A Microsoft Entra ID használata a MySQL-hitelesítéshez
A következőkre vonatkozik: Azure Database for MySQL – Önálló kiszolgáló
Fontos
Az önálló Azure Database for MySQL-kiszolgáló a kivonási útvonalon van. Határozottan javasoljuk, hogy frissítsen rugalmas Azure Database for MySQL-kiszolgálóra. További információ a rugalmas Azure Database for MySQL-kiszolgálóra való migrálásról: Mi történik az önálló Azure Database for MySQL-kiszolgálóval?
A Microsoft Entra-hitelesítés az Azure Database for MySQL-hez való csatlakozás mechanizmusa a Microsoft Entra ID-ban meghatározott identitások használatával. A Microsoft Entra-hitelesítéssel központi helyen kezelheti az adatbázis felhasználói identitásait és más Microsoft-szolgáltatások, ami leegyszerűsíti az engedélykezelést.
A Microsoft Entra ID használatának előnyei a következők:
- Felhasználók hitelesítése az Azure-szolgáltatásokban egységes módon
- Jelszószabályzatok és jelszóváltás kezelése egyetlen helyen
- A Microsoft Entra ID által támogatott hitelesítés több formája, amelyek kiküszöbölhetik a jelszavak tárolásának szükségességét
- Az ügyfelek külső (Microsoft Entra ID) csoportokkal kezelhetik az adatbázis-engedélyeket.
- A Microsoft Entra-hitelesítés a MySQL-adatbázis felhasználóival hitelesíti az identitásokat az adatbázis szintjén
- Jogkivonatalapú hitelesítés támogatása az Azure Database for MySQL-hez csatlakozó alkalmazásokhoz
A Microsoft Entra-hitelesítés konfigurálásához és használatához használja a következő folyamatot:
- Szükség szerint hozzon létre és töltse fel a Microsoft Entra-azonosítót felhasználói identitásokkal.
- Opcionálisan társíthatja vagy módosíthatja az Azure-előfizetéséhez jelenleg társított Active Directoryt.
- Hozzon létre egy Microsoft Entra-rendszergazdát az Azure Database for MySQL-kiszolgálóhoz.
- Hozzon létre adatbázis-felhasználókat az adatbázisában a Microsoft Entra-identitásokra leképezve.
- Csatlakozzon az adatbázishoz egy Microsoft Entra-identitás jogkivonatának lekérésével és a bejelentkezéssel.
Feljegyzés
Ha tudni szeretné, hogyan hozhat létre és tölthet fel Microsoft Entra-azonosítót, majd hogyan konfigurálhatja a Microsoft Entra-azonosítót az Azure Database for MySQL-hez, olvassa el a Microsoft Entra ID konfigurálása és bejelentkezés a MySQL-hez készült Azure Database-hez című témakört.
Architektúra
Az alábbi magas szintű diagram összefoglalja, hogyan működik a hitelesítés a Microsoft Entra-hitelesítés és az Azure Database for MySQL használatával. A nyilak kommunikációs útvonalakat jelölnek.
Rendszergazdai struktúra
A Microsoft Entra-hitelesítés használatakor két rendszergazdai fiók van a MySQL-kiszolgálóhoz; az eredeti MySQL-rendszergazda és a Microsoft Entra-rendszergazda. Csak a Microsoft Entra-fiókon alapuló rendszergazda hozhatja létre az első Microsoft Entra-azonosítót tartalmazó adatbázis-felhasználót egy felhasználói adatbázisban. A Microsoft Entra rendszergazdai bejelentkezés lehet Microsoft Entra-felhasználó vagy Microsoft Entra-csoport. Ha a rendszergazda csoportfiók, azt bármely csoporttag használhatja, így több Microsoft Entra-rendszergazda is használhatja a MySQL-kiszolgálóhoz. A csoportfiók rendszergazdaként való használata növeli a kezelhetőséget azáltal, hogy lehetővé teszi a csoporttagok központi hozzáadását és eltávolítását a Microsoft Entra-azonosítóban anélkül, hogy módosítaná a felhasználókat vagy engedélyeket a MySQL-kiszolgálón. Egyszerre csak egy Microsoft Entra-rendszergazda (felhasználó vagy csoport) konfigurálható.
Engedélyek
Ha olyan új felhasználókat szeretne létrehozni, amelyek hitelesíthetők a Microsoft Entra-azonosítóval, önnek kell a kijelölt Microsoft Entra-rendszergazdának lennie. Ezt a felhasználót úgy rendeli hozzá, hogy konfigurálja a Microsoft Entra rendszergazdai fiókját egy adott Azure Database for MySQL-kiszolgálóhoz.
Új Microsoft Entra-adatbázis-felhasználó létrehozásához Microsoft Entra-rendszergazdaként kell csatlakoznia. Ezt az Azure Database for MySQL-hez készült Microsoft Entra-azonosítóval való konfigurálás és bejelentkezés című cikkben mutatjuk be.
A Microsoft Entra-hitelesítés csak akkor lehetséges, ha a Microsoft Entra rendszergazdája az Azure Database for MySQL-hez lett létrehozva. Ha a Microsoft Entra rendszergazdáját eltávolították a kiszolgálóról, a korábban létrehozott Microsoft Entra-felhasználók már nem tudnak csatlakozni az adatbázishoz a Microsoft Entra hitelesítő adataikkal.
Csatlakozás Microsoft Entra-identitásokkal
A Microsoft Entra-hitelesítés az alábbi módszereket támogatja az adatbázishoz való csatlakozáshoz a Microsoft Entra-identitások használatával:
- Microsoft Entra jelszó
- A Microsoft Entra integrálva
- Microsoft Entra Universal és MFA
- Active Directory-alkalmazástanúsítványok vagy ügyfélkulcsok használata
- Felügyelt identitás
Miután hitelesítette az Active Directoryt, lekéri a jogkivonatot. Ez a jogkivonat a bejelentkezéshez használt jelszó.
Vegye figyelembe, hogy a felügyeleti műveletek, például az új felhasználók hozzáadása jelenleg csak a Microsoft Entra felhasználói szerepkörei esetében támogatottak.
Feljegyzés
Az Active Directory-jogkivonatokkal való csatlakozásról további információt az Azure Database for MySQL Microsoft Entra-azonosítójának konfigurálása és bejelentkezése című témakörben talál.
További szempontok
- A Microsoft Entra-hitelesítés csak a MySQL 5.7-hez és újabb verzióhoz érhető el.
- Egy Azure Database for MySQL-kiszolgálóhoz egyszerre csak egy Microsoft Entra-rendszergazda konfigurálható.
- Kezdetben csak a MySQL-hez készült Microsoft Entra-rendszergazda csatlakozhat az Azure Database for MySQL-hez Egy Microsoft Entra-fiók használatával. Az Active Directory rendszergazda konfigurálhatja a későbbi Microsoft Entra adatbázis-felhasználókat.
- Ha egy felhasználót törölnek a Microsoft Entra-azonosítóból, az adott felhasználó már nem fog tudni a Microsoft Entra-azonosítóval hitelesíteni, ezért a továbbiakban nem lehet hozzáférési jogkivonatot beszerezni az adott felhasználóhoz. Ebben az esetben, bár a megfelelő felhasználó továbbra is az adatbázisban lesz, nem lehet csatlakozni a kiszolgálóhoz a felhasználóval.
Feljegyzés
A törölt Microsoft Entra-felhasználóval való bejelentkezés a jogkivonat lejáratáig (a jogkivonat kiállításától számított 60 percig) továbbra is elvégezhető. Ha a felhasználót is eltávolítja az Azure Database for MySQL-ből, a rendszer azonnal visszavonja a hozzáférést.
- Ha a Microsoft Entra rendszergazdája el van távolítva a kiszolgálóról, a kiszolgáló már nem lesz társítva Egy Microsoft Entra-bérlőhöz, ezért a kiszolgáló összes Microsoft Entra-bejelentkezése le lesz tiltva. Ha egy új Microsoft Entra-rendszergazdát vesz fel ugyanabból a bérlőből, újra engedélyezi a Microsoft Entra-bejelentkezéseket.
- Az Azure Database for MySQL megfelel az Azure Database for MySQL-felhasználó hozzáférési jogkivonatainak a felhasználó egyedi Microsoft Entra-felhasználói azonosítójával, szemben a felhasználónévvel. Ez azt jelenti, hogy ha egy Microsoft Entra-felhasználót törölnek a Microsoft Entra-azonosítóból, és egy azonos nevű új felhasználót hoznak létre, az Azure Database for MySQL egy másik felhasználónak tekinti. Ezért ha egy felhasználót törölnek a Microsoft Entra-azonosítóból, majd új felhasználót adnak hozzá ugyanazzal a névvel, az új felhasználó nem tud csatlakozni a meglévő felhasználóhoz.
Feljegyzés
A Microsoft Entra-hitelesítéssel rendelkező Azure MySQL-előfizetések nem ruházhatók át egy másik bérlőbe vagy könyvtárba.
Következő lépések
- Ha tudni szeretné, hogyan hozhat létre és tölthet fel Microsoft Entra-azonosítót, majd hogyan konfigurálhatja a Microsoft Entra-azonosítót az Azure Database for MySQL-hez, olvassa el a Microsoft Entra ID konfigurálása és bejelentkezés a MySQL-hez készült Azure Database-hez című témakört.
- A bejelentkezések és az Azure Database for MySQL adatbázis-felhasználóinak áttekintéséért lásd : Felhasználók létrehozása az Azure Database for MySQL-ben.