Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Fontos
Az Azure Cosmos DB for PostgreSQL már nem támogatott új projektek esetén. Ne használja ezt a szolgáltatást új projektekhez. Ehelyett használja az alábbi két szolgáltatás egyikét:
Az Azure Cosmos DB for NoSQL használata nagy léptékű forgatókönyvekhez tervezett elosztott adatbázis-megoldáshoz 99,999% rendelkezésre állási szolgáltatásiszint-szerződéssel (SLA), azonnali automatikus skálázással és automatikus feladatátvétellel több régióban.
Használja az Azure Database For PostgreSQL Rugalmas fürtök funkcióját a megosztott PostgreSQL-hez a nyílt forráskódú Citus-bővítmény használatával.
Az Azure Cosmos DB for PostgreSQL támogatja a PostgreSQL-hitelesítést és a Microsoft Entra ID-val való integrációt. Minden Azure Cosmos DB-fürt a PostgreSQL számára natív PostgreSQL-hitelesítéssel van létrehozva, és rendelkezik egy beépített PostgreSQL-szerepkörrel, amelynek neve citus. A fürtkiépítés befejezése után további natív PostgreSQL-szerepköröket adhat hozzá.
A Microsoft Entra ID (korábbi nevén Azure Active Directory) hitelesítést a PostgreSQL hitelesítési módszer mellett vagy helyett is engedélyezheti egy fürtön. A hitelesítési módszereket egymástól függetlenül konfigurálhatja az egyes Azure Cosmos DB for PostgreSQL-fürtökön. Ha módosítania kell a hitelesítési módszert, azt a fürtkiépítés befejezése után bármikor megteheti. A hitelesítési módszerek módosítása nem igényli a fürt újraindítását.
PostgreSQL-hitelesítés
A PostgreSQL-motor szerepkörök használatával szabályozza az adatbázis-objektumokhoz való hozzáférést. Egy újonnan létrehozott Azure Cosmos DB for PostgreSQL-fürt több előre definiált szerepkörrel rendelkezik:
- Az alapértelmezett PostgreSQL-szerepkörök
postgrescitus
Mivel az Azure Cosmos DB for PostgreSQL egy felügyelt PaaS-szolgáltatás, csak a Microsoft tud bejelentkezni a postgres felügyelői szerepkörrel. A korlátozott rendszergazdai hozzáférés érdekében az Azure Cosmos DB for PostgreSQL biztosítja a szerepkört citus .
A felügyelt szolgáltatásnak replikálnia kell az összes PostgreSQL-szerepkört egy fürt összes csomópontja számára. A követelmény megkönnyítése érdekében minden más PostgreSQL-szerepkört létre kell hozni az Azure Cosmos DB for PostgreSQL felügyeleti képességeivel.
A Citus szerepkör
Engedélyek a citus szerepkörhöz:
- Érje el az összes konfigurációs változót, még azokat a változókat is, amelyeket általában csak a rendszergazdák láthatnak.
- Olvassa el az összes pg_stat_* nézetet, és használjon különböző, statisztikákkal kapcsolatos bővítményeket – akár a nézeteket, akár a bővítményeket, amelyek általában csak a felügyelők számára láthatók.
- Olyan monitorozási függvényeket hajthat végre, amelyek az ACCESS SHARE-zárolásokat a táblákon is használhatják, akár hosszú ideig is.
- PostgreSQL-bővítmények létrehozása.
citus A szerepkörnek vannak bizonyos korlátai:
- Nem hozhatók létre szerepkörök
- Nem lehet adatbázisokat létrehozni
citus a szerepkör nem törölhető, de le lenne tiltva, ha a "Microsoft Entra ID authentication only" hitelesítési módszer van kiválasztva a fürtön.
Microsoft Entra ID-hitelesítés
A Microsoft Entra ID (korábbi nevén Azure Active Directory) hitelesítés az Azure Cosmos DB for PostgreSQL-hez való csatlakozás mechanizmusa a Microsoft Entra ID-ban meghatározott identitások használatával. A Microsoft Entra ID-hitelesítéssel központi helyen kezelheti az adatbázis felhasználói identitásait és más Microsoft-szolgáltatások, ami leegyszerűsíti az engedélykezelést.
A Microsoft Entra ID használatának előnyei a következők:
- Felhasználók hitelesítése az Azure-szolgáltatásokban egységes módon
- Jelszószabályzatok és jelszóváltás kezelése egyetlen helyen
- A Microsoft Entra ID által támogatott hitelesítés több formája, amelyek kiküszöbölhetik a jelszavak tárolásának szükségességét
- A Microsoft Entra ID-hitelesítés PostgreSQL-adatbázisszerepkörök használatával hitelesíti az identitásokat az adatbázis szintjén
- Jogkivonatalapú hitelesítés támogatása az Azure Cosmos DB for PostgreSQL-hez csatlakozó alkalmazásokhoz
PostgreSQL-hozzáférés kezelése Microsoft Entra ID azonosítók számára
Ha engedélyezve van a Microsoft Entra ID-hitelesítés, és a Microsoft Entra ID-tag hozzá lesz adva Microsoft Entra ID-rendszergazdaként, a fiók ugyanazokat a jogosultságokat kapja, mint a citus szerepkör. A Microsoft Entra ID rendszergazdai bejelentkezés lehet Microsoft Entra ID-felhasználó, szolgáltatásnév vagy felügyelt identitás. Egyszerre több Microsoft Entra-azonosító-rendszergazdát is konfigurálhat, és a jobb naplózási és megfelelőségi igények érdekében opcionálisan letilthatja a PostgreSQL-hitelesítést az Azure Cosmos DB for PostgreSQL-fürtön.
Emellett a Microsoft Entra ID-hitelesítés engedélyezése után bármikor tetszőleges számú nem admin Microsoft Entra ID-szerepkör adható hozzá a fürtökhöz. A nem azonos Microsoft Entra-azonosító szerepkörök adatbázis-engedélyeit a normál szerepkörökhöz hasonlóan kezeli a rendszer.
Csatlakozás Microsoft Entra ID-identitásokkal
A Microsoft Entra ID-hitelesítés a következő módszereket támogatja az adatbázishoz való csatlakozáshoz a Microsoft Entra ID-identitások használatával:
- Microsoft Entra-azonosító jelszava
- Integrálva a Microsoft Entra ID
- A Microsoft Entra ID Universal és az MFA
- Microsoft Entra-azonosító alkalmazástanúsítványok vagy ügyfélkódok használata
- Felügyelt identitás
Miután hitelesítette magát a Microsoft Entra ID-n keresztül, lekéri a hozzáférési jogkivonatot. Ez a token a bejelentkezéshez szükséges jelszavad.
Egyéb szempontok
- Egyszerre több Microsoft Entra ID-alanyt (felhasználót, szolgáltatásvezetőt vagy felügyelt identitást) is beállíthat Microsoft Entra ID rendszergazdaként egy Azure Cosmos DB for PostgreSQL-fürt számára.
- Ha egy Microsoft Entra ID azonosítót töröl a Microsoft Entra ID szolgáltatásból, az továbbra is PostgreSQL szerepkörként marad meg a klaszterben, de már nem képes új hozzáférési token beszerzésére. Ebben az esetben, bár a megfelelő szerepkör továbbra is létezik a Postgres-adatbázisban, nem tud hitelesítő kapcsolatot létesíteni a fürtcsomópontokkal. Az adatbázis-rendszergazdáknak át kell adniuk a tulajdonjogot, és manuálisan kell elvetni az ilyen szerepköröket.
Feljegyzés
A törölt Microsoft Entra ID-felhasználóval való bejelentkezés a jogkivonat lejáratáig (a jogkivonat kiállításától számított 90 percig) továbbra is elvégezhető. Ha a felhasználót is eltávolítja az Azure Cosmos DB for PostgreSQL-fürtből, a rendszer azonnal visszavonja a hozzáférést.
- Az Azure Cosmos DB for PostgreSQL a hozzáférési jogkivonatokat az adatbázis-szerepkörökhöz rendeli a felhasználó egyedi Microsoft Entra ID felhasználói azonosítójának használatával, a felhasználónév használata helyett. Ha töröl egy Microsoft Entra ID-felhasználót, és új felhasználót hoz létre ugyanazzal a névvel, az Azure Cosmos DB for PostgreSQL egy másik felhasználónak tekinti. Ezért ha a rendszer töröl egy felhasználót a Microsoft Entra-azonosítóból, és új felhasználót ad hozzá ugyanazzal a névvel, az új felhasználó nem tud csatlakozni a meglévő szerepkörhöz.
Következő lépések
- Tekintse meg a Microsoft Entra id korlátait és korlátozásait az Azure Cosmos DB for PostgreSQL-ben
- Tudnivalók az Azure Cosmos DB for PostgreSQL-fürtök hitelesítésének konfigurálásáról
- Privát hálózati hozzáférés beállítása a fürtcsomópontokhoz: Privát hozzáférés kezelése
- Nyilvános hálózati hozzáférés beállítása a fürtcsomópontokhoz, lásd: Nyilvános hozzáférés kezelése