Verwenden der Microsoft Entra ID für die Authentifizierung mit PostgreSQL

GILT FÜR: Azure Database for PostgreSQL – Single Server

Wichtig

Azure Database for PostgreSQL – Single Server wird eingestellt. Es wird dringend empfohlen, ein Upgrade auf Azure Database for PostgreSQL – Flexible Server auszuführen. Weitere Informationen zum Migrieren zu Azure Database for PostgreSQL – Flexible Server finden Sie unter Was geschieht mit Azure Database for PostgreSQL – Single Server?

Microsoft Entra-Authentifizierung ist ein Mechanismus zum Herstellen einer Verbindung mit Azure Database for PostgreSQL unter Verwendung der in Microsoft Entra ID definierten Identitäten. Mit der Microsoft Entra-Authentifizierung können Sie Datenbankbenutzeridentitäten und andere Microsoft-Dienste an einem zentralen Ort verwalten, wodurch die Berechtigungsverwaltung vereinfacht wird.

Zu den Vorteilen der Verwendung von Microsoft Entra ID gehören:

• Einheitliche Authentifizierung von Benutzern über Azure-Dienste hinweg
• Verwaltung von Kennwortrichtlinien und Kennwortrotation an einem zentralen Ort
• Mehrere Formen der Authentifizierung, die von Microsoft Entra ID unterstützt werden, wodurch das Speichern von Kennwörtern entfällt
• Kunden können Datenbankberechtigungen mithilfe externer Gruppen (Microsoft Entra ID) verwalten.
• Microsoft Entra ID-Authentifizierung verwendet PostgreSQL-Datenbankrollen zum Authentifizieren von Identitäten auf Datenbankebene
• Unterstützung von tokenbasierter Authentifizierung für Anwendungen, die eine Verbindung mit Azure Database for PostgreSQL herstellen

Verwenden Sie den folgenden Prozess, um die Microsoft Entra-Authentifizierung zu konfigurieren und zu verwenden:

1. Erstellen und füllen Sie Microsoft Entra ID bei Bedarf mit Benutzeridentitäten auf.
2. Ordnen Sie optional das Active Directory zu, das derzeit mit Ihrem Azure-Abonnement verknüpft ist, oder ändern Sie es.
3. Erstellen Sie einen Microsoft Entra-Administrator für die Azure-Datenbank für PostgreSQL-Server.
4. Erstellen Sie Datenbankbenutzer in Ihrer Datenbank, die Microsoft Entra-Identitäten zugeordnet sind.
5. Stellen Sie eine Verbindung mit der Datenbank her, indem Sie ein Token für eine Microsoft Entra-Identität abrufen und sich anmelden.

Hinweis

Informationen zum Erstellen und Auffüllen von Microsoft Entra ID und zum Konfigurieren von Microsoft Entra ID mit Azure Database für PostgreSQL finden Sie unter Konfigurieren und Anmelden mit Microsoft Entra ID für Azure Database for PostgreSQL.

Aufbau

Die folgende Abbildung bietet eine Übersicht über die Funktionsweise der Authentifizierung bei der Verwendung von Microsoft Entra-Authentifizierung mit Azure Database for PostgreSQL. Die Pfeile zeigen die Kommunikationswege.

Administratorstruktur

Bei Verwendung von Microsoft Entra-Authentifizierung sind zwei Administratorkonten für den PostgreSQL-Server vorhanden: der ursprüngliche PostgreSQL-Administrator und der Microsoft Entra-Administrator. Nur auf einem Microsoft Entra-Konto basierende Administratoren können den ersten eigenständigen Microsoft Entra-Datenbankbenutzer in einer Benutzerdatenbank erstellen. Der Microsoft Entra-Administrator kann ein Microsoft Entra-Benutzer oder eine Microsoft Entra-Gruppe sein. Wenn es sich bei dem Administrator um ein Gruppenkonto handelt, kann es von einem beliebigen Gruppenmitglied verwendet werden, sodass mehrere Microsoft Entra-Administratoren den PostgreSQL-Server verwalten können. Die Verwendung eines Gruppenkontos für den Administrator ermöglicht es Ihnen, Gruppenmitglieder in Microsoft Entra ID zentral hinzuzufügen und zu entfernen, ohne die Benutzer oder Berechtigungen im PostgreSQL-Server zu ändern. Es kann jeweils nur ein Microsoft Entra-Administrator (ein Benutzer oder eine Gruppe) konfiguriert werden.

Hinweis

Der Dienstprinzipal oder die verwaltete Identität kann nicht als vollständig funktionsfähiger Microsoft Entra-Administrator auf einem Einzelserver fungieren. Diese Einschränkung wird auf unserem flexiblen Server behoben

Berechtigungen

Zum Erstellen neuer Benutzer, die sich mit Microsoft Entra ID authentifizieren können, müssen Sie über die Rolle azure_ad_admin in der Datenbank verfügen. Diese Rolle wird zugewiesen, indem das Microsoft Entra ID-Administratorkonto für einen bestimmten Azure Database for PostgreSQL-Server konfiguriert wird.

Zum Erstellen eines neuen Microsoft Entra-Datenbankbenutzers müssen Sie eine Verbindung als Microsoft Entra-Administrator herstellen. Dies wird unter Konfigurieren und Anmelden mit Microsoft Entra ID für Azure Database for PostgreSQL gezeigt.

Jede Microsoft Entra-Authentifizierung ist nur möglich, wenn der Microsoft Entra-Administrator für Azure-Datenbank für PostgreSQL erstellt wurde. Wenn der Microsoft Entra-Administrator vom Server entfernt wurde, können vorhandene Microsoft Entra-Benutzer, die zuvor erstellt wurden, keine Verbindung mit der Datenbank mehr mit ihren Microsoft Entra-Anmeldeinformationen herstellen.

Herstellen einer Verbindung mit Microsoft Entra-Identitäten

Die Microsoft Entra-Authentifizierung unterstützt die folgenden Methoden zum Herstellen einer Verbindung mit einer Datenbank mithilfe von Microsoft Entra-Identitäten:

• Microsoft Entra-Kennwort
• Microsoft Entra integriert
• Microsoft Entra Universal mit MFA
• Verwenden von Active Directory Anwendungszertifikaten oder Clientgeheimnissen
• Verwaltete Identität

Nachdem Sie sich über Active Directory authentifiziert haben, rufen Sie ein Token ab. Dieses Token ist Ihr Kennwort für die Anmeldung.

Beachten Sie, dass Verwaltungsvorgänge, z. B. das Hinzufügen neuer Benutzer, zu diesem Zeitpunkt nur für Microsoft Entra-Benutzerrollen unterstützt werden.

Hinweis

Weitere Informationen zum Herstellen einer Verbindung mit einem Active Directory-Token finden Sie unter Konfigurieren von und Anmelden mit Microsoft Entra ID für Azure Database for PostgreSQL.

Weitere Überlegungen

• Um die Verwaltungsmöglichkeiten zu verbessern, wird empfohlen, eine dedizierte Microsoft Entra-Gruppe als Administrator bereitzustellen.
• Es kann immer nur ein einzelner Microsoft Entra-Administrator (Benutzer oder Gruppe) für einen Azure Database for PostgreSQL-Server konfiguriert werden.
• Nur ein Microsoft Entra-Administrator für PostgreSQL kann zunächst mithilfe eines Microsoft Entra-Kontos eine Verbindung mit der Azure-Datenbank für PostgreSQL herstellen. Der Active Directory-Administrator kann weitere Microsoft Entra-Datenbankbenutzer konfigurieren.
• Wenn ein Benutzer aus Microsoft Entra ID gelöscht wird, kann dieser Benutzer sich nicht mehr bei Microsoft Entra ID authentifizieren, und daher ist es nicht mehr möglich, ein Zugriffstoken für diesen Benutzer abzurufen. In diesem Fall ist es nicht möglich, mit dieser Rolle eine Verbindung mit dem Server herzustellen, obwohl die entsprechende Rolle weiterhin in der Datenbank vorhanden ist.

Hinweis

Die Anmeldung mit dem gelöschten Microsoft Entra-Benutzer kann bis zum Ablauf des Token (bis zu 60 Minuten nach Ausstellung des Token) dennoch erfolgen. Wenn Sie den Benutzer auch aus Azure Database for PostgreSQL entfernen, wird dieser Zugriff sofort widerrufen.

• Wenn der Microsoft Entra-Administrator vom Server entfernt wird, wird der Server nicht mehr einem Microsoft Entra-Mandanten zugeordnet, und daher werden alle Microsoft Entra-Anmeldungen für den Server deaktiviert. Wenn Sie einen neuen Microsoft Entra-Administrator aus demselben Mandanten hinzufügen, werden Microsoft Entra-Anmeldungen erneut angezeigt.
• Azure Database for PostgreSQL gleicht Zugriffstoken für die Azure Database for PostgreSQL-Rolle mit der eindeutigen Microsoft Entra-Benutzer-ID des Benutzers ab, anstatt den Benutzernamen zu verwenden. Dies bedeutet Folgendes: Wenn ein Microsoft Entra-Benutzer in Microsoft Entra ID gelöscht und ein neuer Benutzer mit dem gleichen Namen erstellt wird, geht Azure Database for PostgreSQL davon aus, dass dies ein anderer Benutzer ist. Wenn ein Benutzer aus Microsoft Entra ID gelöscht und dann ein neuer Benutzer mit dem gleichen Namen hinzugefügt wird, kann der neue Benutzer daher keine Verbindung mit der vorhandenen Rolle herstellen. Um diesen Vorgang zuzulassen, muss der Azure Database for PostgreSQL Microsoft Entra-Administrator die Rolle „azure_ad_user“ widerrufen und dann dem Benutzer diese Rolle zuweisen, um die Microsoft Entra-Benutzer-ID zu aktualisieren.

Nächste Schritte

• Informationen zum Erstellen und Auffüllen von Microsoft Entra ID und zum Konfigurieren von Microsoft Entra ID mit Azure Database für PostgreSQL finden Sie unter Konfigurieren und Anmelden mit Microsoft Entra ID für Azure Database for PostgreSQL.
• Eine Übersicht über Anmeldungen, Benutzer und Datenbankrollen in Azure Database for PostgreSQL finden Sie unter Erstellen von Benutzern in Azure Database for PostgreSQL: Einzelserver.