Ověřování Microsoft Entra s flexibilním serverem Azure Database for PostgreSQL
PLATÍ PRO:
Flexibilní server Azure Database for PostgreSQL
Ověřování Microsoft Entra je mechanismus připojení k flexibilnímu serveru Azure Database for PostgreSQL pomocí identit definovaných v Microsoft Entra ID. Pomocí ověřování Microsoft Entra můžete spravovat identity uživatelů databáze a další služby Microsoft v centrálním umístění, což zjednodušuje správu oprávnění.
Mezi výhody používání Microsoft Entra ID patří:
- Jednotné ověřování uživatelů napříč službami Azure
- Správa zásad hesel a obměně hesel na jednom místě
- Podpora více forem ověřování, což může eliminovat nutnost ukládat hesla.
- Schopnost zákazníků spravovat oprávnění k databázi pomocí externích skupin (Microsoft Entra ID).
- Použití databázových rolí PostgreSQL k ověřování identit na úrovni databáze.
- Podpora ověřování na základě tokenů pro aplikace, které se připojují k flexibilnímu serveru Azure Database for PostgreSQL
Porovnání funkcí a možností rozhraní Microsoft Entra ID mezi možnostmi nasazení
Ověřování Microsoft Entra pro flexibilní server Azure Database for PostgreSQL zahrnuje naše prostředí a zpětnou vazbu shromážděnou z jednoúčelového serveru Azure Database for PostgreSQL.
Následující tabulka uvádí základní porovnání funkcí a možností Microsoft Entra ID mezi jednoúčelovým serverem Azure Database for PostgreSQL a flexibilním serverem Azure Database for PostgreSQL.
| Funkce nebo funkce | Jednoúčelový server Azure Database for PostgreSQL | Flexibilní server Azure Database for PostgreSQL |
|---|---|---|
| Více správců Microsoft Entra | No | Ano |
| Spravované identity (přiřazené systémem a uživatelem) | Částečná | Úplný |
| Pozvaná uživatelská podpora | No | Ano |
| Možnost vypnout ověřování heslem | Není k dispozici | dostupný |
| Schopnost instančního objektu jednat jako člen skupiny | No | Ano |
| Audity přihlášení Microsoft Entra | No | Ano |
| Podpora pgBouncer | No | Ano |
Jak funguje ID Microsoft Entra na flexibilním serveru Azure Database for PostgreSQL
Následující základní diagram shrnuje, jak funguje ověřování při použití ověřování Microsoft Entra s flexibilním serverem Azure Database for PostgreSQL. Šipky označují komunikační cesty.
Postup konfigurace MICROSOFT Entra ID s flexibilním serverem Azure Database for PostgreSQL najdete v tématu Konfigurace a přihlášení pomocí Microsoft Entra ID pro flexibilní server Azure Database for PostgreSQL.
Rozdíly mezi správcem PostgreSQL a správcem Microsoft Entra
Když pro flexibilní server zapnete ověřování Microsoft Entra a přidáte instanční objekt Microsoft Entra jako správce Microsoft Entra, účet:
- Získá stejná oprávnění jako původní správce PostgreSQL.
- Může spravovat další role Microsoft Entra na serveru.
Správce PostgreSQL může vytvářet pouze místní uživatele založené na heslech. Správce Microsoft Entra má ale oprávnění ke správě uživatelů Microsoft Entra i místních uživatelů založených na heslech.
Správcem Microsoft Entra může být uživatel Microsoft Entra, skupina Microsoft Entra, instanční objekt nebo spravovaná identita. Použití skupinového účtu jako správce zlepšuje možnosti správy. Umožňuje centralizované přidávání a odebírání členů skupiny v Microsoft Entra ID beze změny uživatelů nebo oprávnění v instanci flexibilního serveru Azure Database for PostgreSQL.
Současně můžete nakonfigurovat více správců Microsoft Entra. Máte možnost deaktivovat ověřování heslem na instanci flexibilního serveru Azure Database for PostgreSQL pro lepší požadavky na auditování a dodržování předpisů.
Poznámka:
Instanční objekt nebo spravovaná identita může fungovat jako plně funkční správce Microsoft Entra na flexibilním serveru Azure Database for PostgreSQL. Toto bylo omezení na jednoúčelovém serveru Azure Database for PostgreSQL.
Správci Microsoft Entra, které vytvoříte prostřednictvím webu Azure Portal, rozhraní API nebo SQL, mají stejná oprávnění jako běžný uživatel pro správu, který jste vytvořili během zřizování serveru. Oprávnění databáze pro role Microsoft Entra, které nejsou správci, se spravují podobně jako běžné role.
Připojení ion prostřednictvím identit Microsoft Entra
Ověřování Microsoft Entra podporuje následující metody připojení k databázi pomocí identit Microsoft Entra:
- Ověřování heslem Microsoft Entra
- Integrované ověřování Microsoft Entra
- Univerzální Microsoft Entra s vícefaktorovým ověřováním
- Certifikáty aplikací služby Active Directory nebo tajné kódy klienta
- Spravovaná identita
Po ověření ve službě Active Directory načtete token. Tento token je vaše heslo pro přihlášení.
Pokud chcete nakonfigurovat ID Microsoft Entra s flexibilním serverem Azure Database for PostgreSQL, postupujte podle kroků v tématu Konfigurace a přihlášení pomocí Flexibilního serveru Microsoft Entra ID pro Azure Database for PostgreSQL.
Ostatní úvahy
Pokud chcete, aby objekty zabezpečení Microsoft Entra převzaly vlastnictví uživatelských databází v rámci jakéhokoli postupu nasazení, přidejte explicitní závislosti v rámci modulu nasazení (Terraform nebo Azure Resource Manager), abyste před vytvořením uživatelských databází zajistili, že je ověřování Microsoft Entra zapnuté.
Jako správce Microsoft Entra pro instanci flexibilního serveru Azure Database for PostgreSQL je možné kdykoli nakonfigurovat několik objektů zabezpečení Microsoft Entra (uživatel, skupina, instanční objekt nebo spravovaná identita).
Pomocí účtu Microsoft Entra se může nejprve připojit pouze správce Microsoft EntraSQL k instanci flexibilního serveru Azure Database for PostgreSQL. Správce Active Directory může nakonfigurovat další uživatele databáze Microsoft Entra.
Pokud se objekt zabezpečení Microsoft Entra odstraní z ID Microsoft Entra, zůstane jako role PostgreSQL, ale už nemůže získat nový přístupový token. V tomto případě sice v databázi stále existuje odpovídající role, ale nemůže se ověřit na serveru. Správci databází potřebují převést vlastnictví a odstranit role ručně.
Poznámka:
Odstraněný uživatel Microsoft Entra se může přihlásit až do vypršení platnosti tokenu (až 60 minut od vystavování tokenu). Pokud také odeberete uživatele z flexibilního serveru Azure Database for PostgreSQL, tento přístup se okamžitě odvolá.
Flexibilní server Azure Database for PostgreSQL odpovídá přístupovým tokenům k databázové roli pomocí jedinečného ID uživatele Microsoft Entra, a nikoli pomocí uživatelského jména. Pokud se odstraní uživatel Microsoft Entra a vytvoří se nový uživatel se stejným názvem, flexibilní server Azure Database for PostgreSQL považuje za jiného uživatele. Proto pokud je uživatel odstraněn z Microsoft Entra ID a nový uživatel se přidá se stejným názvem, nový uživatel se nemůže připojit k existující roli.
Nejčastější dotazy
Jaké jsou dostupné režimy ověřování na flexibilním serveru Azure Database for PostgreSQL?
Flexibilní server Azure Database for PostgreSQL podporuje tři režimy ověřování: pouze ověřování PostgreSQL, pouze ověřování Microsoft Entra a ověřování PostgreSQL i Microsoft Entra.
Můžu na flexibilním serveru nakonfigurovat více správců Microsoft Entra?
Ano. Na flexibilním serveru můžete nakonfigurovat více správců Microsoft Entra. Během zřizování můžete nastavit pouze jednoho správce Microsoft Entra. Po vytvoření serveru ale můžete nastavit tolik správců Microsoft Entra, kolik chcete, a to tak, že přejdete do podokna Ověřování .
Je správcem Microsoft Entra pouze uživatel Microsoft Entra?
Ne. Správcem Microsoft Entra může být uživatel, skupina, instanční objekt nebo spravovaná identita.
Může správce Microsoft Entra vytvářet místní uživatele založené na heslech?
Správce Microsoft Entra má oprávnění ke správě uživatelů Microsoft Entra i místních uživatelů založených na heslech.
Co se stane, když na flexibilním serveru povolím ověřování Microsoft Entra?
Když nastavíte ověřování Microsoft Entra na úrovni serveru, rozšíření PGAadAuth je povolené a server se restartuje.
Návody přihlášení pomocí ověřování Microsoft Entra?
K přihlášení k flexibilnímu serveru můžete použít klientské nástroje, jako je psql nebo pg Správa. Jako uživatelské jméno a token Microsoft Entra použijte své ID uživatele Microsoft Entra jako heslo.
Návody vygenerovat můj token?
Token vygenerujete pomocí
az login. Další informace naleznete v tématu Načtení přístupového tokenu Microsoft Entra.Jaký je rozdíl mezi přihlášením skupiny a individuálním přihlášením?
Jediný rozdíl mezi přihlášením jako členem skupiny Microsoft Entra a přihlášením jako jednotlivý uživatel Microsoft Entra spočívá v uživatelském jménu. Přihlášení jako jednotlivý uživatel vyžaduje individuální ID uživatele Microsoft Entra. Přihlášení jako člen skupiny vyžaduje název skupiny. V obou scénářích použijete stejný jednotlivý token Microsoft Entra jako heslo.
Jaká je životnost tokenu?
Tokeny uživatele jsou platné až 1 hodinu. Tokeny pro spravované identity přiřazené systémem jsou platné až 24 hodin.
Další kroky
- Pokud chcete zjistit, jak vytvořit a naplnit instanci Microsoft Entra ID a pak nakonfigurovat Microsoft Entra ID s flexibilním serverem Azure Database for PostgreSQL, přečtěte si téma Konfigurace a přihlášení pomocí Microsoft Entra ID pro flexibilní server Azure Database for PostgreSQL.
- Informace o správě uživatelů Microsoft Entra pro flexibilní server Azure Database for PostgreSQL najdete v tématu Správa rolí Microsoft Entra na flexibilním serveru Azure Database for PostgreSQL.