Microsoft Entra-szerepkörök kezelése rugalmas Azure Database for PostgreSQL-kiszolgálón
A következőkre vonatkozik: Azure Database for PostgreSQL – Rugalmas kiszolgáló
Ez a cikk azt ismerteti, hogyan hozhat létre Microsoft Entra ID-kompatibilis adatbázis-szerepköröket egy rugalmas Azure Database for PostgreSQL-kiszolgálópéldányon belül.
Feljegyzés
Ez az útmutató feltételezi, hogy már engedélyezte a Microsoft Entra-hitelesítést a rugalmas Azure Database for PostgreSQL-kiszolgálópéldányon. A Microsoft Entra-hitelesítés konfigurálása
Ha szeretne többet megtudni az Azure-előfizetés felhasználóinak és jogosultságainak létrehozásáról és kezeléséről, látogasson el az Azure szerepköralapú hozzáférés-vezérlési (Azure RBAC) cikkére , vagy tekintse át a szerepkörök testreszabásának módját.
Microsoft Entra-rendszergazdák létrehozása vagy törlése az Azure Portal vagy az Azure Resource Manager (ARM) API használatával
- Nyissa meg a rugalmas Azure Database for PostgreSQL-kiszolgálópéldány hitelesítési lapját az Azure Portalon.
- Rendszergazda hozzáadásához válassza a Microsoft Entra Rendszergazda hozzáadása lehetőséget, és válasszon ki egy felhasználót, csoportot, alkalmazást vagy felügyelt identitást az aktuális Microsoft Entra-bérlőből.
- Rendszergazda eltávolításához válassza az eltávolítani kívánt törlés ikont.
- Válassza a Mentés lehetőséget, és várja meg, amíg befejeződik a kiépítési művelet.
Feljegyzés
Hamarosan megjelenik a Microsoft Entra-rendszergazdák Azure SDK-val, az cli-vel és Az Azure PowerShell-lel történő felügyeletének támogatása.
Microsoft Entra-szerepkörök kezelése AZ SQL használatával
Miután létrehozta az első Microsoft Entra-rendszergazdat az Azure Portalról vagy az API-ból, a rendszergazdai szerepkörrel kezelheti a Microsoft Entra-szerepköröket a rugalmas Azure Database for PostgreSQL-kiszolgálópéldányban.
Javasoljuk, hogy ismerkedjen meg a Microsoft Identitásplatform a Rugalmas Azure Database for PostgreSQL-kiszolgálóval való Microsoft Entra-integráció legjobb használatához.
Egyszerű típusok
A rugalmas Azure Database for PostgreSQL-kiszolgáló belsőleg tárolja a PostgreSQL-adatbázisszerepkörök és az AzureAD-objektumok egyedi azonosítói közötti leképezést. Minden PostgreSQL-adatbázisszerepkör az alábbi Microsoft Entra-objektumtípusok egyikére képezhető le:
- Felhasználó – Bérlői helyi és vendégfelhasználók is.
- Szolgáltatásnév. Alkalmazásokat és felügyelt identitásokat is beleértve
- Csoport Amikor egy PostgreSQL-szerepkör egy Microsoft Entra-csoporthoz van csatolva, a csoport bármely felhasználója vagy szolgáltatásnév-tagja csatlakozhat a rugalmas Azure Database for PostgreSQL-kiszolgálópéldányhoz a csoportszerepkörrel.
Microsoft Entra-szerepkörök listázása SQL használatával
pg_catalog.pgaadauth_list_principals(isAdminValue boolean)
Argumentumok
isAdminValue
boolean
amikor true
rendszergazdai felhasználókat ad vissza. Amikor false
az összes Microsoft Entra-felhasználót visszaadja, beleértve a Microsoft Entra rendszergazdáit és a nem rendszergazdákat is.
Visszatérési típus
TABLE(rolname name, principalType text, objectId text, tenantId text, isMfa integer, isAdmin integer)
egy táblázat a következő sémával:
rolname
a Szerepkör neve a PostgreSQL-ben.principalType
a Microsoft Entra-azonosítóban szereplő egyszerű típus. Lehetuser
,group
vagyservice
.objectId
az objektum azonosítója a Microsoft Entra-azonosítóban ehhez az egyszerű felhasználóhoz.tenantId
az ezt az egyszerű fiókot üzemeltető bérlő azonosítója a Microsoft Entra-azonosítóban.isMfa
Annak az értékét1
adja vissza, ha a felhasználó/szerepkör MFA-ját kikényszeríti.isAdmin
Annak az értékét1
adja vissza, hogy a felhasználó/szerepkör rendszergazda-e a PostgreSQL-ben.
Felhasználó/szerepkör létrehozása a Microsoft Entra egyszerű nevével
pg_catalog.pgaadauth_create_principal(roleName text, isAdmin boolean, isMfa boolean)
Argumentumok
roleName
text
a létrehozandó szerepkör neve. Ennek meg kell egyeznie a Microsoft Entra-tag nevével.
- A felhasználók a profilból származó felhasználónevet használják. Vendégfelhasználók esetén adja meg a teljes nevet a saját tartományában #EXT# címkével.
- Csoportok és szolgáltatásnevek esetén használja a megjelenítendő nevet. A névnek egyedinek kell lennie a bérlőben.
isAdmin
boolean
amikor true
létrehoz egy PostgreSQL-rendszergazdai felhasználót (a szerepkör tagja azure_pg_admin
, VALAMINT CREATEROLE és CREATEB engedélyekkel). Amikor false
létrehoz egy normál PostgreSQL-felhasználót.
isMfa
boolean
ha true
többtényezős hitelesítést kényszerít ki ehhez a PostgreSQL-felhasználóhoz.
Fontos
A isMfa
jelölő a mfa
Microsoft Entra ID-jogkivonatban teszteli a jogcímet, de ez nem befolyásolja a jogkivonat beszerzési folyamatát. Ha például az egyszerű bérlő nincs többtényezős hitelesítésre konfigurálva, az megakadályozza a funkció használatát. És ha a bérlő minden jogkivonathoz többtényezős hitelesítést igényel, az használhatatlanná teszi ezt a jelzőt.
Visszatérési típus
text
egyetlen érték, amely egy "Szerepkör létrehozása a roleName-hez" sztringből áll, ahol a roleName a roleName paraméterhez átadott argumentum.
Szerepkör elvetése a Microsoft Entra egyszerű nevével
Ne feledje, hogy a PostgreSQL-ben létrehozott Microsoft Entra-szerepköröket a Microsoft Entra rendszergazdájával kell elvetni. Ha egy reguláris PostgreSQL-rendszergazdát használ egy Entra-szerepkör elvetéséhez, az hibát fog eredményezni.
DROP ROLE rolename;
Szerepkör létrehozása a Microsoft Entra objektumazonosítóval
pg_catalog.pgaadauth_create_principal(roleName text, objectId text, objectType text, isAdmin boolean, isMfa boolean)
Argumentumok
roleName
text
a létrehozandó szerepkör neve.
objectId
text
a Microsoft Entra objektum egyedi objektumazonosítója.
- Felhasználók, csoportok és felügyelt identitások esetén az objectId az objektum nevének keresésével érhető el az Azure Portal Microsoft Entra ID lapján. Tekintse meg ezt az útmutatót példaként
- Csoportok és szolgáltatásnevek esetén használja a megjelenítendő nevet. A névnek egyedinek kell lennie a bérlőben.
- Alkalmazások esetében a megfelelő szolgáltatásnév objectId azonosítóját kell használni. Az Azure Portalon a szükséges objectId az Azure Portal Nagyvállalati alkalmazások lapján található.
objectType
text
a szerepkörhöz csatolandó Microsoft Entra-objektum típusa. Lehet user
, group
vagy service
.
isAdmin
boolean
amikor true
létrehoz egy PostgreSQL-rendszergazdai felhasználót (a szerepkör tagja azure_pg_admin
, VALAMINT CREATEROLE és CREATEB engedélyekkel). Amikor false
létrehoz egy normál PostgreSQL-felhasználót.
isMfa
boolean
ha true
többtényezős hitelesítést kényszerít ki ehhez a PostgreSQL-felhasználóhoz.
Fontos
A isMfa
jelölő a mfa
Microsoft Entra ID-jogkivonatban teszteli a jogcímet, de ez nem befolyásolja a jogkivonat beszerzési folyamatát. Ha például az egyszerű bérlő nincs többtényezős hitelesítésre konfigurálva, az megakadályozza a funkció használatát. És ha a bérlő minden jogkivonathoz többtényezős hitelesítést igényel, az használhatatlanná teszi ezt a jelzőt.
Visszatérési típus
text
egyetlen érték, amely egy "Szerepkör létrehozása a roleName-hez" sztringből áll, ahol a roleName a roleName paraméterhez átadott argumentum.
Microsoft Entra-hitelesítés engedélyezése meglévő PostgreSQL-szerepkörhöz az SQL használatával
A rugalmas Azure Database for PostgreSQL-kiszolgáló az adatbázis-szerepkörökhöz társított biztonsági címkéket használja a megfelelő Microsoft Entra-azonosító-leképezés tárolásához.
A következő SQL használatával rendelheti hozzá a szükséges biztonsági címkét egy Microsoft Entra-objektumhoz való leképezéshez:
SECURITY LABEL for "pgaadauth" on role "<roleName>" is 'aadauth,oid=<objectId>,type=<objectType>,admin';
Argumentumok
roleName
text
egy meglévő PostgreSQL-szerepkör neve, amelyhez engedélyezni kell a Microsoft Entra-hitelesítést.
objectId
text
a Microsoft Entra objektum egyedi objektumazonosítója.
objectType
text
beállítható user
, group
vagy service
(a saját szolgáltatás hitelesítő adataival csatlakozó alkalmazások vagy felügyelt identitások esetében).
admin
text
lehet, hogy jelen van vagy hiányzik. Azok a felhasználók/szerepkörök, amelyeknél ez a rész szerepel a biztonsági címkéjükben, más Microsoft Entra-azonosító szerepköröket is kezelhetnek.
Következő lépések
- Tekintse át a Rugalmas Azure Database for PostgreSQL-kiszolgálóval történő Microsoft Entra-hitelesítés általános fogalmait
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: