Menggunakan ID Microsoft Entra untuk mengautentikasi dengan MySQL

BERLAKU UNTUK: Azure Database for MySQL - Server Tunggal

Penting

Server tunggal Azure Database for MySQL berada di jalur penghentian. Kami sangat menyarankan Agar Anda meningkatkan ke server fleksibel Azure Database for MySQL. Untuk informasi selengkapnya tentang migrasi ke server fleksibel Azure Database for MySQL, lihat Apa yang terjadi pada Server Tunggal Azure Database for MySQL?

Autentikasi Microsoft Entra adalah mekanisme menyambungkan ke Azure Database for MySQL menggunakan identitas yang ditentukan dalam ID Microsoft Entra. Dengan autentikasi Microsoft Entra, Anda dapat mengelola identitas pengguna database dan layanan Microsoft lain di lokasi pusat, yang menyederhanakan manajemen izin.

Manfaat menggunakan ID Microsoft Entra meliputi:

• Autentikasi pengguna di seluruh Layanan Azure dengan cara yang seragam
• Manajemen kebijakan kata sandi dan rotasi kata sandi di satu tempat
• Beberapa bentuk autentikasi yang didukung oleh MICROSOFT Entra ID, yang dapat menghilangkan kebutuhan untuk menyimpan kata sandi
• Pelanggan dapat mengelola izin database menggunakan grup eksternal (MICROSOFT Entra ID).
• Autentikasi Microsoft Entra menggunakan pengguna database MySQL untuk mengautentikasi identitas di tingkat database
• Dukungan autentikasi berbasis token untuk aplikasi yang menyambungkan ke Azure Database for MySQL

Untuk mengonfigurasi dan menggunakan autentikasi Microsoft Entra, gunakan proses berikut:

1. Buat dan isi ID Microsoft Entra dengan identitas pengguna sesuai kebutuhan.
2. Kaitkan atau ubah Direktori Aktif yang saat ini terkait dengan langganan Azure Anda. (opsional).
3. Buat administrator Microsoft Entra untuk server Azure Database for MySQL.
4. Buat pengguna database di database Anda yang dipetakan ke identitas Microsoft Entra.
5. Sambungkan ke database Anda dengan mengambil token untuk identitas Microsoft Entra dan masuk.

Catatan

Untuk mempelajari cara membuat dan mengisi ID Microsoft Entra, lalu mengonfigurasi ID Microsoft Entra dengan Azure Database for MySQL, lihat Mengonfigurasi dan masuk dengan ID Microsoft Entra untuk Azure Database for MySQL.

Struktur admin

Saat menggunakan autentikasi Microsoft Entra, ada dua akun Administrator untuk server MySQL; administrator MySQL asli dan administrator Microsoft Entra. Hanya administrator berdasarkan akun Microsoft Entra yang dapat membuat pengguna database berisi ID Microsoft Entra pertama dalam database pengguna. Login administrator Microsoft Entra dapat menjadi pengguna Microsoft Entra atau grup Microsoft Entra. Ketika administrator adalah akun grup, administrator dapat digunakan oleh anggota grup mana pun, mengaktifkan beberapa administrator Microsoft Entra untuk server MySQL. Menggunakan akun grup sebagai administrator meningkatkan pengelolaan dengan memungkinkan Anda menambahkan dan menghapus anggota grup secara terpusat di ID Microsoft Entra tanpa mengubah pengguna atau izin di server MySQL. Hanya satu administrator Microsoft Entra (pengguna atau grup) yang dapat dikonfigurasi kapan saja.

Izin

Untuk membuat pengguna baru yang dapat mengautentikasi dengan MICROSOFT Entra ID, Anda harus menjadi administrator Microsoft Entra yang ditunjuk. Pengguna ini ditetapkan dengan mengonfigurasi akun Administrator Microsoft Entra untuk server Azure Database for MySQL tertentu.

Untuk membuat pengguna database Microsoft Entra baru, Anda harus tersambung sebagai administrator Microsoft Entra. Ini ditunjukkan dalam Mengonfigurasi dan Masuk dengan ID Microsoft Entra untuk Azure Database for MySQL.

Autentikasi Microsoft Entra apa pun hanya dimungkinkan jika admin Microsoft Entra dibuat untuk Azure Database for MySQL. Jika admin Microsoft Entra dihapus dari server, pengguna Microsoft Entra yang sudah ada yang dibuat sebelumnya tidak dapat lagi tersambung ke database menggunakan kredensial Microsoft Entra mereka.

Menyambungkan menggunakan identitas Microsoft Entra

Autentikasi Microsoft Entra mendukung metode menyambungkan ke database berikut menggunakan identitas Microsoft Entra:

• Kata Sandi Microsoft Entra
• Microsoft Entra terintegrasi
• Microsoft Entra Universal dengan MFA
• Menggunakan sertifikat Aplikasi Direktori Aktif atau rahasia klien
• Identitas Terkelola

Setelah Anda mengautentikasi terhadap Direktori Aktif, Anda kemudian mengambil token. Token ini adalah kata sandi Anda untuk masuk.

Harap dicatat bahwa operasi manajemen, seperti menambahkan pengguna baru, hanya didukung untuk peran pengguna Microsoft Entra pada saat ini.

Catatan

Untuk detail selengkapnya tentang cara menyambungkan dengan token Direktori Aktif, lihat Mengonfigurasi dan masuk dengan ID Microsoft Entra untuk Azure Database for MySQL.

Pertimbangan tambahan

• Autentikasi Microsoft Entra hanya tersedia untuk MySQL 5.7 dan yang lebih baru.
• Hanya satu administrator Microsoft Entra yang dapat dikonfigurasi untuk server Azure Database for MySQL kapan saja.
• Hanya administrator Microsoft Entra untuk MySQL yang awalnya dapat tersambung ke Azure Database for MySQL menggunakan akun Microsoft Entra. Admin Azure Active Directory dapat mengonfigurasi pengguna database Microsoft Entra berikutnya.
• Jika pengguna dihapus dari ID Microsoft Entra, pengguna tersebut tidak akan lagi dapat mengautentikasi dengan ID Microsoft Entra, dan oleh karena itu tidak akan mungkin lagi memperoleh token akses untuk pengguna tersebut. Dalam kasus ini, meskipun pengguna yang cocok akan tetap berada di database, tidak mungkin untuk terhubung ke server dengan pengguna tersebut.

Catatan

Masuk dengan pengguna Microsoft Entra yang dihapus masih dapat dilakukan sampai token kedaluwarsa (hingga 60 menit dari penerbitan token). Jika Anda juga menghapus pengguna dari Azure Database for MySQL, akses ini akan segera dicabut.

• Jika admin Microsoft Entra dihapus dari server, server tidak akan lagi dikaitkan dengan penyewa Microsoft Entra, dan oleh karena itu semua login Microsoft Entra akan dinonaktifkan untuk server. Menambahkan admin Microsoft Entra baru dari penyewa yang sama akan mengaktifkan kembali login Microsoft Entra.
• Azure Database for MySQL cocok dengan token akses ke pengguna Azure Database for MySQL menggunakan ID pengguna Microsoft Entra unik pengguna, dibandingkan dengan menggunakan nama pengguna. Ini berarti bahwa jika pengguna Microsoft Entra dihapus di ID Microsoft Entra dan pengguna baru yang dibuat dengan nama yang sama, Azure Database for MySQL menganggap bahwa pengguna yang berbeda. Oleh karena itu, jika pengguna dihapus dari ID Microsoft Entra dan kemudian pengguna baru dengan nama yang sama ditambahkan, pengguna baru tidak akan dapat terhubung dengan pengguna yang ada.

Catatan

Langganan Azure MySQL dengan autentikasi Microsoft Entra diaktifkan tidak dapat ditransfer ke penyewa atau direktori lain.

Langkah berikutnya

• Untuk mempelajari cara membuat dan mengisi ID Microsoft Entra, lalu mengonfigurasi ID Microsoft Entra dengan Azure Database for MySQL, lihat Mengonfigurasi dan masuk dengan ID Microsoft Entra untuk Azure Database for MySQL.
• Untuk gambaran umum tentang masuk dan pengguna database untuk Azure Database for MySQL, lihat Membuat pengguna di Azure Database for MySQL.