Microsoft Entra-Authentifizierung mit Azure Database for PostgreSQL

Die Microsoft Entra-Authentifizierung ist ein Mechanismus zum Herstellen einer Verbindung mit Azure Database for PostgreSQL unter Verwendung von Identitäten, die in Microsoft Entra ID definiert sind. Mit der Microsoft Entra-Authentifizierung können Sie Datenbankbenutzeridentitäten und andere Microsoft-Dienste an einem zentralen Ort verwalten, wodurch die Berechtigungsverwaltung vereinfacht wird.

Zu den Vorteilen der Verwendung von Microsoft Entra ID gehören:

Einheitliche Authentifizierung von Benutzenden über Azure-Dienste hinweg.
Verwaltung von Kennwortrichtlinien und Kennwortrotation an einem zentralen Ort.
Unterstützung für mehrere Authentifizierungsformen, wodurch die Notwendigkeit zum Speichern von Kennwörtern beseitigt werden kann.
Die Möglichkeit von Kunden, Datenbankberechtigungen mithilfe externer Gruppen (Microsoft Entra ID) zu verwalten.
Die Verwendung von PostgreSQL-Datenbankrollen zur Authentifizierung von Identitäten auf Datenbankebene.
Unterstützung der tokenbasierten Authentifizierung für Anwendungen, die eine Verbindung mit Azure Database für flexible Serverinstanz von PostgreSQL herstellen.

Funktionsweise von Microsoft Entra ID in Azure Database for PostgreSQL

Die folgende Abbildung bietet eine Übersicht über die Funktionsweise der Microsoft Entra-Authentifizierung mit Azure Database for PostgreSQL. Die Pfeile zeigen die Kommunikationswege.

Ihre Anwendung kann ein Token vom Azure Flexible Server Instance Metadata Service Identity Endpoint anfordern.
Bei Verwendung von Client-ID und Zertifikat wird ein Aufruf an Microsoft Entra ID gesendet, um ein Zugriffstoken anzufordern.
Microsoft Entra ID gibt ein JWT-Zugriffstoken (JSON Web Token) zurück. Ihre Anwendung sendet das Zugriffstoken bei einem Aufruf an Ihre flexible Serverinstanz.
Die flexible Serverinstanz überprüft das Token mit der Microsoft Entra-ID.

Die Schritte zum Konfigurieren der Microsoft Entra-ID mit Azure Database für PostgreSQL finden Sie unter Verwenden der Microsoft Entra-ID für die Authentifizierung mit Azure Database for PostgreSQL.

Unterschiede zwischen PostgreSQL-Admins und Microsoft Entra-Admins

Wenn Sie die Microsoft Entra-Authentifizierung für Ihren Microsoft Entra-Prinzipal als Microsoft Entra-Admin aktivieren, gilt für das Konto Folgendes:

Ruft die gleichen Berechtigungen wie der ursprüngliche PostgreSQL-Administrator ab.
Kann andere Microsoft Entra-Rollen auf dem Server verwalten.

PostgreSQL-Administrator*innen können nur lokale kennwortbasierte Benutzer erstellen. Der Microsoft Entra-Administrator hat jedoch die Berechtigung, Microsoft Entra-Benutzer*innen und lokale kennwortbasierte Benutzer*innen zu verwalten.

Microsoft Entra-Administrator*innen können Microsoft Entra-Benutzer*innen, eine Microsoft Entra-Gruppe, ein Dienstprinzipal oder eine verwaltete Identität sein. Die Verwendung eines Gruppenkontos als Administrator*in verbessert die Verwaltbarkeit. Sie ermöglicht das zentrale Hinzufügen und Entfernen von Gruppenmitgliedern in microsoft Entra ID, ohne die Benutzer oder Berechtigungen innerhalb der Azure-Datenbank für flexible Serverinstanz von PostgreSQL zu ändern.

Sie können mehrere Microsoft Entra-Administrator*innen gleichzeitig konfigurieren. Sie können die Kennwortauthentifizierung für eine flexible Azure-Datenbank für PostgreSQL für erweiterte Überwachungs- und Complianceanforderungen deaktivieren.

Screenshot: Administratorstruktur für Entra ID

Microsoft Entra-Administrator*innen, die Sie über das Azure-Portal, eine API oder SQL erstellen, verfügen über die gleichen Berechtigungen wie reguläre Administratorbenutzer*innen, die Sie während der Serverbereitstellung erstellt haben. Sie verwalten Datenbankberechtigungen für Microsoft Entra-Rollen ohne Administratorrechte ähnlich wie reguläre Rollen.

Verbindung über Microsoft Entra-Identitäten

Die Microsoft Entra-Authentifizierung unterstützt die folgenden Methoden zum Herstellen einer Verbindung mit einer Datenbank mithilfe von Microsoft Entra-Identitäten:

Microsoft Entra-Kennwortauthentifizierung
Integrierte Microsoft Entra-Authentifizierung
Universelle Microsoft Entra-Multi-Faktor-Authentifizierung
Active Directory Anwendungszertifikate oder Clientgeheimnisse
Verwaltete Identität

Nachdem Sie sich bei Active Directory authentifiziert haben, rufen Sie ein Token ab. Dieses Token ist Ihr Kennwort für die Anmeldung.

Einschränkungen und Überlegungen

Wenn Sie die Microsoft Entra-Authentifizierung mit Azure Database for PostgreSQL verwenden, beachten Sie die folgenden Punkte:

Wenn Sie möchten, dass die Microsoft Entra-Prinzipale den Besitz der Benutzerdatenbanken innerhalb eines Bereitstellungsverfahrens übernehmen, fügen Sie explizite Abhängigkeiten innerhalb Ihres Bereitstellungsmoduls (Terraform oder Azure Resource Manager) hinzu, um sicherzustellen, dass die Microsoft Entra-Authentifizierung aktiviert ist, bevor Sie Benutzerdatenbanken erstellen.
Sie können mehrere Microsoft Entra-Prinzipale (Benutzer, Gruppe, Dienstprinzipal oder verwaltete Identität) als Microsoft Entra-Administratoren für eine flexible Azure-Serverinstanz für PostgreSQL jederzeit konfigurieren.
Nur ein Microsoft Entra-Administrator für PostgreSQL kann zunächst mithilfe eines Microsoft Entra-Kontos eine Verbindung mit der Azure-Datenbank für flexible Serverinstanz für PostgreSQL herstellen. Active Directory-Admins können weitere Microsoft Entra-Datenbankbenutzende konfigurieren.
Wenn Sie einen Microsoft Entra-Prinzipal aus der Microsoft Entra-ID löschen, verbleibt der Prinzipal als PostgreSQL-Rolle, kann aber kein neues Zugriffstoken mehr erwerben. In diesem Fall ist die übereinstimmende Rolle zwar noch in der Datenbank vorhanden, aber sie kann sich nicht für den Server authentifizieren. Datenbankadministratoren müssen den Besitz manuell übertragen und die Rollen manuell ablegen.

Hinweis

Gelöschte Microsoft Entra-Benutzende können sich bis zum Ablauf des Tokens (bis zu 60 Minuten nach Ausstellung des Tokens) anmelden. Wenn Sie den Benutzer auch aus Azure Database for PostgreSQL entfernen, wird dieser Zugriff sofort widerrufen.
Azure Database for PostgreSQL gleicht Zugriffstoken für die Datenbankrolle mit der eindeutigen Microsoft Entra-Benutzer-ID statt des Benutzernamens ab. Wenn Sie einen Microsoft Entra-Benutzer löschen und einen neuen Benutzer mit demselben Namen erstellen, geht Azure Database for PostgreSQL davon aus, dass es sich dabei um einen anderen Benutzer handelt. Wenn also Benutzer aus Microsoft Entra ID gelöscht und neue Benutzer mit demselben Namen hinzugefügt werden, können die neuen Benutzer keine Verbindung mit der vorhandenen Rolle herstellen.

Häufig gestellte Fragen

Was sind die verfügbaren Authentifizierungsmodi in Azure Database for PostgreSQL ?

Azure Database for PostgreSQL unterstützt drei Authentifizierungsmodi: Nur PostgreSQL-Authentifizierung, Nur Microsoft Entra-Authentifizierung und sowohl PostgreSQL als auch Microsoft Entra-Authentifizierung.
Kann ich mehrere Microsoft Entra-Administratoren auf meiner flexiblen Serverinstanz konfigurieren?

Ja. Sie können mehrere Microsoft Entra-Administratoren auf Ihrer flexiblen Serverinstanz konfigurieren. Während der Bereitstellung können Sie nur einen einzelnen Microsoft Entra-Administrator festlegen. Nachdem der Server erstellt wurde, können Sie jedoch beliebig viele Microsoft Entra-Administratoren festlegen, indem Sie zum Authentifizierungsbereich wechseln.
Können Microsoft Entra-Admins einfach Microsoft Entra-Benutzende sein?

Nein. Microsoft Entra-Admins können Benutzende, eine Gruppe, ein Dienstprinzipal oder eine verwaltete Identität sein.
Können Microsoft Entra-Administrator*innen lokale kennwortbasierte Benutzer*innen erstellen?

Ein Microsoft Entra-Administrator verfügt über die Berechtigung zum Verwalten von Microsoft Entra-Benutzern und lokalen kennwortbasierten Benutzern.
Was geschieht, wenn ich die Microsoft Entra-Authentifizierung in meiner Azure-Datenbank für flexible Serverinstanz von PostgreSQL aktiviert habe?

Wenn Sie die Microsoft Entra-Authentifizierung auf Serverebene festlegen, wird die PGAadAuth-Erweiterung aktiviert und der Server neu gestartet.
Wie melde ich mich mit der Microsoft Entra-Authentifizierung an?

Sie können Clienttools wie psql oder pgAdmin verwenden, um sich bei Ihrer Flexiblen Serverinstanz anzumelden. Verwenden Sie Ihre Microsoft Entra-Benutzer-ID als Benutzername und Ihr Microsoft Entra-Token als Kennwort.
Wie kann ich mein Token generieren?

Sie generieren das Token mithilfe von az login. Weitere Informationen finden Sie unter Abrufen des Microsoft Entra-Zugriffstokens.
Was ist der Unterschied zwischen Gruppenanmeldung und individueller Anmeldung?

Der einzige Unterschied zwischen der Anmeldung als Microsoft Entra-Gruppenmitglied und der Anmeldung als benutzende Microsoft Entra-Person liegt im Benutzernamen. Für die Anmeldung als einzelne*r Benutzer*in ist eine einzelne Microsoft Entra-Benutzer-ID erforderlich. Für die Anmeldung als Gruppenmitglied ist der Gruppenname erforderlich. In beiden Szenarien verwenden Sie dasselbe einzelne Microsoft Entra-Token wie das Kennwort.
Was ist der Unterschied zwischen der Gruppenauthentifizierung und der individuellen Authentifizierung?

Der einzige Unterschied zwischen der Anmeldung als Microsoft Entra-Gruppenmitglied und der Anmeldung als benutzende Microsoft Entra-Person liegt im Benutzernamen. Für die Anmeldung als einzelne*r Benutzer*in ist eine einzelne Microsoft Entra-Benutzer-ID erforderlich. Für die Anmeldung als Gruppenmitglied ist der Gruppenname erforderlich. In beiden Szenarien verwenden Sie dasselbe einzelne Microsoft Entra-Token wie das Kennwort.

Wie lang ist die Lebensdauer eines Token?

Benutzertoken sind bis zu 1 Stunde gültig. Token für vom System zugewiesene verwaltete Identitäten sind bis zu 24 Stunden gültig.

Feedback

War diese Seite hilfreich?

Last updated on 2025-10-10