Authentification Microsoft Entra pour Azure Database pour MySQL - Serveur flexible

S’APPLIQUE À : Azure Database pour MySQL - Serveur flexible

L’authentification Microsoft Entra est un mécanisme de connexion à Azure Database pour MySQL serveur flexible à l’aide d’identités définies dans l’ID Microsoft Entra. Avec l’authentification Microsoft Entra, vous pouvez gérer les identités utilisateur de base de données et d’autres services Microsoft dans un emplacement central, ce qui simplifie la gestion des autorisations.

Avantages

• Authentification uniforme des utilisateurs dans les services Azure
• Gestion des stratégies de mot de passe et de la rotation de mot de passe dans un emplacement unique
• Formes d’authentification multiples prises en charge par Microsoft Entra ID, ce qui peut éviter d’avoir à stocker les mots de passe
• Les clients peuvent gérer les autorisations de base de données à l’aide de groupes externes (Microsoft Entra ID).
• L’authentification Microsoft Entra utilise des utilisateurs de base de données MySQL pour authentifier les identités au niveau de la base de données.
• Prise en charge de l’authentification basée sur des jetons pour les applications se connectant à Azure Database pour MySQL - Serveur flexible

Suivez les étapes ci-dessous pour configurer et utiliser l’authentification Microsoft Entra

1. Sélectionnez votre méthode d’authentification préférée pour accéder au serveur flexible. Par défaut, l’authentification sélectionnée est définie sur Authentification MySQL uniquement. Sélectionnez l’authentification Microsoft Entra uniquement ou MySQL et l’authentification Microsoft Entra pour activer l’authentification Microsoft Entra.

2. Sélectionnez l’identité managée de l’utilisateur (UMI) avec les privilèges suivants pour configurer l’authentification Microsoft Entra :

   • User.Read.All : permet d’accéder aux informations utilisateur Microsoft Entra.
   • GroupMember.Read.All : permet d’accéder aux informations de groupe Microsoft Entra.
   • Application.Read.ALL : permet d’accéder aux informations sur le principal de service Microsoft Entra (application).

3. Ajoutez Microsoft Entra Administration. Il peut s’agir d’utilisateurs ou de groupes Microsoft Entra, qui ont accès à un serveur flexible.

4. Créez des utilisateurs de base de données dans votre base de données mappés sur les identités Microsoft Entra.

5. Connectez-vous à votre base de données en extrayant un jeton pour une identité Microsoft Entra et en ouvrant une session.

Remarque

Pour obtenir des instructions détaillées sur la configuration de l’authentification Microsoft Entra avec Azure Database pour MySQL serveur flexible, consultez Découvrez comment configurer l’authentification Microsoft Entra pour Azure Database pour MySQL serveur flexible

Architecture

Les identités managées par l’utilisateur sont requises pour l’authentification Microsoft Entra. Lorsqu'une identité attribuée par l'utilisateur est liée au serveur flexible, le fournisseur de ressources d’identité managée (Managed Identity Resource Provider, MSRP) émet un certificat en interne pour cette identité. Lorsqu’une identité managée est supprimée, le principal de service correspondant est automatiquement supprimé.

Le service utilise ensuite l’identité managée pour demander des jetons d’accès pour les services qui prennent en charge l’authentification Microsoft Entra. Azure Database prend actuellement en charge uniquement une identité managée affectée par l’utilisateur (UMI) pour Azure Database pour MySQL serveur flexible. Pour plus d’informations, consultez Types d’identités managées dans Azure.

Le diagramme général suivant résume le fonctionnement de l’authentification à l’aide de l’authentification Microsoft Entra avec Azure Database pour MySQL serveur flexible. Les flèches indiquent les voies de communication.

1. Votre application peut demander un jeton au point de terminaison d’identité Azure Instance Metadata Service.
2. Lorsque vous utilisez l’ID client et le certificat, un appel est effectué à Microsoft Entra ID pour demander un jeton d’accès.
3. Un jeton d’accès JWT (JSON Web Token) est retourné par l’ID Microsoft Entra. Votre application envoie le jeton d’accès lors d’un appel à votre serveur flexible.
4. Le serveur flexible valide le jeton avec l’ID Microsoft Entra.

Structure de l’administrateur

Il existe deux comptes Administration istrator pour Azure Database pour MySQL serveur flexible lors de l’utilisation de l’authentification Microsoft Entra : l’administrateur MySQL d’origine et l’administrateur Microsoft Entra.

Seul l’administrateur basé sur un compte Microsoft Entra peut créer le premier utilisateur de la base de données autonome Microsoft Entra ID dans une base de données utilisateur. La connexion administrateur Microsoft Entra peut être un utilisateur Microsoft Entra ou un groupe Microsoft Entra. Lorsque l’administrateur est un compte de groupe, il peut être utilisé par n’importe quel membre du groupe, en activant plusieurs administrateurs Microsoft Entra pour le serveur flexible. L’utilisation d’un compte de groupe en tant qu’administrateur améliore la facilité de gestion en vous permettant d’ajouter et de supprimer de manière centralisée les membres du groupe dans l’ID Microsoft Entra sans modifier les utilisateurs ou les autorisations dans le serveur flexible. Un seul administrateur Microsoft Entra (un utilisateur ou un groupe) peut être configuré à la fois.

Les méthodes d’authentification pour accéder au serveur flexible comprennent :

• Authentification MySQL uniquement : il s’agit de l’option par défaut. Seule l’authentification MySQL native avec une connexion et un mot de passe MySQL peut être utilisée pour accéder au serveur flexible.

• Seule l’authentification Microsoft Entra : l’authentification native MySQL est désactivée et les utilisateurs peuvent s’authentifier uniquement à l’aide de leur utilisateur et jeton Microsoft Entra. Pour activer ce mode, le paramètre de serveur aad_auth_only est défini sur ACTIVÉ.

• L’authentification avec MySQL et Microsoft Entra ID : l’authentification MySQL native et l’authentification Microsoft Entra sont prises en charge. Pour activer ce mode, le paramètre de serveur aad_auth_only est défini sur DÉSACTIVÉ.

Autorisations

Les autorisations suivantes sont nécessaires pour autoriser l’UMI à lire à partir de Microsoft Graph en tant qu’identité de serveur. Vous pouvez également attribuer à l’UMI le rôle Lecteurs d’annuaires.

Important

Seul un Administrateur général ou un Administrateur de rôle privilégié peut accorder ces autorisations.

• User.Read.All : permet d’accéder aux informations utilisateur Microsoft Entra.
• GroupMember.Read.All : permet d’accéder aux informations de groupe Microsoft Entra.
• Application.Read.ALL : permet d’accéder aux informations sur le principal de service Microsoft Entra (application).

Pour obtenir des conseils sur l’octroi et l’utilisation des autorisations, consultez Vue d’ensemble des autorisations Microsoft Graph

Une fois les autorisations accordées à l’identité managée affectée par l’utilisateur (UMI), elles sont activées pour l’ensemble des serveurs créés avec l’identité UMI attribuée en tant qu’identité de serveur.

Validation du jeton

L’authentification Microsoft Entra dans Azure Database pour MySQL serveur flexible garantit que l’utilisateur existe dans le serveur MySQL et case activée la validité du jeton en validant le contenu du jeton. Les étapes de validation de jeton suivantes sont exécutées :

• Le jeton est signé par l’ID Microsoft Entra et n’a pas été falsifié.
• Le jeton a été émis par l’ID Microsoft Entra pour le locataire associé au serveur.
• Le jeton n’a pas expiré.
• Le jeton est destiné à la ressource de serveur flexible (et non à une autre ressource Azure).

Se connecter à l’aide d’identités Microsoft Entra

L’authentification Microsoft Entra prend en charge les méthodes suivantes de connexion à une base de données à l’aide d’identités Microsoft Entra :

• Mot de passe Microsoft Entra
• Microsoft Entra intégré
• Authentification universelle Microsoft Entra avec MFA
• Utilisation des certificats ou de clés secrètes client d’application Active Directory
• Identité managée

Une fois authentifié auprès d’Active Directory, vous récupérez un jeton. Ce jeton est votre mot de passe de connexion.

Remarque

Cette opération de gestion, telle que l’ajout de nouveaux utilisateurs, n’est prise en charge que pour les rôles d’utilisateur Microsoft Entra.

Remarque

Pour plus d’informations sur la connexion à l’aide d’un jeton Active Directory, consultez Configurer et se connecter avec l’ID Microsoft Entra pour Azure Database pour MySQL - Serveur flexible.

Autres considérations

• Vous ne pouvez configurer qu’un seul administrateur Microsoft Entra par serveur flexible à tout moment.

• Seul un administrateur Microsoft Entra pour MySQL peut initialement se connecter au serveur flexible à l’aide d’un compte Microsoft Entra. L’administrateur Active Directory peut configurer les utilisateurs de base de données Microsoft Entra suivants ou un groupe Microsoft Entra. Lorsque l’administrateur est un compte de groupe, il peut être utilisé par n’importe quel membre du groupe, en activant plusieurs administrateurs Microsoft Entra pour le serveur flexible. L’utilisation d’un compte de groupe en tant qu’administrateur améliore la facilité de gestion en vous permettant d’ajouter et de supprimer de manière centralisée les membres du groupe dans l’ID Microsoft Entra sans modifier les utilisateurs ou les autorisations dans le serveur flexible.

• Si un utilisateur est supprimé de l’ID Microsoft Entra, cet utilisateur ne peut plus s’authentifier avec l’ID Microsoft Entra. Par conséquent, l’acquisition d’un jeton d’accès pour cet utilisateur n’est plus possible. Bien que l’utilisateur correspondant se trouve toujours dans la base de données, la connexion au serveur avec cet utilisateur n’est pas possible.

Remarque

Connectez-vous avec l’utilisateur Microsoft Entra supprimé jusqu’à ce que le jeton expire (jusqu’à 60 minutes à partir de l’émission de jeton). Si vous supprimez l’utilisateur de Azure Database pour MySQL serveur flexible, cet accès est révoqué immédiatement.

• Si l’administrateur Microsoft Entra est supprimé du serveur, le serveur n’est plus associé à un locataire Microsoft Entra, et par conséquent, toutes les connexions Microsoft Entra sont désactivées pour le serveur. L’ajout d’un nouvel administrateur Microsoft Entra à partir du même locataire active à nouveau les connexions Microsoft Entra.

• Un serveur flexible correspond aux jetons d’accès aux utilisateurs du serveur flexible Azure Database pour MySQL à l’aide de l’ID utilisateur Microsoft Entra unique de l’utilisateur au lieu du nom d’utilisateur. Cela signifie que si un utilisateur Microsoft Entra est supprimé dans Microsoft Entra ID et qu’un nouvel utilisateur est créé avec le même nom, le serveur flexible considère qu’un autre utilisateur. Par conséquent, si un utilisateur est supprimé de Microsoft Entra ID et qu’un nouvel utilisateur portant le même nom est ajouté, le nouvel utilisateur ne peut pas se connecter à l’utilisateur existant.

Remarque

Les abonnements d’un serveur flexible avec l’authentification Microsoft Entra activée ne peuvent pas être transférés vers un autre locataire ou répertoire.

Étapes suivantes

• Pour savoir comment configurer l’ID Microsoft Entra avec Azure Database pour MySQL serveur flexible, consultez Configurer l’authentification Microsoft Entra pour Azure Database pour MySQL serveur flexible