Microsoft Entra-hitelesítés az Azure Database for PostgreSQL-lel – rugalmas kiszolgáló
A következőkre vonatkozik: Azure Database for PostgreSQL – Rugalmas kiszolgáló
A Microsoft Entra-hitelesítés az Azure Database for PostgreSQL rugalmas kiszolgálóhoz való csatlakozás mechanizmusa a Microsoft Entra ID-ban meghatározott identitások használatával. A Microsoft Entra-hitelesítéssel központi helyen kezelheti az adatbázis felhasználói identitásait és más Microsoft-szolgáltatások, ami leegyszerűsíti az engedélykezelést.
A Microsoft Entra ID használatának előnyei a következők:
- A felhasználók hitelesítése az Azure-szolgáltatásokban egységes módon.
- Jelszószabályzatok és jelszóváltás kezelése egyetlen helyen.
- Több hitelesítési forma támogatása, amely szükségtelenné teszi a jelszavak tárolását.
- Az ügyfelek azon képessége, hogy külső (Microsoft Entra ID) csoportokkal kezeljék az adatbázis-engedélyeket.
- A PostgreSQL-adatbázisszerepkörök használata az identitások adatbázisszintű hitelesítéséhez.
- Jogkivonatalapú hitelesítés támogatása rugalmas Azure Database for PostgreSQL-kiszolgálóhoz csatlakozó alkalmazásokhoz.
A Microsoft Entra ID szolgáltatás és a képességek összehasonlítása az üzembe helyezési lehetőségek között
A rugalmas Azure Database for PostgreSQL-kiszolgálóhoz készült Microsoft Entra-hitelesítés magában foglalja az önálló Azure Database for PostgreSQL-kiszolgálóról gyűjtött tapasztalatainkat és visszajelzéseinket.
Az alábbi táblázat a Microsoft Entra ID funkcióinak és képességeinek magas szintű összehasonlítását sorolja fel az önálló Azure Database for PostgreSQL-kiszolgáló és a rugalmas Azure Database for PostgreSQL-kiszolgáló között.
Funkció/képesség | Önálló Azure Database for PostgreSQL-kiszolgáló | Rugalmas Azure Database for PostgreSQL-kiszolgáló |
---|---|---|
Több Microsoft Entra-rendszergazda | Nem | Igen |
Felügyelt identitások (rendszer és felhasználó által hozzárendelt) | Részleges | Teljes |
Meghívott felhasználói támogatás | Nem | Igen |
Jelszóhitelesítés kikapcsolása | Nem elérhető | Rendelkezésre áll |
Szolgáltatásnév képessége csoporttagként való működésre | Nem | Igen |
Microsoft Entra-bejelentkezések naplózása | Nem | Igen |
PgBouncer-támogatás | Nem | Igen |
A Microsoft Entra ID működése rugalmas Azure Database for PostgreSQL-kiszolgálón
Az alábbi magas szintű diagram összefoglalja, hogyan működik a hitelesítés, amikor rugalmas Azure Database for PostgreSQL-kiszolgálóval használja a Microsoft Entra-hitelesítést. A nyilak kommunikációs útvonalakat jelölnek.
A Microsoft Entra ID rugalmas Azure Database for PostgreSQL-kiszolgálóval való konfigurálásához lásd : Konfigurálás és bejelentkezés a Rugalmas Azure Database for PostgreSQL-kiszolgálóHoz készült Microsoft Entra ID-val.
A PostgreSQL-rendszergazda és a Microsoft Entra-rendszergazda közötti különbségek
Ha bekapcsolja a Microsoft Entra-hitelesítést a rugalmas kiszolgálóhoz, és Microsoft Entra-rendszergazdaként hozzáad egy Microsoft Entra-tagot, a fiók:
- Ugyanazokat a jogosultságokat kapja, mint az eredeti PostgreSQL-rendszergazda.
- Kezelheti a kiszolgálón lévő többi Microsoft Entra-szerepkört.
A PostgreSQL-rendszergazda csak helyi jelszóalapú felhasználókat hozhat létre. A Microsoft Entra rendszergazdája azonban jogosult a Microsoft Entra-felhasználók és a helyi jelszóalapú felhasználók kezelésére.
A Microsoft Entra rendszergazdája lehet Microsoft Entra-felhasználó, Microsoft Entra-csoport, szolgáltatásnév vagy felügyelt identitás. A csoportfiókok rendszergazdaként való használata javítja a kezelhetőséget. Lehetővé teszi a csoporttagok központosított hozzáadását és eltávolítását a Microsoft Entra ID-ban anélkül, hogy módosítaná a felhasználókat vagy engedélyeket a rugalmas Azure Database for PostgreSQL-kiszolgálópéldányon.
Egyszerre több Microsoft Entra-rendszergazdát is konfigurálhat. Lehetősége van arra, hogy inaktiválja a jelszóhitelesítést egy rugalmas Azure Database for PostgreSQL-kiszolgálópéldányra a fokozott naplózási és megfelelőségi követelmények érdekében.
Feljegyzés
A szolgáltatásnév vagy a felügyelt identitás teljes mértékben működőképes Microsoft Entra-rendszergazdaként működhet a rugalmas Azure Database for PostgreSQL-kiszolgálón. Ez egy korlátozás volt az önálló Azure Database for PostgreSQL-kiszolgálón.
Az Azure Portalon, API-val vagy SQL-sel létrehozott Microsoft Entra-rendszergazdák ugyanazokkal az engedélyekkel rendelkeznek, mint a kiszolgáló kiépítése során létrehozott szokásos rendszergazdai felhasználó. A nem rendszergazdai Microsoft Entra-szerepkörök adatbázis-engedélyei a normál szerepkörökhöz hasonlóan kezelhetők.
Kapcsolat Microsoft Entra-identitásokkal
A Microsoft Entra-hitelesítés az alábbi módszereket támogatja az adatbázishoz való csatlakozáshoz Microsoft Entra-identitások használatával:
- Microsoft Entra jelszóhitelesítés
- Microsoft Entra integrált hitelesítés
- Univerzális Microsoft Entra többtényezős hitelesítéssel
- Active Directory-alkalmazástanúsítványok vagy ügyfélkulcsok
- Kezelt identitás
Miután hitelesítést végzett az Active Directoryval, lekéri a jogkivonatot. Ez a jogkivonat a bejelentkezéshez használt jelszó.
Ha rugalmas Azure Database for PostgreSQL-kiszolgálóval szeretné konfigurálni a Microsoft Entra ID-t, kövesse a Rugalmas Azure Database for PostgreSQL-kiszolgálóHoz készült Microsoft Entra ID konfigurálását és bejelentkezését.
Egyéb szempontok
Ha azt szeretné, hogy a Microsoft Entra-tagok bármilyen üzembe helyezési eljáráson belül átvállalják a felhasználói adatbázisok tulajdonjogát, adjon hozzá explicit függőségeket az üzembe helyezési modulon belül (Terraform vagy Azure Resource Manager) annak érdekében, hogy a Felhasználói adatbázisok létrehozása előtt a Microsoft Entra-hitelesítés be legyen kapcsolva.
Egyszerre több Microsoft Entra-tag (felhasználó, csoport, szolgáltatásnév vagy felügyelt identitás) konfigurálható Microsoft Entra-rendszergazdaként egy rugalmas Azure Database for PostgreSQL-kiszolgálópéldányhoz.
A Rugalmas Azure Database for PostgreSQL-kiszolgálópéldányhoz kezdetben csak a PostgreSQL-hez készült Microsoft Entra-rendszergazda csatlakozhat Microsoft Entra-fiókkal. Az Active Directory rendszergazda konfigurálhatja a későbbi Microsoft Entra adatbázis-felhasználókat.
Ha egy Microsoft Entra-tagot törölnek a Microsoft Entra-azonosítóból, az PostgreSQL-szerepkör marad, de már nem tud új hozzáférési jogkivonatot beszerezni. Ebben az esetben, bár az egyező szerepkör továbbra is létezik az adatbázisban, nem tud hitelesítést végezni a kiszolgálón. Az adatbázisgazdáknak manuálisan kell átadniuk a tulajdonjogot, és el kell helyezni a szerepköröket.
Feljegyzés
A törölt Microsoft Entra-felhasználó továbbra is bejelentkezhet a jogkivonat lejáratáig (a jogkivonat kiállításától számított 60 percig). Ha a felhasználót is eltávolítja a rugalmas Azure Database for PostgreSQL-kiszolgálóról, a rendszer azonnal visszavonja a hozzáférést.
A rugalmas Azure Database for PostgreSQL-kiszolgáló a felhasználónév helyett a felhasználó egyedi Microsoft Entra felhasználói azonosítójával egyezik meg az adatbázis-szerepkör hozzáférési jogkivonatával. Ha töröl egy Microsoft Entra-felhasználót, és egy új felhasználót hoz létre ugyanazzal a névvel, a rugalmas Azure Database for PostgreSQL-kiszolgáló úgy véli, hogy egy másik felhasználó. Ezért ha a rendszer töröl egy felhasználót a Microsoft Entra-azonosítóból, és új felhasználót ad hozzá ugyanazzal a névvel, az új felhasználó nem tud csatlakozni a meglévő szerepkörhöz.
Gyakori kérdések
Milyen hitelesítési módok érhetők el a rugalmas Azure Database for PostgreSQL-kiszolgálón?
A rugalmas Azure Database for PostgreSQL-kiszolgáló három hitelesítési módot támogat: csak a PostgreSQL-hitelesítést, csak a Microsoft Entra-hitelesítést, valamint a PostgreSQL- és a Microsoft Entra-hitelesítést.
Konfigurálhatok több Microsoft Entra-rendszergazdát a rugalmas kiszolgálón?
Igen. Rugalmas kiszolgálón több Microsoft Entra-rendszergazdát is konfigurálhat. A kiépítés során csak egyetlen Microsoft Entra-rendszergazda állítható be. A kiszolgáló létrehozása után azonban a Hitelesítés panelre lépve tetszőleges számú Microsoft Entra-rendszergazdát állíthat be.
A Microsoft Entra rendszergazdája csak Microsoft Entra-felhasználó?
Szám A Microsoft Entra rendszergazdája lehet felhasználó, csoport, szolgáltatásnév vagy felügyelt identitás.
Létrehozhat egy Microsoft Entra-rendszergazda helyi jelszóalapú felhasználókat?
A Microsoft Entra rendszergazdája jogosult a Microsoft Entra-felhasználók és a helyi jelszóalapú felhasználók kezelésére.
Mi történik, ha engedélyezem a Microsoft Entra-hitelesítést a rugalmas kiszolgálón?
Amikor a Microsoft Entra-hitelesítést kiszolgálószinten állítja be, a PGAadAuth bővítmény engedélyezve van, és a kiszolgáló újraindul.
Hogyan Microsoft Entra-hitelesítéssel jelentkezik be?
A rugalmas kiszolgálóra való bejelentkezéshez használhat olyan ügyféleszközöket, mint a psql vagy a pgAdmin. Jelszóként használja a Microsoft Entra felhasználói azonosítóját felhasználónévként és Microsoft Entra-jogkivonatként.
Hogyan hozza létre a jogkivonatomat?
A jogkivonatot a következő használatával
az login
hozhatja létre: . További információ: Microsoft Entra hozzáférési jogkivonat lekérése.Mi a különbség a csoportos bejelentkezés és az egyéni bejelentkezés között?
A Microsoft Entra-csoporttagként való bejelentkezés és az egyéni Microsoft Entra-felhasználóként való bejelentkezés között az egyetlen különbség a felhasználónévben rejlik. Egyéni felhasználóként való bejelentkezéshez egyéni Microsoft Entra-felhasználói azonosítóra van szükség. A csoporttagként való bejelentkezéshez a csoport neve szükséges. Mindkét esetben ugyanazt az egyéni Microsoft Entra-jogkivonatot használja, mint a jelszót.
Mi a jogkivonat élettartama?
A felhasználói jogkivonatok legfeljebb 1 óráig érvényesek. A rendszer által hozzárendelt felügyelt identitások jogkivonatai legfeljebb 24 óráig érvényesek.
Következő lépések
- Ha tudni szeretné, hogyan hozhat létre és tölthet fel Microsoft Entra ID-példányt, majd konfigurálhatja a Microsoft Entra ID-t rugalmas Azure Database for PostgreSQL-kiszolgálóval, olvassa el a Rugalmas Azure Database for PostgreSQL-kiszolgáló Microsoft Entra-azonosítójának konfigurálása és bejelentkezése című témakört.
- A rugalmas Azure Database for PostgreSQL-kiszolgáló Microsoft Entra-felhasználóinak felügyeletéről a Rugalmas Azure Database for PostgreSQL-kiszolgálón a Microsoft Entra-szerepkörök kezelése című témakörben olvashat.
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: