Microsoft Entra-Authentifizierung für Azure-Datenbank für MySQL – Flexibler Server

GILT FÜR: Azure Database for MySQL – Flexible Server

Die Microsoft Entra-Authentifizierung ist ein Mechanismus zum Herstellen einer Verbindung mit der Azure-Datenbank für MySQL flexiblen Server mithilfe von Identitäten, die in microsoft Entra ID definiert sind. Mit der Microsoft Entra-Authentifizierung können Sie Datenbankbenutzeridentitäten und andere Microsoft-Dienste an einem zentralen Ort verwalten und die Berechtigungsverwaltung vereinfachen.

Vorteile

• Einheitliche Authentifizierung von Benutzern über Azure-Dienste hinweg
• Verwaltung von Kennwortrichtlinien und Kennwortrotation an einem zentralen Ort
• Mehrere Formen der Authentifizierung, die von Microsoft Entra ID unterstützt werden, wodurch das Speichern von Kennwörtern entfällt
• Kunden können Datenbankberechtigungen mithilfe externer Gruppen (Microsoft Entra ID) verwalten.
• Microsoft Entra-Authentifizierung verwendet MySQL-Datenbankbenutzer zum Authentifizieren von Identitäten auf Datenbankebene
• Unterstützung der tokenbasierten Authentifizierung für Anwendungen, die eine Verbindung mit Azure Database for MySQL – Flexible Server herstellen

Führen Sie die folgenden Schritte aus, um die Microsoft Entra-Authentifizierung zu konfigurieren und zu verwenden.

1. Wählen Sie Ihre bevorzugte Authentifizierungsmethode für den Zugriff auf den flexiblen Server aus. Standardmäßig ist die Authentifizierung auf „Nur MySQL-Authentifizierung“ festgelegt. Wählen Sie nur die Microsoft Entra-Authentifizierung oder MySQL- und Microsoft Entra-Authentifizierung aus, um die Microsoft Entra-Authentifizierung zu aktivieren.

2. Wählen Sie die vom Benutzer verwaltete Identität (UMI) mit den folgenden Berechtigungen aus, um die Microsoft Entra-Authentifizierung zu konfigurieren:

   • User.Read.All: Ermöglicht den Zugriff auf Microsoft Entra-Benutzerinformationen.
   • GroupMember.Read.All: Ermöglicht den Zugriff auf Microsoft Entra-Gruppeninformationen.
   • Application.Read.ALL: Ermöglicht den Zugriff auf Informationen zu Microsoft Entra-Dienstprinzipalen (Anwendung).

3. Fügen Sie Microsoft Entra-Administrator hinzu. Dabei kann es sich um Microsoft Entra-Benutzer oder -Gruppen handeln, die Zugriff auf einen flexiblen Server haben.

4. Erstellen Sie Datenbankbenutzer in Ihrer Datenbank, die Microsoft Entra-Identitäten zugeordnet sind.

5. Stellen Sie eine Verbindung mit der Datenbank her, indem Sie ein Token für eine Microsoft Entra-Identität abrufen und sich anmelden.

Hinweis

Ausführliche, schrittweise Anleitungen zum Konfigurieren der Microsoft Entra-Authentifizierung mit Azure Database für MySQL flexiblen Server finden Sie unter Informationen zum Einrichten der Microsoft Entra-Authentifizierung für Die Azure-Datenbank für mySQL flexiblen Server

Aufbau

Benutzerverwaltete Identitäten sind für die Microsoft Entra-Authentifizierung erforderlich. Wenn eine benutzerseitig zugewiesenen Identität mit dem flexiblen Server verknüpft wird, gibt der Ressourcenanbieter der verwalteten Identität (Managed Identity Resource Provider, MSRP) intern ein Zertifikat für diese Identität aus. Wenn die verwaltete Identität gelöscht wird, wird automatisch auch der entsprechende Dienstprinzipal entfernt.

Der Dienst verwendet dann die verwaltete Identität, um Zugriffstoken für Dienste anzufordern, die die Microsoft Entra-Authentifizierung unterstützen. Azure Database unterstützt derzeit nur eine vom Benutzer zugewiesene verwaltete Identität (UMI) für Azure Database für mySQL flexiblen Server. Weitere Informationen finden Sie unter verwaltete Identitätstypen in Azure.

Das folgende allgemeine Diagramm fasst zusammen, wie die Authentifizierung mithilfe der Microsoft Entra-Authentifizierung mit Azure Database for MySQL flexible Server funktioniert. Die Pfeile zeigen die Kommunikationswege.

1. Ihre Anwendung kann ein Token vom Azure Instance Metadata Service-Identitätsendpunkt anfordern.
2. Wenn Sie die Client-ID und das Zertifikat verwenden, wird ein Aufruf der Microsoft Entra-ID ausgeführt, um ein Zugriffstoken anzufordern.
3. Ein JSON-Webtoken (JWT)-Zugriffstoken wird von Microsoft Entra ID zurückgegeben. Ihre Anwendung sendet das Zugriffstoken in einem Aufruf an Ihren flexiblen Server.
4. Der flexible Server überprüft das Token mit der Microsoft Entra-ID.

Administratorstruktur

Bei Verwendung der Microsoft Entra-Authentifizierung gibt es zwei Administratorkonten für die Azure-Datenbank für MySQL: den ursprünglichen MySQL-Administrator und den Microsoft Entra-Administrator.

Nur auf einem Microsoft Entra-Konto basierende Administratoren können den ersten eigenständigen Microsoft Entra-Datenbankbenutzer in einer Benutzerdatenbank erstellen. Die Microsoft Entra-Administratoranmeldung kann ein Microsoft Entra-Benutzer oder eine Microsoft Entra-Gruppe sein. Wenn der Administrator ein Gruppenkonto ist, kann er von jedem Gruppenmitglied verwendet werden, wodurch mehrere Microsoft Entra-Administratoren für den flexiblen Server aktiviert werden können. Die Verwendung eines Gruppenkontos als Administrator verbessert die Verwaltbarkeit, indem Sie Gruppenmitglieder in microsoft Entra ID zentral hinzufügen und entfernen können, ohne die Benutzer oder Berechtigungen auf dem flexiblen Server zu ändern. Es kann jeweils nur ein Microsoft Entra-Administrator (ein Benutzer oder eine Gruppe) konfiguriert werden.

Zu den Authentifizierungsmethoden für den Zugriff auf den flexiblen Server zählen:

• Nur MySQL-Authentifizierung: Dies ist die Standardoption. Für den Zugriff auf den flexiblen Server kann nur die native MySQL-Authentifizierung mit einer MySQL-Anmeldung und einem Kennwort verwendet werden.

• Nur microsoft Entra-Authentifizierung – MySQL native Authentifizierung ist deaktiviert, und Benutzer können sich nur mit ihrem Microsoft Entra-Benutzer und -Token authentifizieren. Zum Aktivieren dieses Modus wird der Serverparameter aad_auth_only auf EIN festgelegt.

• Authentifizierung mit MySQL und Microsoft Entra ID – Sowohl die systemeigene MySQL-Authentifizierung als auch die Microsoft Entra-Authentifizierung werden unterstützt. Zum Aktivieren dieses Modus wird der Serverparameter aad_auth_only auf AUS festgelegt.

Berechtigungen

Damit die benutzerseitig zugewiesene verwaltete Identität (User-assigned Managed Identity, UMI) als Serveridentität Daten aus Microsoft Graph lesen kann, sind die folgenden Berechtigungen erforderlich. Weisen Sie der UMI alternativ die Rolle Verzeichnisleser zu.

Wichtig

Nur ein Globaler Administrator oder ein Privilegierter Rollenadministrator kann diese Rechte vergeben.

• User.Read.All: Ermöglicht den Zugriff auf Microsoft Entra-Benutzerinformationen.
• GroupMember.Read.All: Ermöglicht den Zugriff auf Microsoft Entra-Gruppeninformationen.
• Application.Read.ALL: Ermöglicht den Zugriff auf Informationen zu Microsoft Entra-Dienstprinzipalen (Anwendung).

Anleitungen zum Erteilen und Verwenden der Berechtigungen finden Sie in der Übersicht über Microsoft Graph-Berechtigungen.

Nachdem Sie der UMI die Berechtigungen erteilt haben, werden sie für alle Server aktiviert, die mit der als Serveridentität zugewiesenen UMI erstellt werden.

Tokenüberprüfung

Die Microsoft Entra-Authentifizierung in Der Azure-Datenbank für MySQL flexible Server stellt sicher, dass der Benutzer im MySQL-Server vorhanden ist, und überprüft die Gültigkeit des Tokens, indem der Inhalt des Tokens überprüft wird. Die folgenden Tokenvalidierungsschritte werden ausgeführt:

• Das Token wird von der Microsoft Entra-ID signiert und wurde nicht manipuliert.
• Token wurde von der Microsoft Entra-ID für den Mandanten ausgestellt, der dem Server zugeordnet ist.
• Token ist nicht abgelaufen.
• Das Token gilt für die flexible Serverressource (nicht für eine andere Azure-Ressource).

Herstellen einer Verbindung mithilfe von Microsoft Entra-Identitäten

Die Microsoft Entra-Authentifizierung unterstützt die folgenden Methoden der Verbindungsherstellung mit einer Datenbank unter Verwendung von Microsoft Entra-Identitäten:

• Microsoft Entra-Kennwort
• Microsoft Entra integriert
• Microsoft Entra Universal mit MFA
• Verwenden von Active Directory Anwendungszertifikaten oder Clientgeheimnissen
• Verwaltete Identität

Nachdem Sie sich bei Active Directory authentifiziert haben, rufen Sie ein Token ab. Dieses Token ist Ihr Kennwort für die Anmeldung.

Hinweis

Dieser Verwaltungsvorgang, z. B. das Hinzufügen neuer Benutzer, wird nur für Microsoft Entra-Benutzerrollen unterstützt.

Hinweis

Weitere Informationen zum Herstellen einer Verbindung mit einem Active Directory-Token finden Sie unter Konfigurieren und Anmelden mit Microsoft Entra ID für Azure-Datenbank für MySQL – Flexible Server.

Andere Aspekte

• Sie können jeweils nur einen Microsoft Entra-Administrator pro flexiblem Server konfigurieren.

• Nur ein Microsoft Entra-Administrator für MySQL kann zunächst mithilfe eines Microsoft Entra-Kontos eine Verbindung mit dem flexiblen Server herstellen. Der Active Directory-Administrator kann nachfolgende Microsoft Entra-Datenbankbenutzer oder eine Microsoft Entra-Gruppe konfigurieren. Wenn der Administrator ein Gruppenkonto ist, kann er von jedem Gruppenmitglied verwendet werden, wodurch mehrere Microsoft Entra-Administratoren für den flexiblen Server aktiviert werden können. Die Verwendung eines Gruppenkontos als Administrator verbessert die Verwaltbarkeit, indem Sie Gruppenmitglieder zentral in Microsoft Entra ID hinzufügen und entfernen können, ohne die Benutzer oder Berechtigungen auf dem flexiblen Server zu ändern.

• Wenn ein Benutzer aus der Microsoft Entra-ID gelöscht wird, kann dieser Benutzer sich nicht mehr mit Microsoft Entra-ID authentifizieren. Daher ist das Abrufen eines Zugriffstokens für diesen Benutzer nicht mehr möglich. Obwohl sich der entsprechende Benutzer noch in der Datenbank befindet, ist es nicht möglich, mit diesem Benutzer eine Verbindung mit dem Server herzustellen.

Hinweis

Melden Sie sich mit dem gelöschten Microsoft Entra-Benutzer an, bis das Token abläuft (bis zu 60 Minuten ab tokenausstellen). Wenn Sie den Benutzer aus der Azure-Datenbank für mySQL flexiblen Server entfernen, wird dieser Zugriff sofort widerrufen.

• Wenn der Microsoft Entra-Administrator vom Server entfernt wird, ist der Server nicht mehr einem Microsoft Entra-Mandanten zugeordnet, und daher werden alle Microsoft Entra-Anmeldungen für den Server deaktiviert. Das Hinzufügen eines neuen Microsoft Entra-Administrators aus demselben Mandanten ermöglicht Microsoft Entra-Anmeldungen erneut.

• Ein flexibler Server gleicht Zugriffstoken mit der Azure-Datenbank für MySQL flexible Serverbenutzer ab, die die eindeutige Microsoft Entra-Benutzer-ID des Benutzers anstelle des Benutzernamens verwenden. Dies bedeutet, dass der flexible Server, wenn ein Microsoft Entra-Benutzer in der Microsoft Entra-ID gelöscht wird und ein neuer Benutzer mit demselben Namen erstellt wird, der flexible Server der Ansicht ist, dass ein anderer Benutzer. Wenn ein Benutzer daher aus der Microsoft Entra-ID gelöscht und ein neuer Benutzer mit demselben Namen hinzugefügt wird, kann der neue Benutzer keine Verbindung mit dem vorhandenen Benutzer herstellen.

Hinweis

Die Abonnements eines flexiblen Servers mit aktivierter Microsoft Entra-Authentifizierung können nicht auf einen anderen Mandanten oder ein anderes Verzeichnis übertragen werden.

Nächste Schritte

• Informationen zum Konfigurieren der Microsoft Entra-ID mit Azure Database für mySQL flexiblen Server finden Sie unter Einrichten der Microsoft Entra-Authentifizierung für Die Azure-Datenbank für mySQL flexible Server