Megosztás a következőn keresztül:

Microsoft Entra-szerepkörök kezelése rugalmas Azure Database for PostgreSQL-kiszolgálón

  • Cikk

A következőkre vonatkozik: Azure Database for PostgreSQL – Rugalmas kiszolgáló

Ez a cikk azt ismerteti, hogyan hozhat létre Microsoft Entra ID-kompatibilis adatbázis-szerepköröket egy rugalmas Azure Database for PostgreSQL-kiszolgálópéldányon belül.

Feljegyzés

Ez az útmutató feltételezi, hogy már engedélyezte a Microsoft Entra-hitelesítést a rugalmas Azure Database for PostgreSQL-kiszolgálópéldányon. A Microsoft Entra-hitelesítés konfigurálása

Ha szeretne többet megtudni az Azure-előfizetés felhasználóinak és jogosultságainak létrehozásáról és kezeléséről, látogasson el az Azure szerepköralapú hozzáférés-vezérlési (Azure RBAC) cikkére , vagy tekintse át a szerepkörök testreszabásának módját.

Microsoft Entra-rendszergazdák létrehozása vagy törlése az Azure Portal vagy az Azure Resource Manager (ARM) API használatával

  1. Nyissa meg a rugalmas Azure Database for PostgreSQL-kiszolgálópéldány hitelesítési lapját az Azure Portalon.
  2. Rendszergazda hozzáadásához válassza a Microsoft Entra Rendszergazda hozzáadása lehetőséget, és válasszon ki egy felhasználót, csoportot, alkalmazást vagy felügyelt identitást az aktuális Microsoft Entra-bérlőből.
  3. Rendszergazda eltávolításához válassza az eltávolítani kívánt törlés ikont.
  4. Válassza a Mentés lehetőséget, és várja meg, amíg befejeződik a kiépítési művelet.

Képernyőkép a Microsoft Entra-rendszergazdák portálon keresztüli kezeléséről.

Feljegyzés

Hamarosan megjelenik a Microsoft Entra-rendszergazdák Azure SDK-val, az cli-vel és Az Azure PowerShell-lel történő felügyeletének támogatása.

Microsoft Entra-szerepkörök kezelése AZ SQL használatával

Miután létrehozta az első Microsoft Entra-rendszergazdat az Azure Portalról vagy az API-ból, a rendszergazdai szerepkörrel kezelheti a Microsoft Entra-szerepköröket a rugalmas Azure Database for PostgreSQL-kiszolgálópéldányban.

Javasoljuk, hogy ismerkedjen meg a Microsoft Identitásplatform a Rugalmas Azure Database for PostgreSQL-kiszolgálóval való Microsoft Entra-integráció legjobb használatához.

Egyszerű típusok

A rugalmas Azure Database for PostgreSQL-kiszolgáló belsőleg tárolja a PostgreSQL-adatbázisszerepkörök és az AzureAD-objektumok egyedi azonosítói közötti leképezést. Minden PostgreSQL-adatbázisszerepkör az alábbi Microsoft Entra-objektumtípusok egyikére képezhető le:

  1. Felhasználó – Bérlői helyi és vendégfelhasználók is.
  2. Szolgáltatásnév. Alkalmazásokat és felügyelt identitásokat is beleértve
  3. Csoport Amikor egy PostgreSQL-szerepkör egy Microsoft Entra-csoporthoz van csatolva, a csoport bármely felhasználója vagy szolgáltatásnév-tagja csatlakozhat a rugalmas Azure Database for PostgreSQL-kiszolgálópéldányhoz a csoportszerepkörrel.

Microsoft Entra-szerepkörök listázása SQL használatával

pg_catalog.pgaadauth_list_principals(isAdminValue boolean)

Argumentumok

isAdminValue

boolean amikor true rendszergazdai felhasználókat ad vissza. Amikor falseaz összes Microsoft Entra-felhasználót visszaadja, beleértve a Microsoft Entra rendszergazdáit és a nem rendszergazdákat is.

Visszatérési típus

TABLE(rolname name, principalType text, objectId text, tenantId text, isMfa integer, isAdmin integer) egy táblázat a következő sémával:

  • rolname a Szerepkör neve a PostgreSQL-ben.
  • principalType a Microsoft Entra-azonosítóban szereplő egyszerű típus. Lehet user, groupvagy service.
  • objectId az objektum azonosítója a Microsoft Entra-azonosítóban ehhez az egyszerű felhasználóhoz.
  • tenantId az ezt az egyszerű fiókot üzemeltető bérlő azonosítója a Microsoft Entra-azonosítóban.
  • isMfa Annak az értékét 1 adja vissza, ha a felhasználó/szerepkör MFA-ját kikényszeríti.
  • isAdmin Annak az értékét 1 adja vissza, hogy a felhasználó/szerepkör rendszergazda-e a PostgreSQL-ben.

Felhasználó/szerepkör létrehozása a Microsoft Entra egyszerű nevével

pg_catalog.pgaadauth_create_principal(roleName text, isAdmin boolean, isMfa boolean)

Argumentumok

roleName

text a létrehozandó szerepkör neve. Ennek meg kell egyeznie a Microsoft Entra-tag nevével.

  • A felhasználók a profilból származó felhasználónevet használják. Vendégfelhasználók esetén adja meg a teljes nevet a saját tartományában #EXT# címkével.
  • Csoportok és szolgáltatásnevek esetén használja a megjelenítendő nevet. A névnek egyedinek kell lennie a bérlőben.
isAdmin

boolean amikor true létrehoz egy PostgreSQL-rendszergazdai felhasználót (a szerepkör tagja azure_pg_admin , VALAMINT CREATEROLE és CREATEB engedélyekkel). Amikor false létrehoz egy normál PostgreSQL-felhasználót.

isMfa

boolean ha true többtényezős hitelesítést kényszerít ki ehhez a PostgreSQL-felhasználóhoz.

Fontos

A isMfa jelölő a mfa Microsoft Entra ID-jogkivonatban teszteli a jogcímet, de ez nem befolyásolja a jogkivonat beszerzési folyamatát. Ha például az egyszerű bérlő nincs többtényezős hitelesítésre konfigurálva, az megakadályozza a funkció használatát. És ha a bérlő minden jogkivonathoz többtényezős hitelesítést igényel, az használhatatlanná teszi ezt a jelzőt.

Visszatérési típus

textegyetlen érték, amely egy "Szerepkör létrehozása a roleName-hez" sztringből áll, ahol a roleName a roleName paraméterhez átadott argumentum.

Szerepkör elvetése a Microsoft Entra egyszerű nevével

Ne feledje, hogy a PostgreSQL-ben létrehozott Microsoft Entra-szerepköröket a Microsoft Entra rendszergazdájával kell elvetni. Ha egy reguláris PostgreSQL-rendszergazdát használ egy Entra-szerepkör elvetéséhez, az hibát fog eredményezni.

DROP ROLE rolename;

Szerepkör létrehozása a Microsoft Entra objektumazonosítóval

pg_catalog.pgaadauth_create_principal(roleName text, objectId text, objectType text, isAdmin boolean, isMfa boolean)

Argumentumok

roleName

text a létrehozandó szerepkör neve.

objectId

text a Microsoft Entra objektum egyedi objektumazonosítója.

objectType

text a szerepkörhöz csatolandó Microsoft Entra-objektum típusa. Lehet user, groupvagy service.

isAdmin

boolean amikor true létrehoz egy PostgreSQL-rendszergazdai felhasználót (a szerepkör tagja azure_pg_admin , VALAMINT CREATEROLE és CREATEB engedélyekkel). Amikor false létrehoz egy normál PostgreSQL-felhasználót.

isMfa

boolean ha true többtényezős hitelesítést kényszerít ki ehhez a PostgreSQL-felhasználóhoz.

Fontos

A isMfa jelölő a mfa Microsoft Entra ID-jogkivonatban teszteli a jogcímet, de ez nem befolyásolja a jogkivonat beszerzési folyamatát. Ha például az egyszerű bérlő nincs többtényezős hitelesítésre konfigurálva, az megakadályozza a funkció használatát. És ha a bérlő minden jogkivonathoz többtényezős hitelesítést igényel, az használhatatlanná teszi ezt a jelzőt.

Visszatérési típus

textegyetlen érték, amely egy "Szerepkör létrehozása a roleName-hez" sztringből áll, ahol a roleName a roleName paraméterhez átadott argumentum.

Microsoft Entra-hitelesítés engedélyezése meglévő PostgreSQL-szerepkörhöz az SQL használatával

A rugalmas Azure Database for PostgreSQL-kiszolgáló az adatbázis-szerepkörökhöz társított biztonsági címkéket használja a megfelelő Microsoft Entra-azonosító-leképezés tárolásához.

A következő SQL használatával rendelheti hozzá a szükséges biztonsági címkét egy Microsoft Entra-objektumhoz való leképezéshez:

SECURITY LABEL for "pgaadauth" on role "<roleName>" is 'aadauth,oid=<objectId>,type=<objectType>,admin';

Argumentumok

roleName

text egy meglévő PostgreSQL-szerepkör neve, amelyhez engedélyezni kell a Microsoft Entra-hitelesítést.

objectId

text a Microsoft Entra objektum egyedi objektumazonosítója.

objectType

text beállítható user, groupvagy service (a saját szolgáltatás hitelesítő adataival csatlakozó alkalmazások vagy felügyelt identitások esetében).

admin

text lehet, hogy jelen van vagy hiányzik. Azok a felhasználók/szerepkörök, amelyeknél ez a rész szerepel a biztonsági címkéjükben, más Microsoft Entra-azonosító szerepköröket is kezelhetnek.

Következő lépések