Uso de Microsoft Entra ID para la autenticación con MySQL

SE APLICA A: Azure Database for MySQL: Servidor único

Importante

El servidor único de Azure Database for MySQL está en la ruta de retirada. Se recomienda encarecidamente actualizar al servidor flexible de Azure Database for MySQL. Para más información sobre la migración al servidor flexible de Azure Database for MySQL, consulte ¿Qué ocurre con Azure Database for MySQL con servidor único?

La autenticación de Microsoft Entra es un mecanismo de conexión a Azure Database for MySQL mediante identidades definidas en Microsoft Entra ID. Con la autenticación de Microsoft Entra, puede administrar las identidades de los usuarios de la base de datos y otros servicios de Microsoft en una ubicación central, lo que simplifica la administración de los permisos.

Ventajas de utilizar Microsoft Entra ID:

• Autenticación de usuarios en los servicios de Azure de manera uniforme.
• Administración de directivas de contraseñas y rotación de contraseñas en un solo lugar.
• Varias formas de autenticación compatibles con Microsoft Entra ID, lo que puede eliminar la necesidad de almacenar contraseñas.
• Los clientes pueden administrar los permisos de la base de datos con grupos externos (Microsoft Entra ID).
• La autenticación de Microsoft Entra utiliza usuarios de base de datos MySQL para autenticar identidades a nivel de base de datos.
• Compatibilidad de la autenticación basada en tokens para las aplicaciones que se conectan a Azure Database for MySQL.

Para configurar y usar la autenticación de Microsoft Entra, siga el proceso a continuación:

1. Cree y rellene Microsoft Entra ID con identidades de usuario según sea necesario.
2. De manera opcional, asocie o cambie la instancia de Active Directory asociada actualmente a la suscripción de Azure.
3. Cree un administrador de Microsoft Entra para el servidor de Azure Database for MySQL.
4. Cree usuarios de bases de datos en la base de datos, asignados a identidades de Microsoft Entra.
5. Conéctese a la base de datos recuperando un token para una identidad de Microsoft Entra e iniciando sesión.

Nota:

Para aprender a crear y rellenar Microsoft Entra ID y, luego, configurarlo con Azure Database for MySQL, consulte Configuración e inicio de sesión con Microsoft Entra ID para Azure Database for MySQL.

Architecture

En el siguiente diagrama general se resume cómo funciona la autenticación de Microsoft Entra con Azure Database for MySQL. Las flechas indican las rutas de comunicación.

Estructura del administrador

Cuando se usa la autenticación de Microsoft Entra, existen dos cuentas de administrador para el servidor de MySQL: el administrador de MySQL original y el administrador de Microsoft Entra. Solo el administrador basado en una cuenta de Microsoft Entra puede crear el primer usuario de base de datos independiente en Microsoft Entra ID en una base de datos de usuario. El inicio de sesión de administrador de Microsoft Entra puede ser un usuario de Microsoft Entra o un grupo de Microsoft Entra. Cuando el administrador es una cuenta de grupo, cualquier miembro del grupo la puede usar, lo que permite varios administradores de Microsoft Entra para el servidor de MySQL. Mediante el uso de una cuenta de grupo como administrador, se mejora la administración al permitir agregar y quitar miembros de grupo de forma centralizada en Microsoft Entra ID sin cambiar los usuarios ni los permisos del servidor de MySQL. Solo se puede configurar un administrador de Microsoft Entra (un usuario o grupo) en cualquier momento.

Permisos

Para crear nuevos usuarios que se puedan autenticar con Microsoft Entra ID, debe ser el administrador designado de Microsoft Entra. Este usuario se asigna mediante la configuración de la cuenta de administrador de Microsoft Entra para un servidor específico de Azure Database for MySQL.

Para crear un nuevo usuario de base de datos de Microsoft Entra, debe conectarse como administrador de Microsoft Entra. Esto se muestra en Configuración e inicio de sesión con Microsoft Entra ID para Azure Database for MySQL.

La autenticación de Microsoft Entra solo es posible si se creó el administrador de Microsoft Entra para Azure Database for MySQL. Si se ha quitado el administrador de Microsoft Entra del servidor, los usuarios de Microsoft Entra creados previamente ya no podrán conectarse a la base de datos utilizando sus credenciales de Microsoft Entra.

Conexión mediante identidades de Microsoft Entra

La autenticación de Microsoft Entra admite los siguientes métodos de conexión a una base de datos mediante identidades de Microsoft Entra:

• Contraseña de Microsoft Entra
• Microsoft Entra integrado
• Microsoft Entra universal con MFA
• Uso de certificados de aplicación o secretos de cliente de Active Directory
• Identidad administrada

Una vez que se ha autenticado en el Active Directory, se recupera un token. Este token es la contraseña para iniciar sesión.

Tenga en cuenta que las operaciones de administración, como agregar usuarios nuevos, solo se admiten para roles de usuario de Microsoft Entra en este momento.

Nota:

Para más información sobre cómo conectarse con un token de Active Directory, consulte Configuración e inicio de sesión con Microsoft Entra ID para Azure Database for MySQL.

Consideraciones adicionales

• La autenticación de Microsoft Entra solo está disponible para MySQL 5.7 y posterior.
• Solo un administrador de Microsoft Entra se puede configurar en un servidor de Azure Database for MySQL en cualquier momento.
• Solo un administrador de Microsoft Entra para MySQL puede conectarse inicialmente a Azure Database for MySQL utilizando una cuenta de Microsoft Entra. El administrador de Active Directory puede configurar los usuarios de la base de datos de Microsoft Entra sucesivos.
• Si se elimina un usuario de Microsoft Entra ID, ese usuario ya no podrá autenticarse con Microsoft Entra ID y, por tanto, ya no será posible adquirir un token de acceso para dicho usuario. En este caso, aunque el usuario coincidente seguirá estando en la base de datos, no será posible conectarse al servidor con ese usuario.

Nota:

Aún es posible iniciar sesión con el usuario de Microsoft Entra eliminado, hasta que expire el token (máximo de 60 minutos a partir de la emisión del token). Si también quita el usuario de Azure Database for MySQL, este acceso se revocará inmediatamente.

• Si el administrador de Microsoft Entra se quita del servidor, el servidor ya no estará asociado a un inquilino de Microsoft Entra y, por tanto, se deshabilitarán todos los inicios de sesión de Microsoft Entra para el servidor. La adición de un nuevo administrador de Microsoft Entra desde el mismo inquilino volverá a habilitar los inicios de sesión de Microsoft Entra.
• Azure Database for MySQL asocia los tokens de acceso al usuario de Azure Database for MySQL mediante el identificador de usuario único de Microsoft Entra del usuario, en lugar de usar el nombre de usuario. Esto significa que si un usuario de Microsoft Entra se elimina en Microsoft Entra ID y se crea uno nuevo con el mismo nombre, Azure Database for MySQL lo considera otro usuario. Por lo tanto, si se elimina un usuario de Microsoft Entra ID y, luego, se agrega uno nuevo con el mismo nombre, este no podrá conectarse con el rol existente.

Nota:

Las suscripciones de una instancia de Azure MySQL con la autenticación de Microsoft Entra habilitada no se pueden transferir a otro inquilino o directorio.

Pasos siguientes

• Para aprender a crear y rellenar Microsoft Entra ID y, luego, configurarlo con Azure Database for MySQL, consulte Configuración e inicio de sesión con Microsoft Entra ID para Azure Database for MySQL.
• Para información general sobre los inicios de sesión y los usuarios de bases de datos de Azure Database for MySQL, consulte Creación de usuarios en Azure Database for MySQL.