مصادقة Microsoft Entra باستخدام قاعدة بيانات Azure ل PostgreSQL

مصادقة Microsoft Entra هي آلية للاتصال بقاعدة بيانات Azure ل PostgreSQL باستخدام الهويات المحددة في معرف Microsoft Entra. باستخدام مصادقة Microsoft Entra، يمكنك إدارة هويات مستخدمي قاعدة البيانات وخدمات Microsoft الأخرى في موقع مركزي، مما يبسط إدارة الأذونات.

تتضمن مزايا استخدام معرف Microsoft Entra ما يلي:

• مصادقة المستخدمين عبر خدمات Azure بطريقة موحدة.
• إدارة سياسات كلمات المرور وتدوير كلمة المرور في مكان واحد.
• دعم أشكال متعددة من المصادقة ، والتي يمكن أن تلغي الحاجة إلى تخزين كلمات المرور.
• قدرة العملاء على إدارة أذونات قاعدة البيانات باستخدام مجموعات خارجية (معرف Microsoft Entra).
• استخدام أدوار قاعدة بيانات PostgreSQL لمصادقة الهويات على مستوى قاعدة البيانات.
• دعم المصادقة المستندة إلى الرمز المميز للتطبيقات التي تتصل بقاعدة بيانات Azure لمثيل الخادم المرن PostgreSQL.

كيف يعمل معرف Microsoft Entra في قاعدة بيانات Azure ل PostgreSQL

يلخص الرسم التخطيطي عالي المستوى التالي كيفية عمل المصادقة عند استخدام مصادقة Microsoft Entra مع قاعدة بيانات Azure ل PostgreSQL. تشير الأسهم إلى مسارات الاتصال.

1. يمكن لتطبيقك طلب رمز مميز من نقطة نهاية هوية خدمة بيانات التعريف لمثيل خادم Azure المرن.
2. عند استخدام معرف العميل والشهادة، يتم إجراء مكالمة إلى معرف Microsoft Entra لطلب رمز مميز للوصول.
3. يقوم معرف Microsoft Entra بإرجاع رمز وصول JSON Web Token (JWT) المميز. يرسل تطبيقك الرمز المميز للوصول عند مكالمة إلى مثيل الخادم المرن.
4. يتحقق مثيل الخادم المرن من صحة الرمز المميز باستخدام معرف Microsoft Entra.

للحصول على خطوات تكوين معرف Microsoft Entra باستخدام قاعدة بيانات Azure ل PostgreSQL، راجع استخدام معرف Microsoft Entra للمصادقة باستخدام قاعدة بيانات Azure ل PostgreSQL.

الاختلافات بين مسؤول PostgreSQL ومسؤول Microsoft Entra

عند تشغيل مصادقة Microsoft Entra لكيان Microsoft Entra كمسؤول Microsoft Entra، فإن الحساب:

• يحصل على نفس الامتيازات مثل مسؤول PostgreSQL الأصلي.
• يمكن إدارة أدوار Microsoft Entra الأخرى على الخادم.

يمكن لمسؤول PostgreSQL إنشاء مستخدمين محليين يستند إلى كلمة مرور فقط. لكن مسؤول Microsoft Entra لديه سلطة إدارة كل من مستخدمي Microsoft Entra والمستخدمين المحليين المستندين إلى كلمة المرور.

يمكن أن يكون مسؤول Microsoft Entra مستخدما ل Microsoft Entra أو مجموعة Microsoft Entra أو كيان خدمة أو هوية مدارة. يؤدي استخدام حساب مجموعة كمسؤول إلى تحسين قابلية الإدارة. يسمح بالإضافة المركزية وإزالة أعضاء المجموعة في معرف Microsoft Entra دون تغيير المستخدمين أو الأذونات داخل قاعدة بيانات Azure لمثيل الخادم المرن PostgreSQL.

يمكنك تكوين العديد من مسؤولي Microsoft Entra في وقت واحد. يمكنك إلغاء تنشيط مصادقة كلمة المرور إلى قاعدة بيانات Azure لمثيل خادم PostgreSQL المرن لتحسين متطلبات التدقيق والتوافق.

يتمتع مسؤولو Microsoft Entra الذين تقوم بإنشائهم عبر مدخل Microsoft Azure أو واجهة برمجة التطبيقات أو SQL بنفس أذونات مستخدم المسؤول العادي الذي قمت بإنشائه أثناء توفير الخادم. يمكنك إدارة أذونات قاعدة البيانات لأدوار Microsoft Entra غير المسؤولة بشكل مشابه للأدوار العادية.

الاتصال عبر هويات Microsoft Entra

تدعم مصادقة Microsoft Entra الطرق التالية للاتصال بقاعدة بيانات باستخدام هويات Microsoft Entra:

• مصادقة كلمة مرور Microsoft Entra
• المصادقة المتكاملة ل Microsoft Entra
• Microsoft Entra عالمي مع مصادقة متعددة العوامل
• شهادات تطبيق Active Directory أو أسرار العميل
• الهوية المدارة

بعد المصادقة مقابل Active Directory، يمكنك استرداد رمز مميز. هذا الرمز المميز هو كلمة المرور الخاصة بك لتسجيل الدخول.

للحصول على خطوات تكوين معرف Microsoft Entra باستخدام قاعدة بيانات Azure ل PostgreSQL، راجع استخدام معرف Microsoft Entra للمصادقة باستخدام قاعدة بيانات Azure ل PostgreSQL.

القيود والاعتبارات

عند استخدام مصادقة Microsoft Entra مع قاعدة بيانات Azure ل PostgreSQL، ضع النقاط التالية في الاعتبار:

• لجعل أساسيات Microsoft Entra تأخذ ملكية قواعد بيانات المستخدم في أي إجراء توزيع، أضف تبعيات صريحة داخل وحدة التوزيع (Terraform أو Azure Resource Manager) لضمان تشغيل مصادقة Microsoft Entra قبل إنشاء أي قواعد بيانات للمستخدم.

• يمكنك تكوين العديد من أساسيات Microsoft Entra (مستخدم أو مجموعة أو كيان خدمة أو هوية مدارة) كمسؤولي Microsoft Entra لقاعدة بيانات Azure لمثيل خادم PostgreSQL المرن في أي وقت.

• يمكن لمسؤول Microsoft Entra ل PostgreSQL فقط الاتصال في البداية بقاعدة بيانات Azure لمثيل الخادم المرن PostgreSQL باستخدام حساب Microsoft Entra. يمكن لمسؤول "Active Directory" تكوين مستخدمي قاعدة بيانات Microsoft Entra اللاحقين.

• إذا قمت بحذف كيان Microsoft Entra من معرف Microsoft Entra، يظل العنصر الأساسي كدور PostgreSQL ولكن لم يعد بإمكانه الحصول على رمز وصول جديد. في هذه الحالة، على الرغم من أن دور المطابقة لا يزال موجودا في قاعدة البيانات، إلا أنه لا يمكن المصادقة على الخادم. يحتاج مسؤولو قاعدة البيانات إلى نقل الملكية وإسقاط الأدوار يدويا.

  Note

  لا يزال بإمكان مستخدم Microsoft Entra المحذوف تسجيل الدخول حتى انتهاء صلاحية الرمز المميز (حتى 60 دقيقة من إصدار الرمز المميز). إذا قمت أيضا بإزالة المستخدم من قاعدة بيانات Azure ل PostgreSQL، إبطال هذا الوصول على الفور.

• تطابق قاعدة بيانات Azure ل PostgreSQL رموز الوصول المميزة لدور قاعدة البيانات باستخدام معرف مستخدم Microsoft Entra الفريد للمستخدم، بدلا من استخدام اسم المستخدم. إذا قمت بحذف مستخدم Microsoft Entra وإنشاء مستخدم جديد بنفس الاسم، فإن قاعدة بيانات Azure ل PostgreSQL تعتبر ذلك مستخدما مختلفا. لذلك، إذا قمت بحذف مستخدم من معرف Microsoft Entra وأضفت مستخدما جديدا بنفس الاسم، فلن يتمكن المستخدم الجديد من الاتصال بالدور الحالي.

الأسئلة الشائعة

• ما هي أوضاع المصادقة المتوفرة في قاعدة بيانات Azure ل PostgreSQL؟

  تدعم قاعدة بيانات Azure ل PostgreSQL ثلاثة أوضاع للمصادقة: مصادقة PostgreSQL فقط، ومصادقة Microsoft Entra فقط، ومصادقة PostgreSQL وMicrosoft Entra.

• هل يمكنني تكوين العديد من مسؤولي Microsoft Entra على مثيل الخادم المرن الخاص بي؟

  نعم. يمكنك تكوين العديد من مسؤولي Microsoft Entra على مثيل الخادم المرن الخاص بك. أثناء التوفير، يمكنك تعيين مسؤول Microsoft Entra واحد فقط. ولكن بعد إنشاء الخادم، يمكنك تعيين أكبر عدد تريده من مسؤولي Microsoft Entra بالانتقال إلى جزء المصادقة .

• هل مسؤول Microsoft Entra هو مجرد مستخدم Microsoft Entra؟

  ‏‏لا. يمكن أن يكون مسؤول Microsoft Entra مستخدما أو مجموعة أو كيان خدمة أو هوية مدارة.

• هل يمكن لمسؤول Microsoft Entra إنشاء مستخدمين محليين يستندون إلى كلمة المرور؟

  يتمتع مسؤول Microsoft Entra بسلطة إدارة كل من مستخدمي Microsoft Entra والمستخدمين المحليين المستندين إلى كلمة المرور.

• ماذا يحدث عندما أقوم بتمكين مصادقة Microsoft Entra على قاعدة بيانات Azure لمثيل خادم PostgreSQL المرن؟

  عند تعيين مصادقة Microsoft Entra على مستوى الخادم، يتم تمكين ملحق PGAadAuth وإعادة تشغيل الخادم.

• كيف يمكنني تسجيل الدخول باستخدام مصادقة Microsoft Entra؟

  يمكنك استخدام أدوات العميل مثل psql أو pgAdmin لتسجيل الدخول إلى مثيل الخادم المرن. استخدم معرف مستخدم Microsoft Entra كاسم مستخدم ورمز Microsoft Entra المميز ككلمة مرور لك.

• كيف أقوم بإنشاء الرمز المميز الخاص بي؟

  يمكنك إنشاء الرمز المميز باستخدام az login. لمزيد من المعلومات، راجع استرداد الرمز المميز للوصول إلى Microsoft Entra.

• ما الفرق بين تسجيل الدخول الجماعي وتسجيل الدخول الفردي؟

  يكمن الاختلاف الوحيد بين تسجيل الدخول كعضو في مجموعة Microsoft Entra وتسجيل الدخول كمستخدم Microsoft Entra فردي في اسم المستخدم. يتطلب تسجيل الدخول كمستخدم فردي معرف مستخدم Microsoft Entra فردي. يتطلب تسجيل الدخول كعضو في المجموعة اسم المجموعة. في كلا السيناريوهين، يمكنك استخدام نفس رمز Microsoft Entra الفردي ككلمة المرور.

• ما الفرق بين المصادقة الجماعية والمصادقة الفردية؟

  يكمن الاختلاف الوحيد بين تسجيل الدخول كعضو في مجموعة Microsoft Entra وتسجيل الدخول كمستخدم Microsoft Entra فردي في اسم المستخدم. يتطلب تسجيل الدخول كمستخدم فردي معرف مستخدم Microsoft Entra فردي. يتطلب تسجيل الدخول كعضو في المجموعة اسم المجموعة. في كلا السيناريوهين، يمكنك استخدام نفس رمز Microsoft Entra الفردي ككلمة المرور.

ما هو عمر الرمز المميز؟

رموز المستخدم صالحة لمدة تصل إلى 1 ساعة. الرموز المميزة للهويات المدارة المعينة من قبل النظام صالحة لمدة تصل إلى 24 ساعة.

المحتوى ذو الصلة

• استخدام معرف Microsoft Entra في قاعدة بيانات Azure ل PostgreSQL
• إدارة أدوار Microsoft Entra في قاعدة بيانات Azure ل PostgreSQL