Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure Cosmos DB für MongoDB vCore unterstützt die Integration mit Microsoft Entra ID und nativer DocumentDB-Authentifizierung. Jeder Azure Cosmos DB für MongoDB vCore-Cluster wird mit aktivierter systemeigener DocumentDB-Authentifizierung und einem integrierten Administratorbenutzer erstellt.
Sie können die Microsoft Entra-ID-Authentifizierung auf einem Cluster zusätzlich zur systemeigenen DocumentDB-Authentifizierungsmethode oder anstelle davon aktivieren. Sie können Authentifizierungsmethoden für jeden Azure Cosmos DB für MongoDB vCore-Cluster unabhängig konfigurieren. Wenn Sie die Authentifizierungsmethode ändern müssen, ist dies jederzeit nach Abschluss der Clusterbereitstellung möglich. Eine Änderung der Authentifizierungsmethode erfordert keinen Neustart des Clusters.
Microsoft Entra ID-Authentifizierung
Die Microsoft Entra ID-Authentifizierung ist ein Mechanismus zum Herstellen einer Verbindung mit Azure Cosmos DB für MongoDB vCore mithilfe von In Microsoft Entra ID definierten Identitäten. Mit der Microsoft Entra ID-Authentifizierung können Sie Datenbankbenutzeridentitäten und andere Microsoft-Dienste an einem zentralen Ort verwalten, wodurch die Complianceerzwingung von Berechtigungsverwaltungs- und Identitätsdiensten vereinfacht wird.
Zu den Vorteilen der Verwendung der Microsoft Entra-ID für die Authentifizierung gehören:
Authentifizierung von Benutzern über Azure-Dienste hinweg auf einheitliche Weise
Verwaltung von Kennwortrichtlinien und Kennwortrotation an einem zentralen Ort
Mehrere Formen der Authentifizierung, die von Microsoft Entra ID unterstützt werden, wodurch das Speichern von Kennwörtern entfällt
Unterstützung der tokenbasierten Authentifizierung für Anwendungen, die eine Verbindung mit Azure Cosmos DB für MongoDB-vCore-Cluster herstellen
Die Interoperabilität mit MongoDB-Treibern wird über die OpenID Connect-Unterstützung (OIDC) in Microsoft Entra ID bereitgestellt. OIDC ist ein Authentifizierungsprotokoll, das auf dem OAuth2-Protokoll basiert, das für die Autorisierung verwendet wird. OIDC verwendet die standardisierten Nachrichtenflows von OAuth2 zum Bereitstellen von Identitätsdiensten. Wenn Sie sich bei einem Azure Cosmos DB für MongoDB vCore-Cluster über Microsoft Entra ID authentifizieren müssen, stellen Sie ein Microsoft Entra ID-Sicherheitstoken mithilfe der OIDC-Identifikation bereit.
Administrativer und nicht administrativer Zugriff für Microsoft Entra ID-Prinzipale
Wenn die Microsoft Entra-ID-Authentifizierung auf einem Azure Cosmos DB für MongoDB vCore-Cluster aktiviert ist, können Sie diesem Cluster einen oder mehrere Microsoft Entra ID-Prinzipale als Administratorbenutzer hinzufügen. Der Microsoft Entra ID-Administrator kann ein Microsoft Entra-ID-Benutzer, ein Dienstprinzipal oder eine verwaltete Identität sein. Mehrere Microsoft Entra ID-Administratoren können jederzeit konfiguriert werden.
Darüber hinaus können Benutzer einer oder mehrerer nichtadministrativer Microsoft Entra-ID-Benutzer jederzeit zu einem Cluster hinzugefügt werden, sobald die Microsoft Entra-ID-Authentifizierung aktiviert ist. Nichtadministrative Benutzer werden häufig für laufende Produktionsaufgaben verwendet, die keine Administratorrechte erfordern.
Überlegungen
Der Cluster muss die systemeigene Authentifizierung aktiviert haben oder sowohl die systemeigene Authentifizierung als auch die Microsoft Entra-ID aktiviert haben. Die Microsoft Entra-ID kann nicht die einzige Authentifizierungsmethode sein, die auf einem Cluster aktiviert ist.
Mehrere Microsoft Entra ID-Prinzipale können jederzeit als Microsoft Entra ID-Administrator für einen Azure Cosmos DB-vCore-Cluster für MongoDB konfiguriert werden. Sie können z. B. diese Arten von Identitäten für alle Administratoren in Ihrem Cluster gleichzeitig konfigurieren:
- Menschliche Identitäten
- Vom Benutzer zugewiesene verwaltete Identitäten
- Vom System zugewiesene verwaltete Identitäten
Tipp
Es gibt viele andere Arten von Identitäten, die in der Microsoft Entra-ID verfügbar sind. Weitere Informationen finden Sie unter Identitätsgrundlagen.
Microsoft Entra-ID-Prinzipale sind persistent. Wenn ein Microsoft Entra-ID-Prinzipal aus dem Microsoft Entra-ID-Dienst gelöscht wird, verbleibt er weiterhin als Benutzer im Cluster, kann aber kein neues Zugriffstoken mehr abrufen. In diesem Fall ist die übereinstimmende Rolle zwar noch im Cluster vorhanden, aber sie kann sich nicht für die Clusterknoten authentifizieren. Datenbankadministrator*innen müssen den Besitz manuell übertragen und die Rollen manuell löschen.
Hinweis
Das Anmelden mit einem gelöschten Benutzer kann weiterhin erfolgen, bis das Token abläuft (bis zu 90 Minuten nach Ausstellung des Tokens). Wenn Sie den Benutzer auch aus dem Azure Cosmos DB für MongoDB vCore-Cluster entfernen, wird dieser Zugriff sofort widerrufen.
Einschränkungen
Das Microsoft Entra ID-Authentifizierungsfeature hat die folgenden aktuellen Einschränkungen:
Dieses Feature wird für Replikatcluster nicht unterstützt.
Dieses Feature wird für wiederhergestellte Cluster nicht unterstützt.
Dieses Feature wird mit der Mongo-Shell (
mongosh) oder dem MongoDB-Kompass nicht unterstützt.
Verwandte Inhalte
- Entwickeln einer Konsolen-App mit Microsoft Entra-Authentifizierung
- Bereitstellen einer Microsoft Entra-fähigen Webanwendungsvorlage
- Lesen Sie Grundlagen von Microsoft Entra ID.
- Überprüfen der Open ID Connect-Unterstützung (OIDC) in Microsoft Entra ID