Bagikan melalui

Autentikasi Microsoft Entra dengan Azure Database for PostgreSQL

Autentikasi Microsoft Entra adalah mekanisme untuk menyambungkan ke Azure Database for PostgreSQL dengan menggunakan identitas yang ditentukan dalam ID Microsoft Entra. Dengan autentikasi Microsoft Entra, Anda dapat mengelola identitas pengguna database dan layanan Microsoft lainnya di lokasi pusat, yang menyederhanakan manajemen izin.

Manfaat menggunakan ID Microsoft Entra meliputi:

  • Autentikasi pengguna di seluruh layanan Azure dengan cara yang seragam.
  • Manajemen kebijakan kata sandi dan rotasi kata sandi di satu tempat.
  • Dukungan untuk beberapa bentuk autentikasi, yang dapat menghilangkan kebutuhan untuk menyimpan kata sandi.
  • Kemampuan pelanggan untuk mengelola izin database dengan menggunakan grup eksternal (MICROSOFT Entra ID).
  • Penggunaan peran database PostgreSQL untuk mengautentikasi identitas di tingkat database.
  • Dukungan autentikasi berbasis token untuk aplikasi yang terhubung ke instans server fleksibel Azure Database for PostgreSQL.

Cara kerja MICROSOFT Entra ID di Azure Database for PostgreSQL

Diagram tingkat tinggi berikut ini meringkas cara kerja autentikasi saat Anda menggunakan autentikasi Microsoft Entra dengan Azure Database for PostgreSQL. Panah menunjukkan jalur komunikasi.

Diagram alur autentikasi antara ID Microsoft Entra, komputer pengguna, dan server.

  1. Aplikasi Anda dapat meminta token dari titik akhir identitas Metadata Service instans server fleksibel Azure.
  2. Saat Anda menggunakan ID klien dan sertifikat, panggilan dilakukan ke ID Microsoft Entra untuk meminta token akses.
  3. MICROSOFT Entra ID mengembalikan token akses JSON Web Token (JWT). Aplikasi Anda mengirimkan token akses pada panggilan ke instans server fleksibel Anda.
  4. Instans server fleksibel memvalidasi token dengan ID Microsoft Entra.

Untuk langkah-langkah mengonfigurasi ID Microsoft Entra dengan Azure Database for PostgreSQL, lihat Menggunakan ID Microsoft Entra untuk autentikasi dengan Azure Database for PostgreSQL.

Perbedaan antara administrator PostgreSQL dan administrator Microsoft Entra

Saat Anda mengaktifkan autentikasi Microsoft Entra untuk perwakilan Microsoft Entra Anda sebagai administrator Microsoft Entra, akun tersebut:

  • Mendapatkan hak istimewa yang sama dengan administrator PostgreSQL asli.
  • Dapat mengelola peran Microsoft Entra lainnya di server.

Administrator PostgreSQL hanya dapat membuat pengguna berbasis kata sandi lokal. Tetapi administrator Microsoft Entra memiliki wewenang untuk mengelola pengguna Microsoft Entra dan pengguna berbasis kata sandi lokal.

Administrator Microsoft Entra dapat menjadi pengguna Microsoft Entra, grup Microsoft Entra, perwakilan layanan, atau identitas terkelola. Menggunakan akun grup sebagai administrator meningkatkan pengelolaan. Ini memungkinkan penambahan terpusat dan penghapusan anggota grup di ID Microsoft Entra tanpa mengubah pengguna atau izin dalam instans server fleksibel Azure Database for PostgreSQL.

Anda dapat mengonfigurasi beberapa administrator Microsoft Entra secara bersamaan. Anda dapat menonaktifkan autentikasi kata sandi ke instans server fleksibel Azure Database for PostgreSQL untuk persyaratan audit dan kepatuhan yang ditingkatkan.

Cuplikan layar struktur admin untuk ID Entra.

Administrator Microsoft Entra yang Anda buat melalui portal Microsoft Azure, API, atau SQL memiliki izin yang sama dengan pengguna admin reguler yang Anda buat selama provisi server. Anda mengelola izin database untuk peran Microsoft Entra nonadmin yang mirip dengan peran reguler.

Koneksi melalui identitas Microsoft Entra

Autentikasi Microsoft Entra mendukung metode menyambungkan ke database berikut dengan menggunakan identitas Microsoft Entra:

  • Autentikasi kata sandi Microsoft Entra
  • Autentikasi terintegrasi Microsoft Entra
  • Microsoft Entra universal dengan autentikasi multifaktor
  • Sertifikat aplikasi Direktori Aktif atau rahasia klien
  • Identitas terkelola

Setelah mengautentikasi terhadap Direktori Aktif, Anda mengambil token. Token ini adalah kata sandi Anda untuk masuk.

Untuk langkah-langkah mengonfigurasi ID Microsoft Entra dengan Azure Database for PostgreSQL, lihat Menggunakan ID Microsoft Entra untuk autentikasi dengan Azure Database for PostgreSQL.

Batasan dan pertimbangan

Saat Anda menggunakan autentikasi Microsoft Entra dengan Azure Database for PostgreSQL, ingatlah poin-poin berikut:

  • Agar perwakilan Microsoft Entra mengambil kepemilikan database pengguna dalam prosedur penyebaran apa pun, tambahkan dependensi eksplisit dalam modul penyebaran Anda (Terraform atau Azure Resource Manager) untuk memastikan bahwa autentikasi Microsoft Entra diaktifkan sebelum Anda membuat database pengguna apa pun.

  • Anda dapat mengonfigurasi beberapa prinsipal Microsoft Entra (pengguna, grup, perwakilan layanan, atau identitas terkelola) sebagai administrator Microsoft Entra untuk instans server fleksibel Azure Database for PostgreSQL kapan saja.

  • Hanya administrator Microsoft Entra untuk PostgreSQL yang awalnya dapat tersambung ke instans server fleksibel Azure Database for PostgreSQL dengan menggunakan akun Microsoft Entra. Administrator Direktori Aktif dapat mengonfigurasi pengguna database Microsoft Entra berikutnya.

  • Jika Anda menghapus prinsipal Microsoft Entra dari ID Microsoft Entra, entitas utama tetap sebagai peran PostgreSQL tetapi tidak dapat lagi memperoleh token akses baru. Dalam hal ini, meskipun peran yang cocok masih ada dalam database, peran tersebut tidak dapat mengautentikasi ke server. Administrator database perlu mentransfer kepemilikan dan menghilangkan peran secara manual.

    Nota

    Pengguna Microsoft Entra yang dihapus masih dapat masuk hingga token kedaluwarsa (hingga 60 menit dari penerbitan token). Jika Anda juga menghapus pengguna dari Azure Database for PostgreSQL, akses ini segera dicabut.

  • Azure Database for PostgreSQL cocok dengan token akses ke peran database dengan menggunakan ID pengguna Microsoft Entra unik pengguna, dibandingkan dengan menggunakan nama pengguna. Jika Anda menghapus pengguna Microsoft Entra dan membuat pengguna baru dengan nama yang sama, Azure Database for PostgreSQL menganggap bahwa pengguna yang berbeda. Oleh karena itu, jika Anda menghapus pengguna dari ID Microsoft Entra dan menambahkan pengguna baru dengan nama yang sama, pengguna baru tidak dapat terhubung dengan peran yang ada.

Tanya jawab umum

  • Apa saja mode autentikasi yang tersedia di Azure Database for PostgreSQL ?

    Azure Database for PostgreSQL mendukung tiga mode autentikasi: Autentikasi PostgreSQL saja, autentikasi Microsoft Entra saja, dan autentikasi PostgreSQL dan Microsoft Entra.

  • Dapatkah saya mengonfigurasi beberapa administrator Microsoft Entra pada instans server fleksibel saya?

    Ya. Anda dapat mengonfigurasi beberapa administrator Microsoft Entra pada instans server fleksibel Anda. Selama provisi, Anda hanya dapat mengatur satu administrator Microsoft Entra. Tetapi setelah server dibuat, Anda dapat mengatur administrator Microsoft Entra sebanyak yang Anda inginkan dengan masuk ke panel Autentikasi .

  • Apakah administrator Microsoft Entra hanya pengguna Microsoft Entra?

    Tidak. Administrator Microsoft Entra dapat berupa pengguna, grup, perwakilan layanan, atau identitas terkelola.

  • Bisakah administrator Microsoft Entra membuat pengguna berbasis kata sandi lokal?

    Administrator Microsoft Entra memiliki wewenang untuk mengelola pengguna Microsoft Entra dan pengguna berbasis kata sandi lokal.

  • Apa yang terjadi saat saya mengaktifkan autentikasi Microsoft Entra di instans server fleksibel Azure Database for PostgreSQL saya?

    Saat Anda mengatur autentikasi Microsoft Entra di tingkat server, ekstensi PGAadAuth diaktifkan dan server dimulai ulang.

  • Bagaimana cara masuk dengan menggunakan autentikasi Microsoft Entra?

    Anda dapat menggunakan alat klien seperti psql atau pgAdmin untuk masuk ke instans server fleksibel Anda. Gunakan ID pengguna Microsoft Entra Anda sebagai nama pengguna dan token Microsoft Entra Anda sebagai kata sandi Anda.

  • Bagaimana cara menghasilkan token saya?

    Anda menghasilkan token dengan menggunakan az login. Untuk informasi selengkapnya, lihat Mengambil token akses Microsoft Entra.

  • Apa perbedaan antara login grup dan login individual?

    Satu-satunya perbedaan antara masuk sebagai anggota grup Microsoft Entra dan masuk sebagai pengguna Microsoft Entra individual terletak pada nama pengguna. Masuk sebagai pengguna individual memerlukan ID pengguna Microsoft Entra individual. Masuk sebagai anggota grup memerlukan nama grup. Dalam kedua skenario, Anda menggunakan token Microsoft Entra individual yang sama dengan kata sandi.

  • Apa perbedaan antara autentikasi grup dan autentikasi individual?

    Satu-satunya perbedaan antara masuk sebagai anggota grup Microsoft Entra dan masuk sebagai pengguna Microsoft Entra individual terletak pada nama pengguna. Masuk sebagai pengguna individual memerlukan ID pengguna Microsoft Entra individual. Masuk sebagai anggota grup memerlukan nama grup. Dalam kedua skenario, Anda menggunakan token Microsoft Entra individual yang sama dengan kata sandi.

Berapa masa pakai tokennya?

Token pengguna berlaku hingga 1 jam. Token untuk identitas terkelola yang ditetapkan sistem berlaku hingga 24 jam.

Konten terkait

  • Last updated on