Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Artikel ini menjelaskan cara membuat peran database berkemampuan ID Microsoft Entra dalam instans server fleksibel Azure Database for PostgreSQL.
Untuk mempelajari tentang cara membuat dan mengelola pengguna langganan Azure dan hak istimewa mereka, lihat artikel Kontrol akses berbasis peran Azure (Azure RBAC) atau tinjau cara menyesuaikan peran.
Nota
Panduan ini mengasumsikan Anda sudah mengaktifkan autentikasi Microsoft Entra pada instans server fleksibel Azure Database for PostgreSQL Anda.
Membuat atau menghapus administrator Microsoft Entra menggunakan api portal Azure atau Azure Resource Manager (ARM)
- Buka halaman Autentikasi untuk instans server fleksibel Azure Database for PostgreSQL Anda di portal Microsoft Azure.
- Untuk menambahkan administrator, pilih Tambahkan Admin Microsoft Entra dan pilih pengguna, grup, aplikasi, atau identitas terkelola dari penyewa Microsoft Entra saat ini.
- Untuk menghapus administrator, pilih ikon Hapus untuk administrator yang ingin Anda hapus.
- Pilih Simpan dan tunggu hingga operasi provisi selesai.
Nota
Dukungan untuk manajemen Administrator Microsoft Entra melalui Azure SDK, az cli, dan Azure PowerShell akan segera hadir.
Mengelola peran Microsoft Entra menggunakan SQL
Setelah membuat administrator Microsoft Entra pertama dari portal Microsoft Azure atau API, Anda dapat menggunakan peran administrator untuk mengelola peran Microsoft Entra dalam instans server fleksibel Azure Database for PostgreSQL Anda.
Untuk pengalaman terbaik dengan integrasi Microsoft Entra di Azure Database for PostgreSQL, sebaiknya kenali platform identitas Microsoft.
Jenis utama
Azure Database for PostgreSQL secara internal menyimpan pemetaan antara peran database PostgreSQL dan pengidentifikasi unik objek Microsoft Entra. Setiap peran database PostgreSQL dapat dipetakan ke salah satu jenis objek Microsoft Entra berikut:
- Pengguna - Termasuk pengguna lokal dan tamu penyewa.
- Service Principal - Termasuk Aplikasi dan Identitas Kelola
- Grup - Saat peran PostgreSQL ditautkan ke grup Microsoft Entra, setiap pengguna atau anggota perwakilan layanan grup ini dapat terhubung ke instans server fleksibel Azure Database for PostgreSQL dengan peran grup.
Mencantumkan peran Microsoft Entra menggunakan SQL
select * from pg_catalog.pgaadauth_list_principals(isAdminValue boolean)
Arguments
isAdminValue
boolean - Ketika true, mengembalikan pengguna admin. Ketika false dijalankan, mengembalikan semua pengguna Microsoft Entra, termasuk admin Microsoft Entra dan nonadmin.
Tipe pengembalian
TABLE(rolename name, principalType text, objectId text, tenantId text, isMfa integer, isAdmin integer) - Tabel dengan skema berikut:
-
rolename- Nama peran dalam PostgreSQL. -
principalType- Jenis entitas utama dalam ID Microsoft Entra. Bisa berupauser,group, atauservice. -
objectId- Pengidentifikasi objek di ID Microsoft Entra untuk prinsip ini. -
tenantId- Pengidentifikasi penyewa yang menghosting prinsipal ini di Microsoft Entra ID. -
isMfa- Mengembalikan nilai1jika pengguna/peran memiliki MFA yang diberlakukan. -
isAdmin- Mengembalikan nilai1jika pengguna/peran adalah administrator di PostgreSQL.
Membuat pengguna atau peran dengan nama utama Microsoft Entra
select * from pg_catalog.pgaadauth_create_principal(roleName text, isAdmin boolean, isMfa boolean)
Arguments
roleName
text nama peran yang akan dibuat. Nama ini harus cocok dengan nama perwakilan Microsoft Entra.
- Untuk pengguna, gunakan Nama Prinsipal Pengguna dari profil. Untuk pengguna tamu, sertakan nama lengkap di domain rumah mereka dengan tag #EXT#.
- Untuk grup dan perwakilan layanan, gunakan nama tampilan. Nama harus unik di penyewa.
isAdmin
boolean ketika true, membuat pengguna admin PostgreSQL (anggota peran azure_pg_admin dan dengan izin CREATEROLE dan CREATEDB). Saat false, membuat pengguna PostgreSQL biasa.
isMfa
boolean ketika true, memberlakukan autentikasi multifaktor untuk pengguna PostgreSQL ini.
Penting
Bendera isMfa menguji mfa klaim dalam token ID Microsoft Entra, tetapi tidak berdampak pada alur akuisisi token. Misalnya, jika penyewa utama tidak dikonfigurasi untuk autentikasi multifaktor, itu mencegah penggunaan fitur. Dan jika penyewa memerlukan autentikasi multifaktor untuk semua token, itu membuat bendera ini tidak berguna.
Tipe pengembalian
text nilai tunggal berupa string "Membuat peran untuk roleName", di mana roleName adalah argumen yang Anda berikan untuk parameter roleName.
Menghapus peran dengan nama prinsipal Microsoft Entra
Anda dapat menghapus peran yang sesuai dengan prinsipal ID Microsoft Entra dengan tiga cara:
Portal Microsoft Azure
The Azure Resource Manager (ARM) API
Dengan menjalankan pernyataan SQL berikut:
DROP ROLE rolename;
Nota
Portal Microsoft Azure hanya menampilkan peran admin. Untuk menghilangkan peran nonadmin, gunakan API Azure Resource Manager (ARM) atau pernyataan SQL.
Membuat peran menggunakan pengidentifikasi objek ID Microsoft Entra
select * from pg_catalog.pgaadauth_create_principal_with_oid(roleName text, objectId text, objectType text, isAdmin boolean, isMfa boolean)
Arguments
roleName
text nama peran yang akan dibuat.
objectId
text pengidentifikasi objek unik objek Microsoft Entra.
- Untuk pengguna, grup, dan identitas terkelola, temukan
objectIddengan mencari nama objek di halaman ID Microsoft Entra di portal Microsoft Azure. Lihat panduan ini sebagai contoh. - Untuk grup dan perwakilan layanan, gunakan nama tampilan. Nama harus unik di penyewa.
- Untuk aplikasi, gunakan objectId dari Perwakilan Layanan yang sesuai. Di portal Microsoft Azure, temukan objectId yang diperlukan di halaman Aplikasi Perusahaan .
objectType
text tipe objek Microsoft Entra yang akan ditautkan ke peran ini. Bisa berupa user, group, atau service.
isAdmin
boolean ketika true, membuat pengguna admin PostgreSQL (anggota peran azure_pg_admin dan dengan izin CREATEROLE dan CREATEDB). Saat false, membuat pengguna PostgreSQL biasa.
isMfa
boolean ketika true, memberlakukan autentikasi multifaktor untuk pengguna PostgreSQL ini.
Penting
Bendera isMfa menguji mfa klaim dalam token ID Microsoft Entra, tetapi tidak berdampak pada alur akuisisi token. Misalnya, jika penyewa utama tidak dikonfigurasi untuk autentikasi multifaktor, itu mencegah penggunaan fitur. Dan jika penyewa memerlukan autentikasi multifaktor untuk semua token, itu membuat bendera ini tidak berguna.
Tipe pengembalian
text nilai tunggal berupa string "Membuat peran untuk roleName", di mana roleName adalah argumen yang Anda berikan untuk parameter roleName.
Mengaktifkan autentikasi Microsoft Entra untuk peran PostgreSQL yang ada menggunakan SQL
Azure Database for PostgreSQL menggunakan label keamanan yang terkait dengan peran database untuk menyimpan pemetaan ID Microsoft Entra yang sesuai.
Gunakan SQL berikut untuk menetapkan label keamanan yang diperlukan dan memetakannya ke objek Microsoft Entra:
SECURITY LABEL for "pgaadauth" on role "<roleName>" is 'aadauth,oid=<objectId>,type=<objectType>,admin';
Arguments
roleName
text nama peran PostgreSQL yang ada untuk mengaktifkan autentikasi Microsoft Entra.
objectId
text pengidentifikasi objek unik objek Microsoft Entra.
objectType
text diatur ke user, group, atau service (untuk aplikasi atau identitas terkelola yang terhubung di bawah kredensial layanan mereka sendiri).
admin
text diatur untuk hadir atau tidak hadir. Jika ada di label keamanan, pengguna atau peran dapat mengelola peran ID Microsoft Entra lainnya.