Share via

Verwenden von Microsoft Entra ID für die Authentifizierung mit MySQL

  • Artikel

GILT FÜR: Azure Database for MySQL – Single Server

Wichtig

Azure Database for MySQL single server is on the retirement path. Es wird dringend empfohlen, ein Upgrade auf azure Database for MySQL flexiblen Server durchzuführen. Weitere Informationen zum Migrieren zu Azure Database for MySQL flexible Server finden Sie unter Was geschieht mit Azure Database for MySQL Single Server?

Die Microsoft Entra-Authentifizierung ist ein Mechanismus zum Herstellen einer Verbindung mit Azure Database for MySQL unter Verwendung von Identitäten, die in Microsoft Entra ID definiert sind. Mit der Microsoft Entra-Authentifizierung können Sie Datenbankbenutzeridentitäten und andere Microsoft-Dienste an einem zentralen Ort verwalten, wodurch die Berechtigungsverwaltung vereinfacht wird.

Zu den Vorteilen der Verwendung von Microsoft Entra ID gehören:

  • Einheitliche Authentifizierung von Benutzern über Azure-Dienste hinweg
  • Verwaltung von Kennwortrichtlinien und Kennwortrotation an einem zentralen Ort
  • Mehrere Formen der Authentifizierung, die von Microsoft Entra ID unterstützt werden, wodurch das Speichern von Kennwörtern entfällt
  • Kunden können Datenbankberechtigungen mithilfe externer Gruppen (Microsoft Entra ID) verwalten.
  • Microsoft Entra-Authentifizierung verwendet MySQL-Datenbankbenutzer zum Authentifizieren von Identitäten auf Datenbankebene
  • Unterstützung von tokenbasierter Authentifizierung für Anwendungen, die eine Verbindung mit Azure Database for MySQL herstellen

Verwenden Sie den folgenden Prozess, um die Microsoft Entra-Authentifizierung zu konfigurieren und zu verwenden:

  1. Erstellen und füllen Sie Microsoft Entra ID bei Bedarf mit Benutzeridentitäten auf.
  2. Ordnen Sie optional das Active Directory zu, das derzeit mit Ihrem Azure-Abonnement verknüpft ist, oder ändern Sie es.
  3. Erstellen Sie einen Microsoft Entra-Administrator für Azure Database for MySQL-Server.
  4. Erstellen Sie Datenbankbenutzer in Ihrer Datenbank, die Microsoft Entra-Identitäten zugeordnet sind.
  5. Stellen Sie eine Verbindung mit der Datenbank her, indem Sie ein Token für eine Microsoft Entra-Identität abrufen und sich anmelden.

Hinweis

Informationen zum Erstellen und Auffüllen von Microsoft Entra ID und zum Konfigurieren von Microsoft Entra ID mit Azure Database für MySQL finden Sie unter Konfigurieren und Anmelden mit Microsoft Entra ID für Azure Database for MySQL.

Aufbau

Die folgende Abbildung bietet eine Übersicht über die Funktionsweise der Authentifizierung bei der Verwendung von Microsoft Entra-Authentifizierung mit Azure Database for MySQL. Die Pfeile zeigen die Kommunikationswege.

authentication flow

Administratorstruktur

Bei Verwendung von Microsoft Entra-Authentifizierung sind zwei Administratorkonten für den MySQL-Server vorhanden: der ursprüngliche MySQL-Administrator und der Microsoft Entra-Administrator. Nur auf einem Microsoft Entra-Konto basierende Administratoren können den ersten eigenständigen Microsoft Entra-Datenbankbenutzer in einer Benutzerdatenbank erstellen. Der Microsoft Entra-Administrator kann ein Microsoft Entra-Benutzer oder eine Microsoft Entra-Gruppe sein. Wenn es sich bei dem Administrator um ein Gruppenkonto handelt, kann es von einem beliebigen Gruppenmitglied verwendet werden, sodass mehrere Microsoft Entra-Administratoren den MySQL-Server verwalten können. Die Verwendung eines Gruppenkontos für den Administrator ermöglicht es Ihnen, Gruppenmitglieder in Microsoft Entra ID zentral hinzuzufügen und zu entfernen, ohne die Benutzer oder Berechtigungen im MySQL-Server zu ändern. Es kann jeweils nur ein Microsoft Entra-Administrator (Benutzer*in oder Gruppe) konfiguriert werden.

admin structure

Berechtigungen

Zum Erstellen neuer Benutzer, die sich mit Microsoft Entra ID authentifizieren können, müssen Sie der designierte Microsoft Entra-Administrator sein. Dieser Benutzer wird zugewiesen, indem das Microsoft Entra-Administratorkonto für einen bestimmten Azure Database for MySQL-Server konfiguriert wird.

Zum Erstellen eines neuen Microsoft Entra-Datenbankbenutzers müssen Sie eine Verbindung als Microsoft Entra-Administrator herstellen. Dies wird unter Konfigurieren und Anmelden mit Microsoft Entra ID für Azure Database for MySQL gezeigt.

Jede Microsoft Entra-Authentifizierung ist nur möglich, wenn der Microsoft Entra-Administrator für Azure Database for MySQL erstellt wurde. Wenn der Microsoft Entra-Administrator vom Server entfernt wurde, können vorhandene Microsoft Entra-Benutzer, die zuvor erstellt wurden, keine Verbindung mit der Datenbank mehr mit ihren Microsoft Entra-Anmeldeinformationen herstellen.

Herstellen einer Verbindung mit Microsoft Entra-Identitäten

Die Microsoft Entra-Authentifizierung unterstützt die folgenden Methoden zum Herstellen einer Verbindung mit einer Datenbank mithilfe von Microsoft Entra-Identitäten:

  • Microsoft Entra-Kennwort
  • Microsoft Entra integriert
  • Microsoft Entra Universal mit MFA
  • Verwenden von Active Directory Anwendungszertifikaten oder Clientgeheimnissen
  • Verwaltete Identität

Nachdem Sie sich über Active Directory authentifiziert haben, rufen Sie ein Token ab. Dieses Token ist Ihr Kennwort für die Anmeldung.

Beachten Sie, dass Verwaltungsvorgänge, z. B. das Hinzufügen neuer Benutzer, zu diesem Zeitpunkt nur für Microsoft Entra-Benutzerrollen unterstützt werden.

Hinweis

Weitere Informationen zum Herstellen einer Verbindung mit einem Active Directory-Token finden Sie unter Konfigurieren von und Anmelden mit Microsoft Entra ID für Azure Database for MySQL.

Weitere Überlegungen

  • Die Microsoft Entra-Authentifizierung ist nur für MySQL Version 5.7 und höher verfügbar.
  • Es kann jeweils nur ein einzelner Microsoft Entra-Administrator für einen Azure Database for MySQL-Server konfiguriert werden.
  • Nur ein Microsoft Entra-Administrator für MySQL kann zunächst mithilfe eines Microsoft Entra-Kontos eine Verbindung mit Azure Database for MySQL herstellen. Der Active Directory-Administrator kann weitere Microsoft Entra-Datenbankbenutzer konfigurieren.
  • Wenn ein Benutzer aus Microsoft Entra ID gelöscht wird, kann dieser Benutzer sich nicht mehr bei Microsoft Entra ID authentifizieren, und daher ist es nicht mehr möglich, ein Zugriffstoken für diesen Benutzer abzurufen. In diesem Fall ist es nicht möglich, mit diesem Benutzer eine Verbindung mit dem Server herzustellen, obwohl der entsprechende Benutzer weiterhin in der Datenbank vorhanden ist.

Hinweis

Die Anmeldung mit dem gelöschten Microsoft Entra-Benutzer kann bis zum Ablauf des Token (bis zu 60 Minuten nach Ausstellung des Token) dennoch erfolgen. Wenn Sie den Benutzer auch aus Azure Database for MySQL entfernen, wird dieser Zugriff sofort widerrufen.

  • Wenn der Microsoft Entra-Administrator vom Server entfernt wird, wird der Server nicht mehr einem Microsoft Entra-Mandanten zugeordnet, und daher werden alle Microsoft Entra-Anmeldungen für den Server deaktiviert. Wenn Sie einen neuen Microsoft Entra-Administrator aus demselben Mandanten hinzufügen, werden Microsoft Entra-Anmeldungen erneut angezeigt.
  • Azure Database for MySQL gleicht Zugriffstoken für den Azure Database for MySQL-Benutzer mit der eindeutigen Microsoft Entra-Benutzer-ID des Benutzers ab, anstatt den Benutzernamen zu verwenden. Dies bedeutet Folgendes: Wenn ein Microsoft Entra-Benutzer in Microsoft Entra ID gelöscht und ein neuer Benutzer mit dem gleichen Namen erstellt wird, geht Azure Database for MySQL davon aus, dass dies ein anderer Benutzer ist. Wenn ein Benutzer aus Microsoft Entra ID gelöscht und dann ein neuer Benutzer mit dem gleichen Namen hinzugefügt wird, kann der neue Benutzer daher keine Verbindung mit dem vorhandenen Benutzer herstellen.

Hinweis

Die Abonnements einer Azure MySQL-Instanz mit aktivierter Microsoft Entra-Authentifizierung können nicht an einen anderen Mandanten oder ein anderes Verzeichnis übertragen werden.

Nächste Schritte