Autenticación de Microsoft Entra para Azure Database for MySQL: servidor flexible

SE APLICA A: Azure Database for MySQL: Servidor flexible

La autenticación de Microsoft Entra es un mecanismo para conectarse al servidor flexible de Azure Database for MySQL mediante identidades definidas en el identificador de Microsoft Entra. Con la autenticación de Microsoft Entra, puede administrar identidades de usuario de base de datos y otras servicios Microsoft en una ubicación central, lo que simplifica la administración de permisos.

Ventajas

• Autenticación de usuarios en los servicios de Azure de manera uniforme.
• Administración de directivas de contraseñas y rotación de contraseñas en un solo lugar.
• Varias formas de autenticación compatibles con Microsoft Entra ID, lo que puede eliminar la necesidad de almacenar contraseñas.
• Los clientes pueden administrar los permisos de la base de datos con grupos externos (Microsoft Entra ID).
• La autenticación de Microsoft Entra utiliza usuarios de base de datos MySQL para autenticar identidades a nivel de base de datos.
• Compatibilidad de la autenticación basada en tokens con las aplicaciones que se conectan al servidor flexible de Azure Database for MySQL

Siga estos pasos para configurar y usar la autenticación de Microsoft Entra.

1. Seleccione el método de autenticación preferido para acceder al servidor flexible. De forma predeterminada, el tipo de autenticación seleccionada está establecida en solo la de MySQL. Seleccione Autenticación de Microsoft Entra solo o Autenticación mySQL y Microsoft Entra para habilitar la autenticación de Microsoft Entra.

2. Seleccione la identidad administrada por el usuario (UMI) con los siguientes privilegios para configurar la autenticación de Microsoft Entra:

   • User.Read.All: permite acceder a la información de usuarios de Microsoft Entra.
   • GroupMember.Read.All: permite acceder a la información de grupos de Microsoft Entra.
   • Application.Read.ALL: permite acceder a la información (de aplicaciones) de las entidades de servicio de Microsoft Entra.

3. Agregue Microsoft Entra Administración. Puede ser usuarios o grupos de Microsoft Entra, que tiene acceso a un servidor flexible.

4. Cree usuarios de bases de datos en la base de datos, asignados a identidades de Microsoft Entra.

5. Conéctese a la base de datos recuperando un token para una identidad de Microsoft Entra e iniciando sesión.

Nota:

Para obtener instrucciones detalladas y paso a paso sobre cómo configurar la autenticación de Microsoft Entra con el servidor flexible de Azure Database for MySQL, consulte Aprenda a configurar la autenticación de Microsoft Entra para el servidor flexible de Azure Database for MySQL.

Architecture

Las identidades administradas por el usuario son necesarias para la autenticación de Microsoft Entra. Cuando una identidad asignada por el usuario está vinculada al servidor flexible, el proveedor de recursos de identidades administradas (MSRP) genera un certificado internamente para esa identidad. Cuando se elimina la identidad administrada, se quita automáticamente la entidad de servicio correspondiente.

A continuación, el servicio usa la identidad administrada para solicitar tokens de acceso para los servicios que admiten la autenticación de Microsoft Entra. Actualmente, Azure Database solo admite una identidad administrada asignada por el usuario (UMI) para el servidor flexible de Azure Database for MySQL. Para más información, vea Tipos de identidad administrada en Azure.

En el diagrama de alto nivel siguiente se resume cómo funciona la autenticación mediante la autenticación de Microsoft Entra con el servidor flexible de Azure Database for MySQL. Las flechas indican las rutas de comunicación.

1. La aplicación puede solicitar un token desde el punto de conexión de identidad de Azure Instance Metadata Service.
2. Cuando se usa el identificador de cliente y el certificado, se realiza una llamada a Microsoft Entra ID para solicitar un token de acceso.
3. Microsoft Entra ID devuelve un token de acceso de JSON Web Token (JWT). La aplicación envía el token de acceso en una llamada al servidor flexible.
4. El servidor flexible valida el token con el identificador de Microsoft Entra.

Estructura del administrador

Hay dos cuentas de Administración istrator para el servidor flexible de Azure Database for MySQL al usar la autenticación de Microsoft Entra: el administrador original de MySQL y el administrador de Microsoft Entra.

Solo el administrador basado en una cuenta de Microsoft Entra puede crear el primer usuario de base de datos independiente en Microsoft Entra ID en una base de datos de usuario. El inicio de sesión del administrador de Microsoft Entra puede ser un usuario de Microsoft Entra o un grupo de Microsoft Entra. Cuando el administrador es una cuenta de grupo, cualquier miembro del grupo puede usarlo, lo que permite que varios administradores de Microsoft Entra puedan usarse para el servidor flexible. El uso de una cuenta de grupo como administrador mejora la capacidad de administración al permitirle agregar y quitar de forma centralizada miembros del grupo en microsoft Entra ID sin cambiar los usuarios ni los permisos en el servidor flexible. Solo se puede configurar un administrador de Microsoft Entra (un usuario o grupo) a la vez.

Algunos de los métodos de autenticación para acceder al servidor flexible son:

• Solo autenticación de MySQL: esta es la opción predeterminada. Solo se puede usar la autenticación nativa de MySQL con un inicio de sesión y una contraseña de MySQL para acceder al servidor flexible.

• Autenticación de Microsoft Entra: la autenticación nativa de MySQL está deshabilitada y los usuarios solo pueden autenticarse con su usuario y token de Microsoft Entra. Para activar este modo, el parámetro de servidor aad_auth_only se establece en Activado.

• Autenticación con MySQL e id. de Microsoft Entra: se admiten tanto la autenticación nativa de MySQL como la autenticación de Microsoft Entra. Para activar este modo, el parámetro de servidor aad_auth_only se establece en Desactivado.

Permisos

Se requieren los permisos siguientes para permitir que la UMI lea de Microsoft Graph como identidad del servidor. Como alternativa, asigne a la UMI el rol Lectores de directorio.

Importante

Estos permisos solo puede concederlos un Administrador global o un Administrador de roles con privilegios.

• User.Read.All: permite acceder a la información de usuarios de Microsoft Entra.
• GroupMember.Read.All: permite acceder a la información de grupos de Microsoft Entra.
• Application.Read.ALL: permite acceder a la información (de aplicaciones) de las entidades de servicio de Microsoft Entra.

Para obtener instrucciones sobre cómo conceder y usar los permisos, consulte Introducción a los permisos de Microsoft Graph

Una vez que se conceden los permisos a la UMI, se habilitan para todos los servidores o todas las instancias creadas con la UMI asignada como una identidad de servidor.

Validación de token

La autenticación de Microsoft Entra en el servidor flexible de Azure Database for MySQL garantiza que el usuario existe en el servidor MySQL y comprueba la validez del token validando el contenido del token. Se realizan los siguientes pasos de validación de token:

• El token está firmado por el identificador de Entra de Microsoft y no se ha alterado.
• Microsoft Entra ID emitió el token para el inquilino asociado al servidor.
• El token no ha expirado.
• El token es para el recurso del servidor flexible (no para otro recurso de Azure).

Conexión mediante identidades de Microsoft Entra

La autenticación de Microsoft Entra admite los siguientes métodos de conexión a una base de datos mediante identidades de Microsoft Entra:

• Contraseña de Microsoft Entra
• Microsoft Entra integrado
• Microsoft Entra universal con MFA
• Uso de certificados de aplicación o secretos de cliente de Active Directory
• Identidad administrada

Una vez que se haya autenticado en Active Directory, recuperará un token. Este token es la contraseña para iniciar sesión.

Nota:

Esa operación de administración, como agregar nuevos usuarios, solo se admite para los roles de usuario de Microsoft Entra.

Nota:

Para obtener más información sobre cómo conectarse con un token de Active Directory, consulte Configuración e inicio de sesión con el identificador de Entra de Microsoft para Azure Database for MySQL: servidor flexible.

Otras consideraciones

• Solo puede configurar un administrador de Microsoft Entra por servidor flexible en cualquier momento.

• Solo un administrador de Microsoft Entra para MySQL puede conectarse inicialmente al servidor flexible mediante una cuenta de Microsoft Entra. El administrador de Active Directory puede configurar los usuarios posteriores de la base de datos de Microsoft Entra o un grupo de Microsoft Entra. Cuando el administrador es una cuenta de grupo, cualquier miembro del grupo puede usarlo, lo que permite que varios administradores de Microsoft Entra puedan usarse para el servidor flexible. El uso de una cuenta de grupo como administrador mejora la capacidad de administración al permitirle agregar y quitar de forma centralizada miembros del grupo en microsoft Entra ID sin cambiar los usuarios ni los permisos en el servidor flexible.

• Si un usuario se elimina de Microsoft Entra ID, ese usuario ya no se puede autenticar con el identificador de Microsoft Entra. Por lo tanto, la adquisición de un token de acceso para ese usuario ya no es posible. Aunque el usuario coincidente todavía está en la base de datos, no es posible conectarse al servidor con ese usuario.

Nota:

El inicio de sesión con el usuario eliminado de Microsoft Entra todavía puede realizarse hasta que expire el token (hasta 60 minutos a partir de la emisión del token). Si quita el usuario del servidor flexible de Azure Database for MySQL, este acceso se revoca inmediatamente.

• Si el administrador de Microsoft Entra se quita del servidor, el servidor ya no está asociado a un inquilino de Microsoft Entra y, por tanto, todos los inicios de sesión de Microsoft Entra están deshabilitados para el servidor. Al agregar un nuevo administrador de Microsoft Entra desde el mismo inquilino, se vuelven a habilitar los inicios de sesión de Microsoft Entra.

• Un servidor flexible coincide con los tokens de acceso a los usuarios del servidor flexible de Azure Database for MySQL mediante el identificador de usuario único de Microsoft Entra del usuario en lugar del nombre de usuario. Esto significa que si se elimina un usuario de Microsoft Entra en el identificador de Microsoft Entra y se crea un nuevo usuario con el mismo nombre, el servidor flexible considera que un usuario diferente. Por lo tanto, si se elimina un usuario de Microsoft Entra ID y, a continuación, se agrega un nuevo usuario con el mismo nombre, el nuevo usuario no puede conectarse con el usuario existente.

Nota:

Las suscripciones de un servidor flexible con la autenticación de Microsoft Entra habilitada no se pueden transferir a otro inquilino o directorio.

Pasos siguientes

• Para obtener información sobre cómo configurar el identificador de Entra de Microsoft con el servidor flexible de Azure Database for MySQL, consulte Configuración de la autenticación de Microsoft Entra para el servidor flexible de Azure Database for MySQL.