Megosztás a következőn keresztül:

Microsoft Entra-hitelesítés az Azure Database for MySQL-hez – rugalmas kiszolgáló

  • Cikk

A következőkre vonatkozik: Azure Database for MySQL – rugalmas kiszolgáló

A Microsoft Entra-hitelesítés a rugalmas Azure Database for MySQL-kiszolgálóhoz való csatlakozás mechanizmusa a Microsoft Entra ID-ban meghatározott identitások használatával. A Microsoft Entra-hitelesítéssel központi helyen kezelheti az adatbázis felhasználói identitását és más Microsoft-szolgáltatások, így egyszerűbbé teheti az engedélykezelést.

Előnyök

  • Felhasználók hitelesítése az Azure-szolgáltatásokban egységes módon
  • Jelszószabályzatok és jelszóváltás kezelése egyetlen helyen
  • A Microsoft Entra ID által támogatott hitelesítés több formája, amelyek kiküszöbölhetik a jelszavak tárolásának szükségességét
  • Az ügyfelek külső (Microsoft Entra ID) csoportokkal kezelhetik az adatbázis-engedélyeket.
  • A Microsoft Entra-hitelesítés a MySQL-adatbázis felhasználóival hitelesíti az identitásokat az adatbázis szintjén
  • Jogkivonatalapú hitelesítés támogatása rugalmas Azure Database for MySQL-kiszolgálóhoz csatlakozó alkalmazásokhoz

A Microsoft Entra-hitelesítés konfigurálásához és használatához kövesse az alábbi lépéseket

  1. Válassza ki az előnyben részesített hitelesítési módszert a rugalmas kiszolgáló eléréséhez. Alapértelmezés szerint a kiválasztott hitelesítés csak MySQL-hitelesítésre van beállítva. A Microsoft Entra-hitelesítés engedélyezéséhez válassza a Csak a Microsoft Entra-hitelesítést vagy a MySQL- és a Microsoft Entra-hitelesítést.

  2. Válassza ki a felhasználó által felügyelt identitást (UMI) az alábbi jogosultságokkal a Microsoft Entra-hitelesítés konfigurálásához:

    • User.Read.All: Lehetővé teszi a Microsoft Entra felhasználói adatainak elérését.
    • GroupMember.Read.All: Lehetővé teszi a Microsoft Entra csoportinformációinak elérését.
    • Application.Read.ALL: Lehetővé teszi a Microsoft Entra szolgáltatásnév (alkalmazás) információinak elérését.

  3. Adja hozzá a Microsoft Entra Rendszergazdát. Ez lehet Microsoft Entra-felhasználók vagy csoportok, amelyek rugalmas kiszolgálóhoz férhetnek hozzá.

  4. Hozzon létre adatbázis-felhasználókat az adatbázisában a Microsoft Entra-identitásokra leképezve.

  5. Csatlakozzon az adatbázishoz egy Microsoft Entra-identitás jogkivonatának lekérésével és a bejelentkezéssel.

Feljegyzés

A Rugalmas Azure Database for MySQL-kiszolgálóhoz készült Microsoft Entra-hitelesítés konfigurálásával kapcsolatos részletes, részletes útmutatásért lásd : Microsoft Entra-hitelesítés beállítása rugalmas Azure Database for MySQL-kiszolgálóhoz

Architektúra

A Microsoft Entra-hitelesítéshez felhasználó által felügyelt identitásokra van szükség. Ha egy felhasználó által hozzárendelt identitás a rugalmas kiszolgálóhoz van csatolva, a felügyelt identitás erőforrás-szolgáltatója (MSRP) belső tanúsítványt állít ki az identitáshoz. A felügyelt identitás törlésekor a rendszer automatikusan eltávolítja a megfelelő szolgáltatásnevet.

A szolgáltatás ezután a felügyelt identitással hozzáférési jogkivonatokat kér a Microsoft Entra-hitelesítést támogató szolgáltatásokhoz. Az Azure Database jelenleg csak egy felhasználó által hozzárendelt felügyelt identitást (UMI) támogat a rugalmas Azure Database for MySQL-kiszolgálóhoz. További információ: Felügyelt identitástípusok az Azure-ban.

Az alábbi magas szintű diagram összefoglalja, hogyan működik a hitelesítés a rugalmas Azure Database for MySQL-kiszolgálóval végzett Microsoft Entra-hitelesítéssel. A nyilak kommunikációs útvonalakat jelölnek.

A Microsoft Entra-hitelesítés működésének ábrája.

  1. Az alkalmazás jogkivonatot kérhet az Azure Instance Metadata Service identitásvégpontjától.
  2. Amikor az ügyfél-azonosítót és a tanúsítványt használja, a rendszer meghívja a Microsoft Entra ID-t egy hozzáférési jogkivonat lekérésére.
  3. A JSON webes jogkivonatot (JWT) a Microsoft Entra ID adja vissza. Az alkalmazás egy hívás során elküldi a hozzáférési jogkivonatot a rugalmas kiszolgálónak.
  4. A rugalmas kiszolgáló a Microsoft Entra-azonosítóval érvényesíti a jogkivonatot.

Rendszergazdai struktúra

A rugalmas Azure Database for MySQL-kiszolgálóhoz két rendszergazdai fiók tartozik a Microsoft Entra-hitelesítés használatakor: az eredeti MySQL-rendszergazda és a Microsoft Entra-rendszergazda.

Csak a Microsoft Entra-fiókon alapuló rendszergazda hozhatja létre az első Microsoft Entra-azonosítót tartalmazó adatbázis-felhasználót egy felhasználói adatbázisban. A Microsoft Entra rendszergazdai bejelentkezés lehet Microsoft Entra-felhasználó vagy Microsoft Entra-csoport. Ha a rendszergazda csoportfiók, azt bármely csoporttag használhatja, így több Microsoft Entra-rendszergazda is használhatja a rugalmas kiszolgálóhoz. A csoportfiók rendszergazdaként való használata javítja a kezelhetőséget azáltal, hogy lehetővé teszi a csoporttagok központi hozzáadását és eltávolítását a Microsoft Entra-azonosítóban anélkül, hogy módosítaná a rugalmas kiszolgálón lévő felhasználókat vagy engedélyeket. Egyszerre csak egy Microsoft Entra-rendszergazda (felhasználó vagy csoport) konfigurálható.

A Microsoft Entra felügyeleti struktúrájának diagramja.

A rugalmas kiszolgáló elérésének hitelesítési módszerei a következők:

  • Csak MySQL-hitelesítés – Ez az alapértelmezett beállítás. A rugalmas kiszolgáló eléréséhez csak a MySQL-bejelentkezéssel és jelszóval rendelkező natív MySQL-hitelesítés használható.

  • Csak Microsoft Entra-hitelesítés – A MySQL natív hitelesítése le van tiltva, és a felhasználók csak a Microsoft Entra-felhasználójuk és jogkivonatuk használatával tudnak hitelesíteni. A mód engedélyezéséhez a aad_auth_only kiszolgálóparaméter be van kapcsolva.

  • Hitelesítés MySQL-vel és Microsoft Entra-azonosítóval – A natív MySQL-hitelesítés és a Microsoft Entra-hitelesítés egyaránt támogatott. A mód engedélyezéséhez a aad_auth_only kiszolgálóparaméter KI értékre van állítva.

Engedélyek

Az alábbi engedélyek szükségesek ahhoz, hogy az UMI beolvashassa a Microsoft Graphból kiszolgálóidentitásként. Másik lehetőségként adja meg a felhasználó által hozzárendelt felügyelt identitásnak a Címtárolvasók szerepkört.

Fontos

Ezeket az engedélyeket csak olyan felhasználó adhatja meg, aki legalább kiemelt szerepkör-rendszergazdai szerepkörrel rendelkezik.

  • User.Read.All: Lehetővé teszi a Microsoft Entra felhasználói adatainak elérését.
  • GroupMember.Read.All: Lehetővé teszi a Microsoft Entra csoportinformációinak elérését.
  • Application.Read.ALL: Lehetővé teszi a Microsoft Entra szolgáltatásnév (alkalmazás) információinak elérését.

Az engedélyek megadására és használatára vonatkozó útmutatásért tekintse meg a Microsoft Graph-engedélyek áttekintését

Miután engedélyezte az engedélyeket az UMI-nek, az összes kiszolgáló számára engedélyezve lesznek, amelyek kiszolgálói identitásként hozzárendelt UMI-vel lettek létrehozva.

Jogkivonat érvényesítése

A rugalmas Azure Database for MySQL-kiszolgálón végzett Microsoft Entra-hitelesítés biztosítja, hogy a felhasználó létezik a MySQL-kiszolgálón, és a jogkivonat tartalmának ellenőrzésével ellenőrizze a jogkivonat érvényességét. A rendszer a következő jogkivonat-érvényesítési lépéseket hajtja végre:

  • A jogkivonatot a Microsoft Entra-azonosító írja alá, és nem módosították.
  • A jogkivonatot a Microsoft Entra-azonosító adta ki a kiszolgálóhoz társított bérlő számára.
  • A jogkivonat még nem járt le.
  • A token a rugalmas kiszolgálói erőforráshoz tartozik (nem pedig egy másik Azure-erőforráshoz).

Csatlakozás Microsoft Entra-identitásokkal

A Microsoft Entra-hitelesítés az alábbi módszereket támogatja az adatbázishoz való csatlakozáshoz a Microsoft Entra-identitások használatával:

  • Microsoft Entra jelszó
  • A Microsoft Entra integrálva
  • Microsoft Entra Universal és MFA
  • Active Directory-alkalmazástanúsítványok vagy ügyfélkulcsok használata
  • Felügyelt identitás

Miután hitelesítést futtatott az Active Directoryban, lekér egy jogkivonatot. Ez a jogkivonat a bejelentkezéshez használt jelszó.

Feljegyzés

Ez a felügyeleti művelet, például új felhasználók hozzáadása, csak a Microsoft Entra felhasználói szerepkörei esetében támogatott.

Feljegyzés

Az Active Directory-jogkivonatokkal való csatlakozásról további információt a Rugalmas Azure Database for MySQL-kiszolgáló Microsoft Entra-azonosítójának konfigurálása és bejelentkezése című témakörben talál.

Egyéb szempontok

  • Rugalmas kiszolgálónként bármikor csak egy Microsoft Entra-rendszergazda konfigurálható.

  • Kezdetben csak a Microsoft Entra MySQL-rendszergazdája csatlakozhat a rugalmas kiszolgálóhoz Egy Microsoft Entra-fiók használatával. Az Active Directory rendszergazdája konfigurálhatja a Microsoft Entra-adatbázis további felhasználóit vagy egy Microsoft Entra-csoportot. Ha a rendszergazda csoportfiók, azt bármely csoporttag használhatja, így több Microsoft Entra-rendszergazda is használhatja a rugalmas kiszolgálóhoz. A csoportfiók rendszergazdaként való használata javítja a kezelhetőséget azáltal, hogy lehetővé teszi a csoporttagok központi hozzáadását és eltávolítását a Microsoft Entra-azonosítóban anélkül, hogy módosítaná a rugalmas kiszolgáló felhasználóit vagy engedélyeit.

  • Ha egy felhasználót törölnek a Microsoft Entra-azonosítóból, akkor a felhasználó már nem tud a Microsoft Entra-azonosítóval hitelesíteni. Ezért az adott felhasználó hozzáférési jogkivonatának beszerzése már nem lehetséges. Bár az egyező felhasználó továbbra is az adatbázisban van, a kiszolgálóhoz való csatlakozás nem lehetséges.

Feljegyzés

A törölt Microsoft Entra-felhasználóval való bejelentkezés a jogkivonat lejáratáig (a jogkivonat kiállításától számított 60 percig) továbbra is elvégezhető. Ha eltávolítja a felhasználót a rugalmas Azure Database for MySQL-kiszolgálóról, ezt a hozzáférést a rendszer azonnal visszavonja.

  • Ha a Microsoft Entra rendszergazdája el van távolítva a kiszolgálóról, a kiszolgáló már nincs Társítva Microsoft Entra-bérlőhöz, ezért a kiszolgáló összes Microsoft Entra-bejelentkezése le van tiltva. Ha egy új Microsoft Entra-rendszergazdát vesz fel ugyanabból a bérlőből, újra engedélyezi a Microsoft Entra-bejelentkezéseket.

  • A rugalmas kiszolgáló a felhasználónév helyett a felhasználó egyedi Microsoft Entra felhasználói azonosítójával egyezik meg a rugalmas Azure Database for MySQL-kiszolgáló felhasználóinak hozzáférési jogkivonatával. Ez azt jelenti, hogy ha egy Microsoft Entra-felhasználót törölnek a Microsoft Entra-azonosítóból, és egy új felhasználót hoz létre ugyanazzal a névvel, a rugalmas kiszolgáló úgy véli, hogy egy másik felhasználó. Ezért ha a rendszer töröl egy felhasználót a Microsoft Entra-azonosítóból, majd új, azonos nevű felhasználót ad hozzá, az új felhasználó nem tud csatlakozni a meglévő felhasználóhoz.

Feljegyzés

A Microsoft Entra-hitelesítést használó rugalmas kiszolgáló előfizetései nem helyezhetők át egy másik bérlőbe vagy könyvtárba.

Következő lépések

  • A Microsoft Entra ID rugalmas Azure Database for MySQL-kiszolgálóval való konfigurálásáról további információt a Rugalmas Azure Database for MySQL-kiszolgálóHoz készült Microsoft Entra-hitelesítés beállítása című témakörben talál .