A Microsoft Entra ID használata a MySQL-hitelesítéshez

A következőkre vonatkozik: Azure Database for MySQL – Önálló kiszolgáló

Fontos

Az önálló Azure Database for MySQL-kiszolgáló a kivonási útvonalon van. Határozottan javasoljuk, hogy frissítsen rugalmas Azure Database for MySQL-kiszolgálóra. További információ a rugalmas Azure Database for MySQL-kiszolgálóra való migrálásról: Mi történik az önálló Azure Database for MySQL-kiszolgálóval?

A Microsoft Entra-hitelesítés az Azure Database for MySQL-hez való csatlakozás mechanizmusa a Microsoft Entra ID-ban meghatározott identitások használatával. A Microsoft Entra-hitelesítéssel központi helyen kezelheti az adatbázis felhasználói identitásait és más Microsoft-szolgáltatások, ami leegyszerűsíti az engedélykezelést.

A Microsoft Entra ID használatának előnyei a következők:

• Felhasználók hitelesítése az Azure-szolgáltatásokban egységes módon
• Jelszószabályzatok és jelszóváltás kezelése egyetlen helyen
• A Microsoft Entra ID által támogatott hitelesítés több formája, amelyek kiküszöbölhetik a jelszavak tárolásának szükségességét
• Az ügyfelek külső (Microsoft Entra ID) csoportokkal kezelhetik az adatbázis-engedélyeket.
• A Microsoft Entra-hitelesítés a MySQL-adatbázis felhasználóival hitelesíti az identitásokat az adatbázis szintjén
• Jogkivonatalapú hitelesítés támogatása az Azure Database for MySQL-hez csatlakozó alkalmazásokhoz

A Microsoft Entra-hitelesítés konfigurálásához és használatához használja a következő folyamatot:

1. Szükség szerint hozzon létre és töltse fel a Microsoft Entra-azonosítót felhasználói identitásokkal.
2. Opcionálisan társíthatja vagy módosíthatja az Azure-előfizetéséhez jelenleg társított Active Directoryt.
3. Hozzon létre egy Microsoft Entra-rendszergazdát az Azure Database for MySQL-kiszolgálóhoz.
4. Hozzon létre adatbázis-felhasználókat az adatbázisában a Microsoft Entra-identitásokra leképezve.
5. Csatlakozzon az adatbázishoz egy Microsoft Entra-identitás jogkivonatának lekérésével és a bejelentkezéssel.

Feljegyzés

Ha tudni szeretné, hogyan hozhat létre és tölthet fel Microsoft Entra-azonosítót, majd hogyan konfigurálhatja a Microsoft Entra-azonosítót az Azure Database for MySQL-hez, olvassa el a Microsoft Entra ID konfigurálása és bejelentkezés a MySQL-hez készült Azure Database-hez című témakört.

Architektúra

Az alábbi magas szintű diagram összefoglalja, hogyan működik a hitelesítés a Microsoft Entra-hitelesítés és az Azure Database for MySQL használatával. A nyilak kommunikációs útvonalakat jelölnek.

Rendszergazdai struktúra

A Microsoft Entra-hitelesítés használatakor két rendszergazdai fiók van a MySQL-kiszolgálóhoz; az eredeti MySQL-rendszergazda és a Microsoft Entra-rendszergazda. Csak a Microsoft Entra-fiókon alapuló rendszergazda hozhatja létre az első Microsoft Entra-azonosítót tartalmazó adatbázis-felhasználót egy felhasználói adatbázisban. A Microsoft Entra rendszergazdai bejelentkezés lehet Microsoft Entra-felhasználó vagy Microsoft Entra-csoport. Ha a rendszergazda csoportfiók, azt bármely csoporttag használhatja, így több Microsoft Entra-rendszergazda is használhatja a MySQL-kiszolgálóhoz. A csoportfiók rendszergazdaként való használata növeli a kezelhetőséget azáltal, hogy lehetővé teszi a csoporttagok központi hozzáadását és eltávolítását a Microsoft Entra-azonosítóban anélkül, hogy módosítaná a felhasználókat vagy engedélyeket a MySQL-kiszolgálón. Egyszerre csak egy Microsoft Entra-rendszergazda (felhasználó vagy csoport) konfigurálható.

Engedélyek

Ha olyan új felhasználókat szeretne létrehozni, amelyek hitelesíthetők a Microsoft Entra-azonosítóval, önnek kell a kijelölt Microsoft Entra-rendszergazdának lennie. Ezt a felhasználót úgy rendeli hozzá, hogy konfigurálja a Microsoft Entra rendszergazdai fiókját egy adott Azure Database for MySQL-kiszolgálóhoz.

Új Microsoft Entra-adatbázis-felhasználó létrehozásához Microsoft Entra-rendszergazdaként kell csatlakoznia. Ezt az Azure Database for MySQL-hez készült Microsoft Entra-azonosítóval való konfigurálás és bejelentkezés című cikkben mutatjuk be.

A Microsoft Entra-hitelesítés csak akkor lehetséges, ha a Microsoft Entra rendszergazdája az Azure Database for MySQL-hez lett létrehozva. Ha a Microsoft Entra rendszergazdáját eltávolították a kiszolgálóról, a korábban létrehozott Microsoft Entra-felhasználók már nem tudnak csatlakozni az adatbázishoz a Microsoft Entra hitelesítő adataikkal.

Csatlakozás Microsoft Entra-identitásokkal

A Microsoft Entra-hitelesítés az alábbi módszereket támogatja az adatbázishoz való csatlakozáshoz a Microsoft Entra-identitások használatával:

• Microsoft Entra jelszó
• A Microsoft Entra integrálva
• Microsoft Entra Universal és MFA
• Active Directory-alkalmazástanúsítványok vagy ügyfélkulcsok használata
• Felügyelt identitás

Miután hitelesítette az Active Directoryt, lekéri a jogkivonatot. Ez a jogkivonat a bejelentkezéshez használt jelszó.

Vegye figyelembe, hogy a felügyeleti műveletek, például az új felhasználók hozzáadása jelenleg csak a Microsoft Entra felhasználói szerepkörei esetében támogatottak.

Feljegyzés

Az Active Directory-jogkivonatokkal való csatlakozásról további információt az Azure Database for MySQL Microsoft Entra-azonosítójának konfigurálása és bejelentkezése című témakörben talál.

További szempontok

• A Microsoft Entra-hitelesítés csak a MySQL 5.7-hez és újabb verzióhoz érhető el.
• Egy Azure Database for MySQL-kiszolgálóhoz egyszerre csak egy Microsoft Entra-rendszergazda konfigurálható.
• Kezdetben csak a MySQL-hez készült Microsoft Entra-rendszergazda csatlakozhat az Azure Database for MySQL-hez Egy Microsoft Entra-fiók használatával. Az Active Directory rendszergazda konfigurálhatja a későbbi Microsoft Entra adatbázis-felhasználókat.
• Ha egy felhasználót törölnek a Microsoft Entra-azonosítóból, az adott felhasználó már nem fog tudni a Microsoft Entra-azonosítóval hitelesíteni, ezért a továbbiakban nem lehet hozzáférési jogkivonatot beszerezni az adott felhasználóhoz. Ebben az esetben, bár a megfelelő felhasználó továbbra is az adatbázisban lesz, nem lehet csatlakozni a kiszolgálóhoz a felhasználóval.

Feljegyzés

A törölt Microsoft Entra-felhasználóval való bejelentkezés a jogkivonat lejáratáig (a jogkivonat kiállításától számított 60 percig) továbbra is elvégezhető. Ha a felhasználót is eltávolítja az Azure Database for MySQL-ből, a rendszer azonnal visszavonja a hozzáférést.

• Ha a Microsoft Entra rendszergazdája el van távolítva a kiszolgálóról, a kiszolgáló már nem lesz társítva Egy Microsoft Entra-bérlőhöz, ezért a kiszolgáló összes Microsoft Entra-bejelentkezése le lesz tiltva. Ha egy új Microsoft Entra-rendszergazdát vesz fel ugyanabból a bérlőből, újra engedélyezi a Microsoft Entra-bejelentkezéseket.
• Az Azure Database for MySQL megfelel az Azure Database for MySQL-felhasználó hozzáférési jogkivonatainak a felhasználó egyedi Microsoft Entra-felhasználói azonosítójával, szemben a felhasználónévvel. Ez azt jelenti, hogy ha egy Microsoft Entra-felhasználót törölnek a Microsoft Entra-azonosítóból, és egy azonos nevű új felhasználót hoznak létre, az Azure Database for MySQL egy másik felhasználónak tekinti. Ezért ha egy felhasználót törölnek a Microsoft Entra-azonosítóból, majd új felhasználót adnak hozzá ugyanazzal a névvel, az új felhasználó nem tud csatlakozni a meglévő felhasználóhoz.

Feljegyzés

A Microsoft Entra-hitelesítéssel rendelkező Azure MySQL-előfizetések nem ruházhatók át egy másik bérlőbe vagy könyvtárba.

Következő lépések

• Ha tudni szeretné, hogyan hozhat létre és tölthet fel Microsoft Entra-azonosítót, majd hogyan konfigurálhatja a Microsoft Entra-azonosítót az Azure Database for MySQL-hez, olvassa el a Microsoft Entra ID konfigurálása és bejelentkezés a MySQL-hez készült Azure Database-hez című témakört.
• A bejelentkezések és az Azure Database for MySQL adatbázis-felhasználóinak áttekintéséért lásd : Felhasználók létrehozása az Azure Database for MySQL-ben.