Ověřování pomocí MySQL pomocí Microsoft Entra ID
PLATÍ PRO:
Jednoúčelový server Azure Database for MySQL
Důležité
Jednoúčelový server Azure Database for MySQL je na cestě vyřazení. Důrazně doporučujeme upgradovat na flexibilní server Azure Database for MySQL. Další informace o migraci na flexibilní server Azure Database for MySQL najdete v tématu Co se děje s jednoúčelovým serverem Azure Database for MySQL?
Ověřování Microsoft Entra je mechanismus připojení ke službě Azure Database for MySQL pomocí identit definovaných v MICROSOFT Entra ID. Pomocí ověřování Microsoft Entra můžete spravovat identity uživatelů databáze a další služby Microsoft v centrálním umístění, což zjednodušuje správu oprávnění.
Mezi výhody používání Microsoft Entra ID patří:
- Jednotné ověřování uživatelů napříč službami Azure
- Správa zásad hesel a obměně hesel na jednom místě
- Více forem ověřování, které podporuje ID Microsoft Entra, což může eliminovat potřebu ukládat hesla
- Zákazníci můžou spravovat oprávnění k databázi pomocí externích skupin (Microsoft Entra ID).
- Ověřování Microsoft Entra používá uživatele databáze MySQL k ověřování identit na úrovni databáze.
- Podpora ověřování na základě tokenů pro aplikace připojující se ke službě Azure Database for MySQL
Ke konfiguraci a používání ověřování Microsoft Entra použijte následující postup:
- Podle potřeby vytvořte a naplňte ID Microsoft Entra identitami uživatelů.
- Volitelně můžete přidružit nebo změnit Active Directory, která je aktuálně přidružená k vašemu předplatnému Azure.
- Vytvořte správce Microsoft Entra pro server Azure Database for MySQL.
- Vytvořte uživatele databáze v databázi namapované na identity Microsoft Entra.
- Připojte se k databázi načtením tokenu pro identitu Microsoft Entra a přihlášením.
Poznámka:
Informace o tom, jak vytvořit a naplnit ID Microsoft Entra a pak nakonfigurovat ID Microsoft Entra pomocí Služby Azure Database for MySQL, najdete v tématu Konfigurace a přihlášení pomocí Microsoft Entra ID pro Azure Database for MySQL.
Architektura
Následující základní diagram shrnuje, jak funguje ověřování pomocí ověřování Microsoft Entra se službou Azure Database for MySQL. Šipky označují komunikační cesty.
Struktura správce
Při použití ověřování Microsoft Entra existují dva účty správce pro server MySQL; původního správce MySQL a správce Microsoft Entra. Pouze správce založený na účtu Microsoft Entra může vytvořit prvního uživatele databáze microsoft Entra ID obsažené v uživatelské databázi. Přihlášení správce Microsoft Entra může být uživatel Microsoft Entra nebo skupina Microsoft Entra. Pokud je správcem účet skupiny, může ho používat libovolný člen skupiny a povolit více správců Microsoft Entra pro server MySQL. Použití skupinového účtu jako správce zlepšuje možnosti správy tím, že umožňuje centrálně přidávat a odebírat členy skupiny v Microsoft Entra ID beze změny uživatelů nebo oprávnění na serveru MySQL. Kdykoli je možné nakonfigurovat pouze jednoho správce Microsoft Entra (uživatele nebo skupiny).
Oprávnění
Pokud chcete vytvořit nové uživatele, kteří se můžou ověřit pomocí ID Microsoft Entra, musíte být určeným správcem Microsoft Entra. Tento uživatel je přiřazen konfigurací účtu správce Microsoft Entra pro konkrétní server Azure Database for MySQL.
Pokud chcete vytvořit nového uživatele databáze Microsoft Entra, musíte se připojit jako správce Microsoft Entra. To je znázorněno v tématu Konfigurace a přihlášení s ID Microsoft Entra pro Službu Azure Database for MySQL.
Jakékoli ověřování Microsoft Entra je možné pouze v případě, že byl vytvořen správce Microsoft Entra pro Službu Azure Database for MySQL. Pokud byl správce Microsoft Entra odebrán ze serveru, stávající uživatelé Microsoft Entra, kteří vytvořili dříve, se už nemůžou připojit k databázi pomocí svých přihlašovacích údajů Microsoft Entra.
Připojení pomocí identit Microsoft Entra
Ověřování Microsoft Entra podporuje následující metody připojení k databázi pomocí identit Microsoft Entra:
- Heslo Microsoft Entra
- Integrovaná aplikace Microsoft Entra
- Microsoft Entra Universal s MFA
- Použití certifikátů aplikací služby Active Directory nebo tajných klíčů klienta
- Spravovaná identita
Po ověření ve službě Active Directory pak načtete token. Tento token je vaše heslo pro přihlášení.
Upozorňujeme, že operace správy, jako je přidání nových uživatelů, jsou v tuto chvíli podporovány pouze pro role uživatelů Microsoft Entra.
Poznámka:
Další podrobnosti o připojení pomocí tokenu Active Directory najdete v tématu Konfigurace a přihlášení pomocí Microsoft Entra ID pro Azure Database for MySQL.
Další důležité informace
- Ověřování Microsoft Entra je k dispozici pouze pro MySQL 5.7 a novější.
- Pro server Azure Database for MySQL je možné kdykoli nakonfigurovat pouze jednoho správce Microsoft Entra.
- K Azure Database for MySQL se může nejprve připojit jenom správce Microsoft Entra pro MySQL pomocí účtu Microsoft Entra. Správce Active Directory může nakonfigurovat další uživatele databáze Microsoft Entra.
- Pokud je uživatel odstraněn z Microsoft Entra ID, tento uživatel už nebude moct ověřit pomocí Microsoft Entra ID, a proto už nebude možné získat přístupový token pro daného uživatele. V tomto případě, i když bude odpovídající uživatel stále v databázi, nebude možné se připojit k serveru s tímto uživatelem.
Poznámka:
Přihlášení s odstraněným uživatelem Microsoft Entra je stále možné provést až do vypršení platnosti tokenu (až 60 minut od vystavování tokenu). Pokud také odeberete uživatele ze služby Azure Database for MySQL, bude tento přístup odvolán okamžitě.
- Pokud se správce Microsoft Entra odebere ze serveru, server už nebude přidružený k tenantovi Microsoft Entra, a proto budou všechna přihlášení Microsoft Entra pro server zakázaná. Přidání nového správce Microsoft Entra ze stejného tenanta znovu povolí přihlášení Microsoft Entra.
- Azure Database for MySQL odpovídá přístupovým tokenům pro uživatele Azure Database for MySQL s použitím jedinečného ID uživatele Microsoft Entra, a ne pomocí uživatelského jména. To znamená, že pokud se uživatel Microsoft Entra odstraní v Microsoft Entra ID a nový uživatel vytvořený se stejným názvem, Azure Database for MySQL se domnívá, že jiný uživatel. Proto pokud je uživatel odstraněn z Microsoft Entra ID a pak nový uživatel se stejným názvem přidaný, nový uživatel se nebude moct připojit s existujícím uživatelem.
Poznámka:
Předplatná Azure MySQL s povoleným ověřováním Microsoft Entra nelze přenést do jiného tenanta nebo adresáře.
Další kroky
- Informace o tom, jak vytvořit a naplnit ID Microsoft Entra a pak nakonfigurovat ID Microsoft Entra pomocí Služby Azure Database for MySQL, najdete v tématu Konfigurace a přihlášení pomocí Microsoft Entra ID pro Azure Database for MySQL.
- Přehled přihlášení a uživatelů databází pro Azure Database for MySQL najdete v tématu Vytváření uživatelů ve službě Azure Database for MySQL.
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro