Autentikasi Microsoft Entra dengan Azure Database for PostgreSQL - Server Fleksibel
BERLAKU UNTUK: 
Azure Database for PostgreSQL - Server Fleksibel
Autentikasi Microsoft Entra adalah mekanisme menyambungkan ke server fleksibel Azure Database for PostgreSQL dengan menggunakan identitas yang ditentukan dalam ID Microsoft Entra. Dengan autentikasi Microsoft Entra, Anda dapat mengelola identitas pengguna database dan layanan Microsoft lain di lokasi pusat, yang menyederhanakan manajemen izin.
Manfaat menggunakan ID Microsoft Entra meliputi:
- Autentikasi pengguna di seluruh layanan Azure dengan cara yang seragam.
- Manajemen kebijakan kata sandi dan rotasi kata sandi di satu tempat.
- Dukungan untuk beberapa bentuk autentikasi, yang dapat menghilangkan kebutuhan untuk menyimpan kata sandi.
- Kemampuan pelanggan untuk mengelola izin database dengan menggunakan grup eksternal (MICROSOFT Entra ID).
- Penggunaan peran database PostgreSQL untuk mengautentikasi identitas di tingkat database.
- Dukungan autentikasi berbasis token untuk aplikasi yang terhubung ke server fleksibel Azure Database for PostgreSQL.
Fitur ID Microsoft Entra dan perbandingan kemampuan antara opsi penyebaran
Autentikasi Microsoft Entra untuk server fleksibel Azure Database for PostgreSQL menggabungkan pengalaman dan umpan balik kami yang dikumpulkan dari server tunggal Azure Database for PostgreSQL.
Tabel berikut ini mencantumkan perbandingan tingkat tinggi fitur dan kemampuan ID Microsoft Entra antara server tunggal Azure Database for PostgreSQL dan server fleksibel Azure Database for PostgreSQL.
| Fitur/Kemampuan | Server tunggal Azure Database for PostgreSQL | Server fleksibel Azure Database for PostgreSQL |
|---|---|---|
| Beberapa admin Microsoft Entra | Tidak | Ya |
| Identitas terkelola (sistem dan pengguna ditetapkan) | Sebagian | Penuh |
| Dukungan pengguna yang diundang | Tidak | Ya |
| Kemampuan untuk menonaktifkan autentikasi kata sandi | Tidak tersedia | Tersedia |
| Kemampuan perwakilan layanan untuk bertindak sebagai anggota grup | Tidak | Ya |
| Audit rincian masuk Microsoft Entra | Tidak | Ya |
| Dukungan PgBouncer | Tidak | Ya |
Cara kerja ID Microsoft Entra di server fleksibel Azure Database for PostgreSQL
Diagram tingkat tinggi berikut ini meringkas cara kerja autentikasi saat Anda menggunakan autentikasi Microsoft Entra dengan server fleksibel Azure Database for PostgreSQL. Tanda panah menunjukkan jalur komunikasi.
Untuk langkah-langkah mengonfigurasi ID Microsoft Entra dengan server fleksibel Azure Database for PostgreSQL, lihat Mengonfigurasi dan masuk dengan ID Microsoft Entra untuk Azure Database for PostgreSQL - Server Fleksibel.
Perbedaan antara administrator PostgreSQL dan administrator Microsoft Entra
Saat Anda mengaktifkan autentikasi Microsoft Entra untuk server fleksibel Anda dan menambahkan perwakilan Microsoft Entra sebagai administrator Microsoft Entra, akun tersebut:
- Mendapatkan hak istimewa yang sama dengan administrator PostgreSQL asli.
- Dapat mengelola peran Microsoft Entra lainnya di server.
Administrator PostgreSQL hanya dapat membuat pengguna berbasis kata sandi lokal. Tetapi administrator Microsoft Entra memiliki wewenang untuk mengelola pengguna Microsoft Entra dan pengguna berbasis kata sandi lokal.
Administrator Microsoft Entra dapat menjadi pengguna Microsoft Entra, grup Microsoft Entra, perwakilan layanan, atau identitas terkelola. Menggunakan akun grup sebagai administrator meningkatkan pengelolaan. Ini memungkinkan penambahan terpusat dan penghapusan anggota grup di ID Microsoft Entra tanpa mengubah pengguna atau izin dalam instans server fleksibel Azure Database for PostgreSQL.
Anda dapat mengonfigurasi beberapa administrator Microsoft Entra secara bersamaan. Anda memiliki opsi untuk menonaktifkan autentikasi kata sandi ke instans server fleksibel Azure Database for PostgreSQL untuk persyaratan audit dan kepatuhan yang ditingkatkan.
Catatan
Perwakilan layanan atau identitas terkelola dapat bertindak sebagai administrator Microsoft Entra yang berfungsi penuh di server fleksibel Azure Database for PostgreSQL. Ini adalah batasan di server tunggal Azure Database for PostgreSQL.
Administrator Microsoft Entra yang Anda buat melalui portal Azure, API, atau SQL memiliki izin yang sama dengan pengguna admin reguler yang Anda buat selama provisi server. Izin database untuk peran Microsoft Entra non-admin dikelola mirip dengan peran reguler.
Koneksi melalui identitas Microsoft Entra
Autentikasi Microsoft Entra mendukung metode menyambungkan ke database berikut dengan menggunakan identitas Microsoft Entra:
- Autentikasi kata sandi Microsoft Entra
- Autentikasi terintegrasi Microsoft Entra
- Microsoft Entra universal dengan autentikasi multifaktor
- Sertifikat aplikasi Direktori Aktif atau rahasia klien
- Identitas terkelola
Setelah mengautentikasi terhadap Direktori Aktif, Anda mengambil token. Token ini adalah kata sandi Anda untuk masuk.
Untuk mengonfigurasi ID Microsoft Entra dengan server fleksibel Azure Database for PostgreSQL, ikuti langkah-langkah dalam Mengonfigurasi dan masuk dengan ID Microsoft Entra untuk Azure Database for PostgreSQL - Server Fleksibel.
Pertimbangan lain
Jika Anda ingin perwakilan Microsoft Entra mengasumsikan kepemilikan database pengguna dalam prosedur penyebaran apa pun, tambahkan dependensi eksplisit dalam modul penyebaran Anda (Terraform atau Azure Resource Manager) untuk memastikan bahwa autentikasi Microsoft Entra diaktifkan sebelum Anda membuat database pengguna apa pun.
Beberapa prinsipal Microsoft Entra (pengguna, grup, perwakilan layanan, atau identitas terkelola) dapat dikonfigurasi sebagai administrator Microsoft Entra untuk instans server fleksibel Azure Database for PostgreSQL kapan saja.
Hanya administrator Microsoft Entra untuk PostgreSQL yang awalnya dapat tersambung ke instans server fleksibel Azure Database for PostgreSQL dengan menggunakan akun Microsoft Entra. Admin Azure Active Directory dapat mengonfigurasi pengguna database Microsoft Entra berikutnya.
Jika perwakilan Microsoft Entra dihapus dari ID Microsoft Entra, itu tetap sebagai peran PostgreSQL tetapi tidak dapat lagi memperoleh token akses baru. Dalam hal ini, meskipun peran yang cocok masih ada dalam database, peran tersebut tidak dapat mengautentikasi ke server. Administrator database perlu mentransfer kepemilikan dan menghilangkan peran secara manual.
Catatan
Pengguna Microsoft Entra yang dihapus masih dapat masuk hingga token kedaluwarsa (hingga 60 menit dari penerbitan token). Jika Anda juga menghapus pengguna dari server fleksibel Azure Database for PostgreSQL, akses ini segera dicabut.
Server fleksibel Azure Database for PostgreSQL cocok dengan token akses ke peran database dengan menggunakan ID pengguna Microsoft Entra unik pengguna, dibandingkan dengan menggunakan nama pengguna. Jika pengguna Microsoft Entra dihapus dan pengguna baru dibuat dengan nama yang sama, server fleksibel Azure Database for PostgreSQL menganggap bahwa pengguna yang berbeda. Oleh karena itu, jika pengguna dihapus dari ID Microsoft Entra dan pengguna baru ditambahkan dengan nama yang sama, pengguna baru tidak dapat terhubung dengan peran yang ada.
Tanya jawab umum
Apa saja mode autentikasi yang tersedia di server fleksibel Azure Database for PostgreSQL?
Server fleksibel Azure Database for PostgreSQL mendukung tiga mode autentikasi: Autentikasi PostgreSQL saja, autentikasi Microsoft Entra saja, dan autentikasi PostgreSQL dan Microsoft Entra.
Dapatkah saya mengonfigurasi beberapa administrator Microsoft Entra di server fleksibel saya?
Ya. Anda dapat mengonfigurasi beberapa administrator Microsoft Entra di server fleksibel Anda. Selama provisi, Anda hanya dapat mengatur satu administrator Microsoft Entra. Tetapi setelah server dibuat, Anda dapat mengatur administrator Microsoft Entra sebanyak yang Anda inginkan dengan masuk ke panel Autentikasi .
Apakah administrator Microsoft Entra hanya pengguna Microsoft Entra?
Tidak. Administrator Microsoft Entra dapat berupa pengguna, grup, perwakilan layanan, atau identitas terkelola.
Bisakah administrator Microsoft Entra membuat pengguna berbasis kata sandi lokal?
Administrator Microsoft Entra memiliki wewenang untuk mengelola pengguna Microsoft Entra dan pengguna berbasis kata sandi lokal.
Apa yang terjadi saat saya mengaktifkan autentikasi Microsoft Entra di server fleksibel saya?
Saat Anda mengatur autentikasi Microsoft Entra di tingkat server, ekstensi PGAadAuth diaktifkan dan server dimulai ulang.
Bagaimana cara masuk dengan menggunakan autentikasi Microsoft Entra?
Anda dapat menggunakan alat klien seperti psql atau pgAdmin untuk masuk ke server fleksibel Anda. Gunakan ID pengguna Microsoft Entra Anda sebagai nama pengguna dan token Microsoft Entra Anda sebagai kata sandi Anda.
Bagaimana cara menghasilkan token saya?
Anda menghasilkan token dengan menggunakan
az login. Untuk informasi selengkapnya, lihat Mengambil token akses Microsoft Entra.Apa perbedaan antara login grup dan login individual?
Satu-satunya perbedaan antara masuk sebagai anggota grup Microsoft Entra dan masuk sebagai pengguna Microsoft Entra individual terletak pada nama pengguna. Masuk sebagai pengguna individual memerlukan ID pengguna Microsoft Entra individual. Masuk sebagai anggota grup memerlukan nama grup. Dalam kedua skenario, Anda menggunakan token Microsoft Entra individual yang sama dengan kata sandi.
Berapa masa pakai tokennya?
Token pengguna berlaku hingga 1 jam. Token untuk identitas terkelola yang ditetapkan sistem berlaku hingga 24 jam.
Langkah berikutnya
- Untuk mempelajari cara membuat dan mengisi instans ID Microsoft Entra, lalu mengonfigurasi ID Microsoft Entra dengan server fleksibel Azure Database for PostgreSQL, lihat Mengonfigurasi dan masuk dengan ID Microsoft Entra untuk Azure Database for PostgreSQL - Server Fleksibel.
- Untuk mempelajari cara mengelola pengguna Microsoft Entra untuk server fleksibel Azure Database for PostgreSQL, lihat Mengelola peran Microsoft Entra di Azure Database for PostgreSQL - Server Fleksibel.
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk