Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
A Microsoft Entra-hitelesítés az Azure Database for PostgreSQL-hez való csatlakozás mechanizmusa a Microsoft Entra ID-ban meghatározott identitások használatával. A Microsoft Entra-hitelesítéssel központi helyen kezelheti az adatbázis felhasználói identitásait és egyéb Microsoft-szolgáltatásait, ami leegyszerűsíti az engedélykezelést.
A Microsoft Entra ID használatának előnyei a következők:
- A felhasználók hitelesítése az Azure-szolgáltatásokban egységes módon.
- Jelszószabályzatok és jelszóváltás kezelése egyetlen helyen.
- Több hitelesítési forma támogatása, amely szükségtelenné teszi a jelszavak tárolását.
- Az ügyfelek azon képessége, hogy külső (Microsoft Entra ID) csoportokkal kezeljék az adatbázis-engedélyeket.
- A PostgreSQL-adatbázisszerepkörök használata az identitások adatbázisszintű hitelesítéséhez.
- Az Azure Database for PostgreSQL rugalmas kiszolgálópéldányához csatlakozó alkalmazások jogkivonatalapú hitelesítésének támogatása.
A Microsoft Entra ID működése az Azure Database for PostgreSQL-ben
Az alábbi magas szintű diagram összefoglalja, hogyan működik a hitelesítés a Microsoft Entra-hitelesítés és az Azure Database for PostgreSQL használatakor. A nyilak kommunikációs útvonalakat jelölnek.
- Az alkalmazás tokent kérhet az Azure rugalmas kiszolgálópéldány Metadata Service identitás-központi végpontjától.
- Amikor az ügyfél-azonosítót és a tanúsítványt használja, a rendszer meghívja a Microsoft Entra ID-t egy hozzáférési jogkivonat lekérésére.
- A Microsoft Entra ID JSON webes jogkivonatot (JWT) ad vissza. Az alkalmazás egy hívás során elküldi a hozzáférési token-t a rugalmas kiszolgálópéldánynak.
- A rugalmas kiszolgálópéldány a Microsoft Entra ID segítségével érvényesíti a jogkivonatot.
A Microsoft Entra ID az Azure Database for PostgreSQL-hez való konfigurálásához lásd: A Microsoft Entra ID használata az Azure Database for PostgreSQL-hez való hitelesítéshez.
A PostgreSQL-rendszergazda és a Microsoft Entra-rendszergazda közötti különbségek
Amikor Microsoft Entra-rendszergazdaként bekapcsolja a Microsoft Entra-hitelesítést a Microsoft Entra-taghoz, a fiók:
- Ugyanazokat a jogosultságokat kapja, mint az eredeti PostgreSQL-rendszergazda.
- Kezelheti a kiszolgálón lévő többi Microsoft Entra-szerepkört.
A PostgreSQL-rendszergazda csak helyi jelszóalapú felhasználókat hozhat létre. A Microsoft Entra rendszergazdája azonban jogosult a Microsoft Entra-felhasználók és a helyi jelszóalapú felhasználók kezelésére.
A Microsoft Entra rendszergazdája lehet Microsoft Entra-felhasználó, Microsoft Entra-csoport, szolgáltatásnév vagy felügyelt identitás. A csoportfiókok rendszergazdaként való használata javítja a kezelhetőséget. Lehetővé teszi a csoporttagok központosított hozzáadását és eltávolítását a Microsoft Entra ID-ban anélkül, hogy módosítaná a felhasználókat vagy engedélyeket a rugalmas Azure Database for PostgreSQL-kiszolgálópéldányon.
Egyszerre több Microsoft Entra-rendszergazdát is konfigurálhat. A rugalmas Azure Database for PostgreSQL-kiszolgálópéldány jelszavas hitelesítését inaktiválhatja a fokozott naplózási és megfelelőségi követelmények érdekében.
Az Azure Portalon, API-val vagy SQL-sel létrehozott Microsoft Entra-rendszergazdák ugyanazokkal az engedélyekkel rendelkeznek, mint a kiszolgáló kiépítése során létrehozott szokásos rendszergazdai felhasználó. A nem azonos Microsoft Entra-szerepkörök adatbázis-engedélyeit a normál szerepkörökhöz hasonlóan kezelheti.
Kapcsolat Microsoft Entra-identitásokkal
A Microsoft Entra-hitelesítés az alábbi módszereket támogatja az adatbázishoz való csatlakozáshoz Microsoft Entra-identitások használatával:
- Microsoft Entra jelszóhitelesítés
- Microsoft Entra integrált hitelesítés
- Univerzális Microsoft Entra többtényezős hitelesítéssel
- Active Directory-alkalmazástanúsítványok vagy ügyfélkulcsok
- Felügyelt identitás
Miután hitelesítést végzett az Active Directoryval, lekéri a jogkivonatot. Ez a token a bejelentkezéshez szükséges jelszó.
A Microsoft Entra ID az Azure Database for PostgreSQL-hez való konfigurálásához lásd: A Microsoft Entra ID használata az Azure Database for PostgreSQL-hez való hitelesítéshez.
Korlátok és megfontolások
Amikor Microsoft Entra-hitelesítést használ az Azure Database for PostgreSQL-lel, tartsa szem előtt az alábbi szempontokat:
Ha azt szeretné, hogy a Microsoft Entra-tagok bármilyen üzembe helyezési eljárás során átvegye a felhasználói adatbázisok tulajdonjogát, adjon hozzá explicit függőségeket az üzembe helyezési modulon belül (Terraform vagy Azure Resource Manager), hogy a felhasználói adatbázisok létrehozása előtt a Microsoft Entra-hitelesítés be legyen kapcsolva.
Bármikor konfigurálhat több Microsoft Entra-principalokat (felhasználót, csoportot, szolgáltatásprincipalokat vagy felügyelt identitást) Microsoft Entra rendszergazdaként egy Azure Database for PostgreSQL rugalmas kiszolgálópéldányhoz.
Kezdetben csak egy PostgreSQL-hez készült Microsoft Entra-rendszergazda csatlakozhat Microsoft Entra-fiókjával az Azure Database for PostgreSQL rugalmas kiszolgálópéldányhoz. Az Active Directory rendszergazdája konfigurálhatja a Microsoft Entra-adatbázis további felhasználóit.
Ha töröl egy Microsoft Entra-azonosító princípálist a Microsoft Entra azonosítóból, a princípális megmarad PostgreSQL-szerepkörként, de már nem tud új hozzáférési tokent szerezni. Ebben az esetben, bár az egyező szerepkör továbbra is létezik az adatbázisban, nem tud hitelesítést végezni a kiszolgálón. Az adatbázisgazdáknak manuálisan kell átadniuk a tulajdonjogot, és el kell helyezni a szerepköröket.
Megjegyzés:
A törölt Microsoft Entra-felhasználó továbbra is bejelentkezhet a jogkivonat lejáratáig (a jogkivonat kiállításától számított 60 percig). Ha a felhasználót is eltávolítja az Azure Database for PostgreSQL-ből, a rendszer azonnal visszavonja ezt a hozzáférést.
Az Azure Database for PostgreSQL a felhasználónév helyett a felhasználó egyedi Microsoft Entra felhasználói azonosítójával egyezik meg az adatbázis-szerepkör hozzáférési jogkivonatával. Ha töröl egy Microsoft Entra-felhasználót, és azonos nevű új felhasználót hoz létre, az Azure Database for PostgreSQL másik felhasználónak tekinti. Ezért ha töröl egy felhasználót a Microsoft Entra-azonosítóból, és új, azonos nevű felhasználót ad hozzá, az új felhasználó nem tud csatlakozni a meglévő szerepkörhöz.
Gyakori kérdések
Milyen hitelesítési módok érhetők el az Azure Database for PostgreSQL-ben?
Az Azure Database for PostgreSQL három hitelesítési módot támogat: csak PostgreSQL-hitelesítést, csak Microsoft Entra-hitelesítést, valamint PostgreSQL- és Microsoft Entra-hitelesítést.
Konfigurálhatok több Microsoft Entra-rendszergazdát a rugalmas kiszolgálópéldányomon?
Igen. A rugalmas kiszolgálópéldányon több Microsoft Entra-rendszergazdát is konfigurálhat. A kiépítés során csak egyetlen Microsoft Entra-rendszergazda állítható be. A kiszolgáló létrehozása után azonban a Hitelesítés panelre lépve tetszőleges számú Microsoft Entra-rendszergazdát állíthat be.
A Microsoft Entra rendszergazdája csak Microsoft Entra-felhasználó?
Nem. A Microsoft Entra rendszergazdája lehet felhasználó, csoport, szolgáltatásnév vagy felügyelt identitás.
Létrehozhat egy Microsoft Entra-rendszergazda helyi jelszóalapú felhasználókat?
A Microsoft Entra rendszergazdája jogosult a Microsoft Entra-felhasználók és a helyi jelszóalapú felhasználók kezelésére.
Mi történik, ha engedélyezem a Microsoft Entra-hitelesítést a rugalmas Azure Database for PostgreSQL-kiszolgálópéldányomon?
Amikor a Microsoft Entra-hitelesítést kiszolgálószinten állítja be, a PGAadAuth bővítmény engedélyezve van, és a kiszolgáló újraindul.
Hogyan jelentkezhetek be Microsoft Entra-hitelesítéssel?
Olyan ügyféleszközök használatával, mint a
psqlvagypgAdmin, bejelentkezhet a rugalmas kiszolgálópéldányára. Jelszóként használja a Microsoft Entra felhasználói azonosítóját felhasználónévként és Microsoft Entra-jogkivonatként.Hogyan hozhatom létre a jogkivonatomat?
A jogkivonatot a következő használatával
az loginhozhatja létre: . További információ: Microsoft Entra hozzáférési jogkivonat lekérése.Mi a különbség a csoportos bejelentkezés és az egyéni bejelentkezés között?
A Microsoft Entra-csoporttagként való bejelentkezés és az egyéni Microsoft Entra-felhasználóként való bejelentkezés között az egyetlen különbség a felhasználónévben rejlik. Egyéni felhasználóként való bejelentkezéshez egyéni Microsoft Entra-felhasználói azonosítóra van szükség. A csoporttagként való bejelentkezéshez a csoport neve szükséges. Mindkét esetben ugyanazt az egyéni Microsoft Entra-jogkivonatot használja, mint a jelszót.
Mi a különbség a csoporthitelesítés és az egyéni hitelesítés között?
A Microsoft Entra-csoporttagként való bejelentkezés és az egyéni Microsoft Entra-felhasználóként való bejelentkezés között az egyetlen különbség a felhasználónévben rejlik. Egyéni felhasználóként való bejelentkezéshez egyéni Microsoft Entra-felhasználói azonosítóra van szükség. A csoporttagként való bejelentkezéshez a csoport neve szükséges. Mindkét esetben ugyanazt az egyéni Microsoft Entra-jogkivonatot használja, mint a jelszót.
Mi a jogkivonat élettartama?
A felhasználói jogkivonatok legfeljebb 1 óráig érvényesek. A rendszer által hozzárendelt felügyelt identitások jogkivonatai legfeljebb 24 óráig érvényesek.