Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Ověřování Microsoft Entra je mechanismus pro připojení ke službě Azure Database for PostgreSQL pomocí identit definovaných v ID Microsoft Entra. Pomocí ověřování Microsoft Entra můžete spravovat identity uživatelů databáze a další služby Microsoftu v centrálním umístění, což zjednodušuje správu oprávnění.
Mezi výhody používání Microsoft Entra ID patří:
- Jednotné ověřování uživatelů napříč službami Azure
- Správa zásad hesel a obměně hesel na jednom místě
- Podpora více forem ověřování, což může eliminovat nutnost ukládat hesla.
- Schopnost zákazníků spravovat oprávnění k databázi pomocí externích skupin (Microsoft Entra ID).
- Použití databázových rolí PostgreSQL k ověřování identit na úrovni databáze.
- Podpora ověřování na základě tokenů pro aplikace, které se připojují k instanci flexibilního serveru Azure Database for PostgreSQL.
Jak funguje ID Microsoft Entra ve službě Azure Database for PostgreSQL
Následující základní diagram shrnuje, jak funguje ověřování při použití ověřování Microsoft Entra se službou Azure Database for PostgreSQL. Šipky označují komunikační cesty.
- Vaše aplikace může požádat o token z koncového bodu identity služby metadat instance flexibilního serveru Azure.
- Když použijete ID klienta a certifikát, provede se volání microsoft Entra ID k vyžádání přístupového tokenu.
- Microsoft Entra ID vrátí přístupový token JSON Web Token (JWT). Vaše aplikace odešle přístupový token při volání instance flexibilního serveru.
- Instance flexibilního serveru ověří token pomocí ID Microsoft Entra.
Postup konfigurace ID Microsoft Entra s Azure Database for PostgreSQL najdete v tématu Použití ID Microsoft Entra pro ověřování ve službě Azure Database for PostgreSQL.
Rozdíly mezi správcem PostgreSQL a správcem Microsoft Entra
Když zapnete ověřování Microsoft Entra pro váš objekt zabezpečení Microsoft Entra jako správce Microsoft Entra, účet:
- Získá stejná oprávnění jako původní správce PostgreSQL.
- Může spravovat další role Microsoft Entra na serveru.
Správce PostgreSQL může vytvářet pouze místní uživatele založené na heslech. Správce Microsoft Entra má ale oprávnění ke správě uživatelů Microsoft Entra i místních uživatelů založených na heslech.
Správcem Microsoft Entra může být uživatel Microsoft Entra, skupina Microsoft Entra, instanční objekt nebo spravovaná identita. Použití skupinového účtu jako správce zlepšuje možnosti správy. Umožňuje centralizované přidávání a odebírání členů skupiny v Microsoft Entra ID beze změny uživatelů nebo oprávnění v instanci flexibilního serveru Azure Database for PostgreSQL.
Současně můžete nakonfigurovat více správců Microsoft Entra. Pokud chcete zvýšit požadavky na auditování a dodržování předpisů, můžete deaktivovat ověřování heslem pro instanci flexibilního serveru Azure Database for PostgreSQL.
Správci Microsoft Entra, které vytvoříte prostřednictvím webu Azure Portal, rozhraní API nebo SQL, mají stejná oprávnění jako běžný uživatel pro správu, který jste vytvořili během zřizování serveru. Oprávnění databáze pro role Microsoft Entra, které nejsou správci, spravujete podobně jako běžné role.
Připojení prostřednictvím identit Microsoft Entra
Ověřování Microsoft Entra podporuje následující metody připojení k databázi pomocí identit Microsoft Entra:
- Ověřování heslem Microsoft Entra
- Integrované ověřování Microsoft Entra
- Univerzální Microsoft Entra s vícefaktorovým ověřováním
- Certifikáty aplikací služby Active Directory nebo tajné kódy klienta
- Spravovaná identita
Po ověření ve službě Active Directory načtete token. Tento token je vaše heslo pro přihlášení.
Postup konfigurace ID Microsoft Entra s Azure Database for PostgreSQL najdete v tématu Použití ID Microsoft Entra pro ověřování ve službě Azure Database for PostgreSQL.
Omezení a úvahy
Pokud používáte ověřování Microsoft Entra se službou Azure Database for PostgreSQL, mějte na paměti následující body:
Pokud chcete, aby objekty zabezpečení Microsoft Entra převzaly vlastnictví uživatelských databází v libovolném postupu nasazení, přidejte explicitní závislosti v modulu nasazení (Terraform nebo Azure Resource Manager), abyste před vytvořením uživatelských databází zajistili, že je zapnuté ověřování Microsoft Entra.
Jako správce Microsoft Entra pro instanci flexibilního serveru Azure Database for PostgreSQL můžete kdykoli nakonfigurovat několik objektů zabezpečení Microsoft Entra (uživatel, skupina, instanční objekt nebo spravovaná identita).
K instanci flexibilního serveru Azure Database for PostgreSQL se může zpočátku pomocí účtu Microsoft Entra připojit pouze správce Microsoft Entra pro PostgreSQL. Správce služby Active Directory může nakonfigurovat další uživatele databáze Microsoft Entra.
Pokud smažete hlavní objekt Microsoft Entra z Microsoft Entra ID, tento hlavní objekt zůstane jako role PostgreSQL, ale nemůže již získat nový přístupový token. V tomto případě sice v databázi stále existuje odpovídající role, ale nemůže se ověřit na serveru. Správci databází potřebují převést vlastnictví a odstranit role ručně.
Poznámka:
Odstraněný uživatel Microsoft Entra se může přihlásit až do vypršení platnosti tokenu (až 60 minut od vystavování tokenu). Pokud také odeberete uživatele ze služby Azure Database for PostgreSQL, tento přístup se okamžitě odvolá.
Azure Database for PostgreSQL odpovídá přístupovým tokenům k databázové roli pomocí jedinečného ID uživatele Microsoft Entra, a ne pomocí uživatelského jména. Pokud odstraníte uživatele Microsoft Entra a vytvoříte nového uživatele se stejným názvem, Azure Database for PostgreSQL se domnívá, že jiný uživatel. Proto pokud odstraníte uživatele z MICROSOFT Entra ID a přidáte nového uživatele se stejným názvem, nový uživatel se nemůže připojit k existující roli.
Nejčastější dotazy
Jaké jsou dostupné režimy ověřování ve službě Azure Database for PostgreSQL?
Azure Database for PostgreSQL podporuje tři režimy ověřování: pouze ověřování PostgreSQL, pouze ověřování Microsoft Entra a ověřování PostgreSQL i Microsoft Entra.
Můžu v instanci flexibilního serveru nakonfigurovat více správců Microsoft Entra?
Ano. V instanci flexibilního serveru můžete nakonfigurovat více správců Microsoft Entra. Během zřizování můžete nastavit pouze jednoho správce Microsoft Entra. Po vytvoření serveru ale můžete nastavit tolik správců Microsoft Entra, kolik chcete, a to tak, že přejdete do podokna Ověřování .
Je správcem Microsoft Entra pouze uživatel Microsoft Entra?
Ne. Správcem Microsoft Entra může být uživatel, skupina, instanční objekt nebo spravovaná identita.
Může správce Microsoft Entra vytvářet místní uživatele založené na heslech?
Správce Microsoft Entra má oprávnění ke správě uživatelů Microsoft Entra i místních uživatelů založených na heslech.
Co se stane, když na instanci flexibilního serveru Azure Database for PostgreSQL povolím ověřování Microsoft Entra?
Když nastavíte ověřování Microsoft Entra na úrovni serveru, rozšíření PGAadAuth je povolené a server se restartuje.
Jak se přihlásím pomocí ověřování Microsoft Entra?
Můžete použít klientské nástroje, jako
psqlnebopgAdmin, k přihlášení k instanci flexibilního serveru. Jako uživatelské jméno a token Microsoft Entra použijte své ID uživatele Microsoft Entra jako heslo.Jak vygeneruji svůj token?
Token vygenerujete pomocí
az login. Další informace naleznete v tématu Načtení přístupového tokenu Microsoft Entra.Jaký je rozdíl mezi přihlášením skupiny a individuálním přihlášením?
Jediný rozdíl mezi přihlášením jako členem skupiny Microsoft Entra a přihlášením jako jednotlivý uživatel Microsoft Entra spočívá v uživatelském jménu. Přihlášení jako jednotlivý uživatel vyžaduje individuální ID uživatele Microsoft Entra. Přihlášení jako člen skupiny vyžaduje název skupiny. V obou scénářích použijete stejný jednotlivý token Microsoft Entra jako heslo.
Jaký je rozdíl mezi ověřováním skupin a individuálním ověřováním?
Jediný rozdíl mezi přihlášením jako členem skupiny Microsoft Entra a přihlášením jako jednotlivý uživatel Microsoft Entra spočívá v uživatelském jménu. Přihlášení jako jednotlivý uživatel vyžaduje individuální ID uživatele Microsoft Entra. Přihlášení jako člen skupiny vyžaduje název skupiny. V obou scénářích použijete stejný jednotlivý token Microsoft Entra jako heslo.
Jaká je životnost tokenu?
Tokeny uživatele jsou platné až 1 hodinu. Tokeny pro spravované identity přiřazené systémem jsou platné až 24 hodin.