Autentikasi Microsoft Entra untuk Azure Database for MySQL - Server Fleksibel

BERLAKU UNTUK: Azure Database for MySQL - Server Fleksibel

Autentikasi Microsoft Entra adalah mekanisme menyambungkan ke server fleksibel Azure Database for MySQL dengan menggunakan identitas yang ditentukan dalam ID Microsoft Entra. Dengan autentikasi Microsoft Entra, Anda dapat mengelola identitas pengguna database dan layanan Microsoft lainnya di lokasi pusat, menyederhanakan manajemen izin.

Keuntungan

• Autentikasi pengguna di seluruh Layanan Azure dengan cara yang seragam
• Manajemen kebijakan kata sandi dan rotasi kata sandi di satu tempat
• Beberapa bentuk autentikasi yang didukung oleh MICROSOFT Entra ID, yang dapat menghilangkan kebutuhan untuk menyimpan kata sandi
• Pelanggan dapat mengelola izin database menggunakan grup eksternal (MICROSOFT Entra ID).
• Autentikasi Microsoft Entra menggunakan pengguna database MySQL untuk mengautentikasi identitas di tingkat database
• Dukungan autentikasi berbasis token untuk aplikasi yang terhubung ke server fleksibel Azure Database for MySQL

Gunakan langkah-langkah di bawah ini untuk mengonfigurasi dan menggunakan autentikasi Microsoft Entra

1. Pilih metode autentikasi pilihan Anda untuk mengakses server fleksibel. Secara default, autentikasi yang dipilih diatur ke autentikasi MySQL saja. Pilih autentikasi Microsoft Entra saja atau Autentikasi MySQL dan Microsoft Entra untuk mengaktifkan autentikasi Microsoft Entra.

2. Pilih identitas terkelola pengguna (UMI) dengan hak istimewa berikut untuk mengonfigurasi autentikasi Microsoft Entra:

   • User.Read.All: Memungkinkan akses ke informasi pengguna Microsoft Entra.
   • GroupMember.Read.All: Memungkinkan akses ke informasi grup Microsoft Entra.
   • Application.Read.ALL: Memungkinkan akses ke informasi perwakilan layanan (aplikasi) Microsoft Entra.

3. Tambahkan Admin Microsoft Entra. Ini bisa menjadi pengguna atau Grup Microsoft Entra, yang memiliki akses ke server fleksibel.

4. Buat pengguna database di database Anda yang dipetakan ke identitas Microsoft Entra.

5. Koneksi ke database Anda dengan mengambil token untuk identitas Microsoft Entra dan masuk.

Catatan

Untuk instruksi langkah demi langkah terperinci tentang cara mengonfigurasi autentikasi Microsoft Entra dengan server fleksibel Azure Database for MySQL, lihat Mempelajari cara menyiapkan autentikasi Microsoft Entra untuk server fleksibel Azure Database for MySQL

Arsitektur

Identitas yang dikelola pengguna diperlukan untuk autentikasi Microsoft Entra. Saat Identitas yang Ditetapkan Pengguna ditautkan ke server fleksibel, Penyedia Sumber Daya Identitas Terkelola (MSRP) mengeluarkan sertifikat secara internal ke identitas tersebut. Ketika identitas terkelola dihapus, perwakilan layanan yang sesuai secara otomatis dihapus.

Layanan kemudian menggunakan identitas terkelola untuk meminta token akses untuk layanan yang mendukung autentikasi Microsoft Entra. Azure Database saat ini hanya mendukung Identitas Terkelola (UMI) yang ditetapkan pengguna untuk server fleksibel Azure Database for MySQL. Untuk informasi selengkapnya, lihat Jenis identitas terkelola di Azure.

Diagram tingkat tinggi berikut ini meringkas cara kerja autentikasi menggunakan autentikasi Microsoft Entra dengan server fleksibel Azure Database for MySQL. Tanda panah menunjukkan jalur komunikasi.

1. Aplikasi Anda dapat meminta token dari titik akhir identitas Azure Instance Metadata Service.
2. Saat Anda menggunakan ID klien dan sertifikat, panggilan dilakukan ke ID Microsoft Entra untuk meminta token akses.
3. Token akses JSON Web Token (JWT) dikembalikan oleh ID Microsoft Entra. Aplikasi Anda mengirimkan token akses pada panggilan ke server fleksibel Anda.
4. Server fleksibel memvalidasi token dengan ID Microsoft Entra.

Struktur admin

Ada dua akun Administrator untuk server fleksibel Azure Database for MySQL saat menggunakan autentikasi Microsoft Entra: administrator MySQL asli dan administrator Microsoft Entra.

Hanya administrator berdasarkan akun Microsoft Entra yang dapat membuat pengguna database berisi ID Microsoft Entra pertama dalam database pengguna. Rincian masuk administrator Microsoft Entra dapat berupa pengguna Microsoft Entra atau grup Microsoft Entra. Ketika administrator adalah akun grup, administrator dapat digunakan oleh anggota grup mana pun, memungkinkan beberapa administrator Microsoft Entra untuk server fleksibel. Menggunakan akun grup sebagai administrator meningkatkan pengelolaan dengan memungkinkan Anda menambahkan dan menghapus anggota grup secara terpusat di ID Microsoft Entra tanpa mengubah pengguna atau izin di server Fleksibel. Hanya satu administrator Microsoft Entra (pengguna atau grup) yang dapat dikonfigurasi pada satu waktu.

Metode autentikasi untuk mengakses server fleksibel meliputi:

• Hanya autentikasi MySQL - Ini adalah opsi default. Hanya autentikasi MySQL asli dengan masuk dan kata sandi MySQL yang dapat digunakan untuk mengakses server fleksibel.

• Hanya autentikasi Microsoft Entra - Autentikasi asli MySQL yang dinonaktifkan, dan pengguna hanya dapat mengautentikasi menggunakan pengguna dan token Microsoft Entra mereka. Untuk mengaktifkan mode ini, parameter server aad_auth_only diatur ke AKTIF.

• Autentikasi dengan MySQL dan ID Microsoft Entra - Autentikasi MySQL asli dan autentikasi Microsoft Entra didukung. Untuk mengaktifkan mode ini, parameter server aad_auth_only diatur ke NONAKTIF.

Izin

Izin berikut diperlukan untuk memungkinkan UMI membaca dari Microsoft Graph sebagai identitas server. Atau, beri UMI peran Pembaca Direktori.

Penting

Hanya Administrator Global atau Administrator Peran Istimewa yang dapat memberikan izin ini.

• User.Read.All: Memungkinkan akses ke informasi pengguna Microsoft Entra.
• GroupMember.Read.All: Memungkinkan akses ke informasi grup Microsoft Entra.
• Application.Read.ALL: Memungkinkan akses ke informasi perwakilan layanan (aplikasi) Microsoft Entra.

Untuk panduan tentang cara memberikan dan menggunakan izin, lihat Gambaran Umum izin Microsoft Graph

Setelah Anda memberikan izin ke UMI, izin diaktifkan untuk semua server yang dibuat dengan UMI yang ditetapkan sebagai identitas server.

Validasi Token

Autentikasi Microsoft Entra di server fleksibel Azure Database for MySQL memastikan bahwa pengguna ada di server MySQL dan memeriksa validitas token dengan memvalidasi konten token. Langkah-langkah validasi token berikut dilakukan:

• Token ditandatangani oleh ID Microsoft Entra dan belum diubah.
• Token dikeluarkan oleh ID Microsoft Entra untuk penyewa yang terkait dengan server.
• Token belum kedaluwarsa.
• Token adalah untuk sumber daya server fleksibel (dan bukan sumber daya Azure lainnya).

Koneksi menggunakan identitas Microsoft Entra

Autentikasi Microsoft Entra mendukung metode menyambungkan ke database berikut menggunakan identitas Microsoft Entra:

• Kata Sandi Microsoft Entra
• Microsoft Entra terintegrasi
• Microsoft Entra Universal dengan MFA
• Menggunakan sertifikat Aplikasi Direktori Aktif atau rahasia klien
• Identitas Terkelola

Setelah mengautentikasi terhadap Direktori Aktif, Anda mengambil token. Token ini adalah kata sandi Anda untuk masuk.

Catatan

Operasi manajemen tersebut, seperti menambahkan pengguna baru, hanya didukung untuk peran pengguna Microsoft Entra.

Catatan

Untuk informasi selengkapnya tentang cara menyambungkan dengan token Direktori Aktif, lihat Mengonfigurasi dan masuk dengan ID Microsoft Entra untuk Azure Database for MySQL - Server Fleksibel.

Pertimbangan lain

• Anda hanya dapat mengonfigurasi satu administrator Microsoft Entra per server fleksibel kapan saja.

• Hanya administrator Microsoft Entra untuk MySQL yang awalnya dapat tersambung ke server fleksibel menggunakan akun Microsoft Entra. Administrator Direktori Aktif dapat mengonfigurasi pengguna database Microsoft Entra berikutnya atau grup Microsoft Entra. Ketika administrator adalah akun grup, administrator dapat digunakan oleh anggota grup mana pun, memungkinkan beberapa administrator Microsoft Entra untuk server fleksibel. Menggunakan akun grup sebagai administrator meningkatkan pengelolaan dengan memungkinkan Anda menambahkan dan menghapus anggota grup secara terpusat di ID Microsoft Entra tanpa mengubah pengguna atau izin di server fleksibel.

• Jika pengguna dihapus dari ID Microsoft Entra, pengguna tersebut tidak dapat lagi mengautentikasi dengan ID Microsoft Entra. Oleh karena itu, memperoleh token akses untuk pengguna tersebut tidak lagi dimungkinkan. Meskipun pengguna yang cocok masih dalam database, menyambungkan ke server dengan pengguna tersebut tidak dimungkinkan.

Catatan

Masuk dengan pengguna Microsoft Entra yang dihapus masih dapat dilakukan sampai token kedaluwarsa (hingga 60 menit dari penerbitan token). Jika Anda menghapus pengguna dari server fleksibel Azure Database for MySQL, akses ini segera dicabut.

• Jika admin Microsoft Entra dihapus dari server, server tidak lagi terkait dengan penyewa Microsoft Entra, dan oleh karena itu semua login Microsoft Entra dinonaktifkan untuk server. Menambahkan admin Microsoft Entra baru dari penyewa yang sama mengaktifkan kembali login Microsoft Entra.

• Server fleksibel cocok dengan token akses ke pengguna server fleksibel Azure Database for MySQL menggunakan ID pengguna Microsoft Entra unik pengguna alih-alih nama pengguna. Ini berarti bahwa jika pengguna Microsoft Entra dihapus di ID Microsoft Entra dan pengguna baru dibuat dengan nama yang sama, server fleksibel menganggap bahwa pengguna yang berbeda. Oleh karena itu, jika pengguna dihapus dari ID Microsoft Entra dan kemudian pengguna baru dengan nama yang sama ditambahkan, pengguna baru tidak dapat terhubung dengan pengguna yang sudah ada.

Catatan

Langganan server fleksibel dengan autentikasi Microsoft Entra diaktifkan tidak dapat ditransfer ke penyewa atau direktori lain.

Langkah berikutnya

• Untuk mempelajari cara mengonfigurasi ID Microsoft Entra dengan server fleksibel Azure Database for MySQL, lihat Menyiapkan autentikasi Microsoft Entra untuk server fleksibel Azure Database for MySQL