Utiliser Microsoft Entra ID pour l’authentification avec MySQL

S’APPLIQUE À : Azure Database pour MySQL – Serveur unique

Important

Le serveur unique Azure Database pour MySQL est en voie de mise hors service. Nous vous conseillons vivement de procéder à une mise à niveau vers Azure Database pour MySQL – Serveur flexible. Pour obtenir plus d’informations sur la migration vers Azure Database pour MySQL – Serveur flexible, consultez Qu’en est-il du Serveur unique Azure Database pour MySQL ?

L’authentification Microsoft Entra est un mécanisme de connexion à Azure Database pour MySQL à l’aide des identités définies dans Microsoft Entra ID. Avec l’authentification Microsoft Entra, vous pouvez gérer les identités des utilisateurs de base de données et d’autres services Microsoft dans un emplacement centralisé, ce qui simplifie la gestion des autorisations.

Les avantages de l’utilisation de Microsoft Entra ID sont les suivants :

• Authentification uniforme des utilisateurs dans les services Azure
• Gestion des stratégies de mot de passe et de la rotation de mot de passe dans un emplacement unique
• Formes d’authentification multiples prises en charge par Microsoft Entra ID, ce qui peut éviter d’avoir à stocker les mots de passe
• Les clients peuvent gérer les autorisations de base de données à l’aide de groupes externes (Microsoft Entra ID).
• L’authentification Microsoft Entra utilise des utilisateurs de base de données MySQL pour authentifier les identités au niveau de la base de données.
• Prise en charge de l’authentification basée sur des jetons pour les applications se connectant à Azure Database pour MySQL

Pour configurer et utiliser l’authentification Microsoft Entra, procédez comme suit :

1. Créez et remplissez Microsoft Entra ID avec des identités utilisateur en fonction des besoins.
2. Le cas échéant, associez ou modifiez l’annuaire Active Directory actuellement associé à votre abonnement Azure.
3. Créez un administrateur Microsoft Entra pour le serveur Azure Database pour MySQL.
4. Créez des utilisateurs de base de données dans votre base de données mappés sur les identités Microsoft Entra.
5. Connectez-vous à votre base de données en extrayant un jeton pour une identité Microsoft Entra et en ouvrant une session.

Remarque

Pour découvrir comment créer et remplir Microsoft Entra ID, puis configurer Microsoft Entra ID avec Azure Database pour MySQL, consultez Configurer et se connecter avec Microsoft Entra ID pour Azure Database pour MySQL.

Structure de l’administrateur

En cas d’utilisation de l’authentification Microsoft Entra, il existe deux comptes administrateur pour le serveur MySQL : l’administrateur MySQL d’origine et l’administrateur Microsoft Entra. Seul l’administrateur basé sur un compte Microsoft Entra peut créer le premier utilisateur de la base de données autonome Microsoft Entra ID dans une base de données utilisateur. La connexion administrateur Microsoft Entra peut être un utilisateur Microsoft Entra ou un groupe Microsoft Entra. Lorsque l’administrateur est un compte de groupe, il peut être utilisé par n’importe quel membre du groupe, ce qui active plusieurs administrateurs Microsoft Entra pour le serveur MySQL. L’utilisation d’un compte de groupe en tant qu’administrateur facilite la gestion, car cela vous permet d’ajouter et de supprimer de façon centrale des membres du groupe dans Microsoft Entra ID, et ce, sans modifier les utilisateurs ni les autorisations du serveur MySQL. Seul un administrateur Microsoft Entra (utilisateur ou groupe) peut être configuré à tout moment.

Autorisations

Pour créer des utilisateurs qui peuvent s’authentifier auprès de Microsoft Entra ID, vous devez être l’administrateur Microsoft Entra désigné. Cet utilisateur est attribué en configurant le compte administrateur Microsoft Entra pour un serveur Azure Database pour MySQL spécifique.

Pour créer un utilisateur de base de données Microsoft Entra, vous devez vous connecter en tant qu’administrateur Microsoft Entra. Cela est illustré dans Configurer et se connecter avec Microsoft Entra ID pour Azure Database pour MySQL.

Toute authentification Microsoft Entra n’est possible que si l’administrateur Microsoft Entra a été créé pour Azure Database pour MySQL. Si l’administrateur Microsoft Entra a été supprimé du serveur, les utilisateurs Microsoft Entra existants créés précédemment ne peuvent plus se connecter à la base de données en utilisant leurs informations d’identification Microsoft Entra.

Se connecter à l’aide d’identités Microsoft Entra

L’authentification Microsoft Entra prend en charge les méthodes suivantes de connexion à une base de données à l’aide d’identités Microsoft Entra :

• Mot de passe Microsoft Entra
• Microsoft Entra intégré
• Authentification universelle Microsoft Entra avec MFA
• Utilisation des certificats ou de clés secrètes client d’application Active Directory
• Identité gérée

Une fois authentifié auprès d’Active Directory, vous récupérez un jeton. Ce jeton est votre mot de passe de connexion.

Notez que les opérations de gestion, telles que l’ajout de nouveaux utilisateurs, sont uniquement prises en charge pour les rôles d’utilisateur Microsoft Entra à ce stade.

Remarque

Pour plus d’informations sur la connexion avec un jeton Active Directory, consultez Configurer et se connecter avec Microsoft Entra ID pour Azure Database pour MySQL.

Considérations supplémentaires

• L’authentification Microsoft Entra est disponible uniquement pour MySQL 5.7 et les versions ultérieures.
• Un seul administrateur Microsoft Entra à la fois peut être configuré pour un serveur Azure Database pour MySQL.
• Seul un administrateur de Microsoft Entra pour MySQL peut se connecter initialement au serveur Azure Database pour MySQL à l’aide d’un compte Microsoft Entra. L’administrateur Active Directory peut configurer les utilisateurs de base de données Microsoft Entra suivants.
• Si un utilisateur est supprimé de Microsoft Entra ID, il ne pourra plus s’authentifier auprès de Microsoft Entra ID, et il ne sera donc plus possible d’acquérir un code d'accès pour cet utilisateur. Dans ce cas, bien que l'utilisateur correspondant se trouve toujours dans la base de données, il ne sera pas possible de se connecter au serveur avec cet utilisateur.

Remarque

La connexion à l’aide de l’utilisateur Microsoft Entra supprimé peut toujours être effectuée jusqu’à l’expiration du jeton (60 minutes maximum après l’émission du jeton). Si vous supprimez également l’utilisateur de la base de données Azure Database pour MySQL, cet accès sera immédiatement révoqué.

• Si l’administrateur Microsoft Entra est supprimé du serveur, ce dernier n’est plus associé à un locataire Microsoft Entra et, par conséquent, toutes les connexions Microsoft Entra sont désactivées pour le serveur. L’ajout d’un nouvel administrateur Microsoft Entra à partir du même locataire réactive les connexions Microsoft Entra.
• Azure Database pour MySQL met en correspondance les jetons d’accès avec l’utilisateur Azure Database pour MySQL à l’aide de l’identifiant utilisateur Microsoft Entra unique de l’utilisateur, au lieu du nom d’utilisateur. Ainsi, si un utilisateur Microsoft Entra est supprimé de Microsoft Entra ID et qu’un nouvel utilisateur est créé avec le même nom, Azure Database pour MySQL considère que le nouvel utilisateur est différent du précédent. Par conséquent, si un utilisateur est supprimé de Microsoft Entra ID et qu’un nouvel utilisateur portant le même nom est ajouté, le nouvel utilisateur ne sera pas en mesure de se connecter à l’utilisateur existant.

Remarque

Les abonnements d’une instance Azure MySQL avec l’authentification Microsoft Entra activée ne peuvent pas être transférés vers un autre locataire ou un autre répertoire.

Étapes suivantes

• Pour découvrir comment créer et remplir Microsoft Entra ID, puis configurer Microsoft Entra ID avec Azure Database pour MySQL, consultez Configurer et se connecter avec Microsoft Entra ID pour Azure Database pour MySQL.
• Pour obtenir une vue d’ensemble des connexions et des utilisateurs de base de données Azure Database pour MySQL, consultez Créer des utilisateurs dans Azure Database pour MySQL.