Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
GILT FÜR:
Azure Database for PostgreSQL – Flexibler Server
Microsoft Entra-Authentifizierung ist ein Mechanismus zum Herstellen einer Verbindung mit Azure Database for PostgreSQL – Flexibler Server unter Verwendung der in Microsoft Entra ID definierten Identitäten. Mit der Microsoft Entra-Authentifizierung können Sie Datenbankbenutzeridentitäten und andere Microsoft-Dienste an einem zentralen Ort verwalten, wodurch die Berechtigungsverwaltung vereinfacht wird.
Zu den Vorteilen der Verwendung von Microsoft Entra ID gehören:
- Einheitliche Authentifizierung von Benutzenden über Azure-Dienste hinweg.
- Verwaltung von Kennwortrichtlinien und Kennwortrotation an einem zentralen Ort.
- Unterstützung für mehrere Authentifizierungsformen, wodurch die Notwendigkeit zum Speichern von Kennwörtern beseitigt werden kann.
- Die Möglichkeit von Kunden, Datenbankberechtigungen mithilfe externer Gruppen (Microsoft Entra ID) zu verwalten.
- Die Verwendung von PostgreSQL-Datenbankrollen zur Authentifizierung von Identitäten auf Datenbankebene.
- Unterstützung der tokenbasierten Authentifizierung für Anwendungen, die eine Verbindung mit Azure Database for PostgreSQL – Flexible Server herstellen.
Vergleich der Features und Funktionen von Microsoft Entra ID zwischen Bereitstellungsoptionen
Die Microsoft Entra-Authentifizierung für Azure Database for PostgreSQL – Flexible Server enthält unsere Erfahrung und unser Feedback, das von Azure Database for PostgreSQL – Single Server gesammelt wurde.
Die folgende Tabelle enthält eine Liste mit einem Vergleich der allgemeinen Microsoft Entra ID-Features und -Funktionen zwischen Azure Database for PostgreSQL – Single Server und Azure Database for PostgreSQL – Flexible Server.
| Feature/Funktion | Azure Database for PostgreSQL – Single Server | Azure Database for PostgreSQL – Flexibler Server |
|---|---|---|
| Mehrere Microsoft Entra-Admins | Nein | Ja |
| Verwaltete Identitäten (systemseitig und benutzerseitig zugewiesen) | Teilweise | Vollständig |
| Support für eingeladene Benutzende | Nein | Ja |
| Möglichkeit zum Deaktivieren der Kennwortauthentifizierung | Nicht verfügbar | Verfügbar |
| Fähigkeit eines Dienstprinzipals, als Gruppenmitglied zu fungieren | Nein | Ja |
| Audits von Microsoft Entra-Anmeldungen | Nein | Ja |
| PgBouncer-Unterstützung | Nein | Ja |
Funktionsweise von Microsoft Entra ID in Azure Database for PostgreSQL – Flexibler Server
Die folgende Abbildung bietet eine Übersicht über die Funktionsweise der Microsoft Entra-Authentifizierung mit Azure Database for PostgreSQL – Flexibler Server. Die Pfeile zeigen die Kommunikationswege.
- Ihre Anwendung kann ein Token vom Azure Instance Metadata Service-Identitätsendpunkt anfordern.
- Bei Verwendung von Client-ID und Zertifikat wird ein Aufruf an Microsoft Entra ID gesendet, um ein Zugriffstoken anzufordern.
- Ein JSON Web Token (JWT)-Zugriffstoken wird von Microsoft Entra ID zurückgegeben. Ihre Anwendung sendet das Zugriffstoken in einem Aufruf an Ihren flexiblen Server.
- Der flexible Server validiert das Token mit Microsoft Entra ID.
Die Schritte zum Konfigurieren der Microsoft Entra-ID mit Azure Database for PostgreSQL flexiblen Server finden Sie unter Konfigurieren und Anmelden mit Microsoft Entra ID für Azure Database for PostgreSQL flexible Server.
Unterschiede zwischen PostgreSQL-Admins und Microsoft Entra-Admins
Wenn Sie die Microsoft Entra-Authentifizierung für Ihren flexiblen Server aktivieren und einen Microsoft Entra-Prinzipal als Microsoft Entra-Administrator hinzufügen, ist das Konto:
- Ruft die gleichen Berechtigungen wie der ursprüngliche PostgreSQL-Administrator ab.
- Kann andere Microsoft Entra-Rollen auf dem Server verwalten.
PostgreSQL-Administrator*innen können nur lokale kennwortbasierte Benutzer erstellen. Der Microsoft Entra-Administrator hat jedoch die Berechtigung, Microsoft Entra-Benutzer*innen und lokale kennwortbasierte Benutzer*innen zu verwalten.
Microsoft Entra-Administrator*innen können Microsoft Entra-Benutzer*innen, eine Microsoft Entra-Gruppe, ein Dienstprinzipal oder eine verwaltete Identität sein. Die Verwendung eines Gruppenkontos als Administrator*in verbessert die Verwaltbarkeit. Sie ermöglicht das zentrale Hinzufügen und Entfernen von Gruppenmitgliedern in Microsoft Entra ID, ohne die Benutzer*innen oder Berechtigungen innerhalb der Instanz von Azure Database for PostgreSQL – Flexible Server zu ändern.
Sie können mehrere Microsoft Entra-Administrator*innen gleichzeitig konfigurieren. Sie haben die Möglichkeit, die Kennwortauthentifizierung für eine Instanz für Azure Database for PostgreSQL – Flexibler Server für erweiterte Überwachungs- und Complianceanforderungen zu deaktivieren.
Hinweis
Dienstprinzipale oder verwaltete Identitäten können jetzt als voll funktionsfähige Microsoft Entra-Admins in Azure Database for PostgreSQL – Flexibler Server fungieren. Dies war eine Einschränkung in der Azure Database for PostgreSQL – Single Server.
Microsoft Entra-Administrator*innen, die Sie über das Azure-Portal, eine API oder SQL erstellen, verfügen über die gleichen Berechtigungen wie reguläre Administratorbenutzer*innen, die Sie während der Serverbereitstellung erstellt haben. Datenbankberechtigungen für Nichtadmin-Microsoft Entra-Rollen werden ähnlich wie normale Rollen verwaltet.
Verbindung über Microsoft Entra-Identitäten
Die Microsoft Entra-Authentifizierung unterstützt die folgenden Methoden zum Herstellen einer Verbindung mit einer Datenbank mithilfe von Microsoft Entra-Identitäten:
- Microsoft Entra-Kennwortauthentifizierung
- Integrierte Microsoft Entra-Authentifizierung
- Universelle Microsoft Entra-Multi-Faktor-Authentifizierung
- Active Directory Anwendungszertifikate oder Clientgeheimnisse
- Verwaltete Identität
Nachdem Sie sich bei Active Directory authentifiziert haben, rufen Sie ein Token ab. Dieses Token ist Ihr Kennwort für die Anmeldung.
Führen Sie zum Konfigurieren der Microsoft Entra-ID mit dem flexiblen Azure Database for PostgreSQL-Server die Schritte unter Konfigurieren und Anmelden mit Microsoft Entra ID für Azure Database for PostgreSQL flexiblen Server aus.
Weitere Überlegungen
Beachten Sie bei der Verwendung der Microsoft Entra-Authentifizierung mit Azure Database for PostgreSQL flexible Server die folgenden Punkte:
Wenn Sie möchten, dass die Microsoft Entra-Prinzipale den Besitz der Benutzerdatenbanken innerhalb eines Bereitstellungsverfahrens übernehmen, fügen Sie explizite Abhängigkeiten innerhalb Ihres Bereitstellungsmoduls (Terraform oder Azure Resource Manager) hinzu, um sicherzustellen, dass die Microsoft Entra-Authentifizierung aktiviert ist, bevor Sie Benutzerdatenbanken erstellen.
Es können jederzeit mehrere Microsoft Entra-Prinzipale (Benutzer*innen, eine Gruppe, Dienstprinzipale oder verwaltete Identitäten) als Microsoft Entra-Administrator*innen für eine Azure Database for PostgreSQL – Flexible Server-Instanz konfiguriert werden.
Nur Microsoft Entra-Admins für PostgreSQL können die erste Verbindung zu der Azure Database for PostgreSQL – Flexibler Server-Instanz mithilfe eines Microsoft Entra-Kontos herstellen. Active Directory-Admins können weitere Microsoft Entra-Datenbankbenutzende konfigurieren.
Wenn ein Microsoft Entra-Prinzipal aus Microsoft Entra ID gelöscht wird, verbleibt er als PostgreSQL-Rolle, kann aber kein neues Zugriffstoken mehr erwerben. In diesem Fall ist die übereinstimmende Rolle zwar noch in der Datenbank vorhanden, aber sie kann sich nicht für den Server authentifizieren. Datenbankadministratoren müssen den Besitz manuell übertragen und die Rollen manuell ablegen.
Hinweis
Gelöschte Microsoft Entra-Benutzende können sich bis zum Ablauf des Tokens (bis zu 60 Minuten nach Ausstellung des Tokens) anmelden. Wenn Sie außerdem den bzw. die Benutzer*in aus Azure Database for PostgreSQL – Flexible Server entfernen, wird dieser Zugriff sofort widerrufen.
Azure Database for PostgreSQL – Flexibler Server gleicht Zugriffstoken für die Datenbankrolle mit der eindeutigen Microsoft Entra-Benutzer-ID der benutzenden Person statt des Benutzernamens ab. Wenn Microsoft Entra-Benutzende gelöscht und neue Benutzende mit dem gleichen Namen erstellt werden, geht Azure Database for PostgreSQL – Flexibler Server davon aus, dass dies es sich um andere Benutzende handelt. Wenn also Benutzende aus Microsoft Entra ID gelöscht und neue Benutzende mit demselben Namen hinzugefügt werden, können die Benutzenden keine Verbindung mit der vorhandenen Rolle herstellen.
Häufig gestellte Fragen
Welche Authentifizierungsmodi sind in Azure Database for PostgreSQL – Flexibler Server verfügbar?
Azure Database for PostgreSQL – Flexibler Server unterstützt drei Authentifizierungsmodi: nur PostgreSQL-Authentifizierung, nur Microsoft Entra-Authentifizierung und sowohl PostgreSQL als auch Microsoft Entra-Authentifizierung.
Kann ich mehrere Microsoft Entra-Admins auf meinem flexiblen Server erstellen?
Ja. Sie können mehrere Microsoft Entra-Admins auf Ihrem flexiblen Server konfigurieren. Während der Bereitstellung können Sie nur einen einzelnen Microsoft Entra-Administrator festlegen. Nachdem der Server erstellt wurde, können Sie jedoch beliebig viele Microsoft Entra-Admins festlegen, indem Sie zum Authentifizierungsbereich wechseln.
Können Microsoft Entra-Admins einfach Microsoft Entra-Benutzende sein?
Nein. Microsoft Entra-Admins können Benutzende, eine Gruppe, ein Dienstprinzipal oder eine verwaltete Identität sein.
Können Microsoft Entra-Administrator*innen lokale kennwortbasierte Benutzer*innen erstellen?
Microsoft Entra-Admins verfügen über die Berechtigung zum Verwalten von Microsoft Entra-Benutzenden und lokalen kennwortbasierten Benutzenden.
Was geschieht, wenn ich die Microsoft Entra-Authentifizierung auf meinem flexiblen Server aktiviere?
Wenn Sie die Microsoft Entra-Authentifizierung auf Serverebene festlegen, wird die PGAadAuth-Erweiterung aktiviert und der Server neu gestartet.
Wie melde ich mich mit der Microsoft Entra-Authentifizierung an?
Sie können Clienttools wie psql oder pgAdmin verwenden, um sich bei Ihrem flexiblen Server anzumelden. Verwenden Sie Ihre Microsoft Entra-Benutzer-ID als Benutzername und Ihr Microsoft Entra-Token als Kennwort.
Wie kann ich mein Token generieren?
Sie generieren das Token mithilfe von
az login. Weitere Informationen finden Sie unter Abrufen des Microsoft Entra-Zugriffstokens.Was ist der Unterschied zwischen Gruppenanmeldung und individueller Anmeldung?
Der einzige Unterschied zwischen der Anmeldung als Microsoft Entra-Gruppenmitglied und der Anmeldung als benutzende Microsoft Entra-Person liegt im Benutzernamen. Für die Anmeldung als einzelne*r Benutzer*in ist eine einzelne Microsoft Entra-Benutzer-ID erforderlich. Für die Anmeldung als Gruppenmitglied ist der Gruppenname erforderlich. In beiden Szenarien verwenden Sie dasselbe einzelne Microsoft Entra-Token wie das Kennwort.
Wie lang ist die Lebensdauer eines Token?
Benutzertoken sind bis zu 1 Stunde gültig. Token für vom System zugewiesene verwaltete Identitäten sind bis zu 24 Stunden gültig.