرن؟

    يدعم خادم Azure Database for PostgreSQL المرن ثلاثة أوضاع للمصادقة: مصادقة PostgreSQL فقط، ومصادقة Microsoft Entra فقط، ومصادقة PostgreSQL وMicrosoft Entra.

  • هل يمكنني تكوين العديد من مسؤولي Microsoft Entra على خادمي المرن؟

    نعم. يمكنك تكوين العديد من مسؤولي Microsoft Entra على الخادم المرن. أثناء التوفير، يمكنك تعيين مسؤول Microsoft Entra واحد فقط. ولكن بعد إنشاء الخادم، يمكنك تعيين العديد من مسؤولي Microsoft Entra كما تريد عن طريق الانتقال إلى جزء المصادقة .

  • هل مسؤول Microsoft Entra هو مجرد مستخدم Microsoft Entra؟

    ‏‏لا. يمكن أن يكون مسؤول Microsoft Entra مستخدما أو مجموعة أو كيان خدمة أو هوية مدارة.

  • هل يمكن لمسؤول Microsoft Entra إنشاء مستخدمين محليين يستندون إلى كلمة المرور؟

    مسؤول Microsoft Entra لديه السلطة لإدارة كل من مستخدمي Microsoft Entra والمستخدمين المحليين المستندين إلى كلمة المرور.

  • ماذا يحدث عند تمكين مصادقة Microsoft Entra على خادمي المرن؟

    عند تعيين مصادقة Microsoft Entra على مستوى الخادم، يتم تمكين ملحق PGAadAuth وإعادة تشغيل الخادم.

  • كيف أعمل تسجيل الدخول باستخدام مصادقة Microsoft Entra؟

    يمكنك استخدام أدوات العميل مثل psql أو pg مسؤول لتسجيل الدخول إلى الخادم المرن. استخدم معرف مستخدم Microsoft Entra الخاص بك باسم المستخدم ورمز Microsoft Entra المميز ككلمة مرور.

  • كيف أعمل إنشاء الرمز المميز الخاص بي؟

    يمكنك إنشاء الرمز المميز باستخدام az login. لمزيد من المعلومات، راجع استرداد الرمز المميز للوصول إلى Microsoft Entra.

  • ما الفرق بين تسجيل دخول المجموعة وتسجيل الدخول الفردي؟

    يكمن الفرق الوحيد بين تسجيل الدخول كعضو في مجموعة Microsoft Entra وتسجيل الدخول كمستخدم Microsoft Entra فردي في اسم المستخدم. يتطلب تسجيل الدخول كمستخدم فردي معرف مستخدم Microsoft Entra فردي. يتطلب تسجيل الدخول كعضو في المجموعة اسم المجموعة. في كلا السيناريوهين، يمكنك استخدام نفس الرمز المميز ل Microsoft Entra الفردي مثل كلمة المرور.

  • ما هي مدة بقاء الرمز المميز؟

    الرموز المميزة للمستخدم صالحة لمدة تصل إلى ساعة واحدة. الرموز المميزة للهويات المدارة المعينة من قبل النظام صالحة لمدة تصل إلى 24 ساعة.

الخطوات التالية