Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
La autenticación de Microsoft Entra es un mecanismo para conectarse a Azure Database for PostgreSQL mediante identidades definidas en Microsoft Entra ID. Con la autenticación de Microsoft Entra, puede administrar identidades de usuario de base de datos y otros servicios de Microsoft en una ubicación central, lo que simplifica la administración de permisos.
Entre las ventajas de usar el Microsoft Entra ID se incluyen:
- Autenticación de usuarios en servicios de Azure de forma uniforme.
- Administración de directivas de contraseñas y rotación de contraseñas en un solo lugar.
- Compatibilidad con varias formas de autenticación, que pueden eliminar la necesidad de almacenar contraseñas.
- La capacidad de los clientes de administrar permisos de base de datos mediante grupos externos (Microsoft Entra ID).
- El uso de roles de base de datos de PostgreSQL para autenticar identidades a nivel de base de datos.
- Compatibilidad con la autenticación basada en tokens para aplicaciones que se conectan a la instancia de servidor flexible de Azure Database for PostgreSQL.
Funcionamiento de Microsoft Entra ID en Azure Database for PostgreSQL
En el diagrama de alto nivel siguiente se resume cómo funciona la autenticación cuando se usa la autenticación de Microsoft Entra con Azure Database for PostgreSQL. Las flechas indican las rutas de comunicación.
- La aplicación puede solicitar un token desde el punto de conexión de Instance Metadata Service del servidor flexible de Azure.
- Cuando se usa el Id. de cliente y el certificado, se realiza una llamada a Microsoft Entra ID para solicitar un token de acceso.
- Microsoft Entra ID devuelve un token de acceso JSON Web Token (JWT). La aplicación envía el token de acceso en una llamada a la instancia de servidor flexible.
- La instancia de servidor flexible valida el token con el identificador de Microsoft Entra.
Para conocer los pasos para configurar Microsoft Entra ID con Azure Database for PostgreSQL, consulte Uso de Microsoft Entra ID para la autenticación con Azure Database for PostgreSQL.
Diferencias entre un administrador de PostgreSQL y un administrador de Microsoft Entra
Al activar la autenticación de Microsoft Entra para la entidad de seguridad de Microsoft Entra como administrador de Microsoft Entra, la cuenta:
- Obtiene los mismos privilegios que el administrador de PostgreSQL original.
- Puede administrar otros roles de Microsoft Entra en el servidor.
El administrador de PostgreSQL solo puede crear usuarios basados en contraseñas locales. Pero el administrador de Microsoft Entra tiene la autoridad para administrar usuarios de Microsoft Entra y usuarios basados en contraseñas locales.
El administrador de Microsoft Entra puede ser un usuario de Microsoft Entra, un grupo de Microsoft Entra, una entidad de servicio o una identidad administrada. El uso de una cuenta de grupo como administrador mejora la capacidad de administración. Permite la adición y eliminación centralizadas de miembros del grupo en microsoft Entra ID sin cambiar los usuarios ni permisos dentro de la instancia de servidor flexible de Azure Database for PostgreSQL.
Puede configurar varios administradores de Microsoft Entra simultáneamente. Puede desactivar la autenticación de contraseña en una instancia de servidor flexible de Azure Database for PostgreSQL para mejorar los requisitos de auditoría y cumplimiento.
Los administradores de Microsoft Entra que cree a través de Azure Portal, una API o SQL tienen los mismos permisos que el usuario administrador normal que creó durante el aprovisionamiento del servidor. Los permisos de base de datos se administran para roles que no son de Microsoft Entra de forma similar a los roles normales.
Conexión mediante identidades de Microsoft Entra
La autenticación de Microsoft Entra admite los métodos siguientes para conectarse a una base de datos mediante identidades de Microsoft Entra:
- Autenticación con contraseña de Microsoft Entra
- Autenticación integrada de Microsoft Entra
- Microsoft Entra universal con autenticación multifactor
- Certificados de aplicación de Active Directory o secretos de cliente
- Identidad administrada
Después de autenticarse en Active Directory, se recupera un token. Este token es la contraseña para iniciar sesión.
Para conocer los pasos para configurar Microsoft Entra ID con Azure Database for PostgreSQL, consulte Uso de Microsoft Entra ID para la autenticación con Azure Database for PostgreSQL.
Limitaciones y consideraciones
Al usar la autenticación de Microsoft Entra con Azure Database for PostgreSQL, tenga en cuenta los siguientes puntos:
Para que las entidades de seguridad de Microsoft Entra tomen posesión de las bases de datos de usuarios en cualquier procedimiento de implementación, agregue dependencias explícitas dentro del módulo de implementación (Terraform o Azure Resource Manager) para asegurarse de que la autenticación de Microsoft Entra esté activada antes de crear cualquier base de datos de usuarios.
Puede configurar varias entidades de Microsoft Entra (usuario, grupo, entidad de servicio o identidad administrada) como administradores de Microsoft Entra para una instancia de servidor flexible de Azure Database for PostgreSQL en cualquier momento.
Solo un administrador de Microsoft Entra para PostgreSQL puede conectarse inicialmente a la instancia de servidor flexible de Azure Database for PostgreSQL mediante una cuenta de Microsoft Entra. El administrador de Active Directory puede configurar los usuarios posteriores de la base de datos de Microsoft Entra.
Si una entidad de seguridad de Microsoft Entra se elimina de Microsoft Entra ID, permanece como un rol de PostgreSQL, pero ya no puede adquirir un nuevo token de acceso. En este caso, aunque el rol coincidente todavía existe en la base de datos, no se puede autenticar en el servidor. Los administradores de bases de datos deben transferir la propiedad y quitar roles manualmente.
Nota:
El usuario eliminado de Microsoft Entra todavía puede iniciar sesión hasta que expire el token (hasta 60 minutos a partir de la emisión del token). Si también quita el usuario de Azure Database for PostgreSQL, este acceso se revoca inmediatamente.
Azure Database for PostgreSQL coincide con los tokens de acceso al rol de base de datos mediante el identificador de usuario único de Microsoft Entra del usuario, en lugar de usar el nombre de usuario. Si elimina un usuario de Microsoft Entra y crea un nuevo usuario con el mismo nombre, Azure Database for PostgreSQL considera que es un usuario diferente. Por lo tanto, si elimina un usuario de Microsoft Entra ID y agrega un nuevo usuario con el mismo nombre, el nuevo usuario no puede conectarse con el rol existente.
Preguntas más frecuentes
¿Cuáles son los modos de autenticación disponibles en Azure Database for PostgreSQL?
Azure Database for PostgreSQL admite tres modos de autenticación: solo autenticación de PostgreSQL, autenticación de Microsoft Entra y autenticación de PostgreSQL y Microsoft Entra.
¿Puedo configurar varios administradores de Microsoft Entra en mi instancia de servidor flexible?
Sí. Puede configurar varios administradores de Microsoft Entra en la instancia de servidor flexible. Durante el aprovisionamiento, solo puede establecer un único administrador de Microsoft Entra. Pero después de crear el servidor, puede establecer tantos administradores de Microsoft Entra como desee; para ello, vaya al panel Autenticación .
¿Es un administrador de Microsoft Entra solo un usuario de Microsoft Entra?
No. Un administrador de Microsoft Entra puede ser un usuario, grupo, entidad de servicio o identidad administrada.
¿Puede un administrador de Microsoft Entra crear usuarios basados en contraseña local?
Un administrador de Microsoft Entra tiene la autoridad de administrar usuarios de Microsoft Entra y usuarios locales basados en contraseñas.
¿Qué ocurre cuando habilito la autenticación de Microsoft Entra en mi instancia de servidor flexible de Azure Database for PostgreSQL?
Al establecer la autenticación de Microsoft Entra en el nivel de servidor, la extensión PGAadAuth está habilitada y el servidor se reinicia.
¿Cómo puedo iniciar sesión con la autenticación de Microsoft Entra?
Puede usar herramientas de cliente como
psqlopgAdminpara iniciar sesión en la instancia de servidor flexible. Use el identificador de usuario de Microsoft Entra como nombre de usuario y el token de Microsoft Entra como contraseña.¿Cómo puedo generar mi token?
Puede generar el token mediante
az login. Para más información, consulte Recuperar el token de acceso de Microsoft Entra.¿Cuál es la diferencia entre el inicio de sesión de grupo y el inicio de sesión individual?
La única diferencia entre iniciar sesión como miembro del grupo Microsoft Entra e iniciar sesión como usuario individual de Microsoft Entra se encuentra en el nombre de usuario. Iniciar sesión como usuario individual requiere un identificador de usuario de Microsoft Entra individual. El inicio de sesión como miembro del grupo requiere el nombre del grupo. En ambos escenarios, se usa el mismo token individual de Microsoft Entra que la contraseña.
¿Cuál es la diferencia entre la autenticación de grupo y la autenticación individual?
La única diferencia entre iniciar sesión como miembro del grupo Microsoft Entra e iniciar sesión como usuario individual de Microsoft Entra se encuentra en el nombre de usuario. Iniciar sesión como usuario individual requiere un identificador de usuario de Microsoft Entra individual. El inicio de sesión como miembro del grupo requiere el nombre del grupo. En ambos escenarios, se usa el mismo token individual de Microsoft Entra que la contraseña.
¿Cuál es la duración del token?
Los tokens de usuario son válidos hasta 1 hora. Los tokens de identidades administradas asignadas por el sistema son válidos durante hasta 24 horas.