Autenticazione di Microsoft Entra per Database di Azure per MySQL - Server flessibile
SI APPLICA A:
Database di Azure per MySQL - Server flessibile
L'autenticazione di Microsoft Entra è un meccanismo di connessione a Database di Azure per MySQL server flessibile usando le identità definite in Microsoft Entra ID. Con l'autenticazione di Microsoft Entra, è possibile gestire le identità utente del database e altri servizi Microsoft in una posizione centrale, semplificando la gestione delle autorizzazioni.
Vantaggi
- Autenticazione degli utenti nei servizi di Azure in modo uniforme
- Gestione dei criteri delle password e della rotazione delle password in un'unica posizione
- Più forme di autenticazione supportate da Microsoft Entra ID, che possono eliminare la necessità di archiviare le password
- I clienti possono gestire le autorizzazioni del database usando gruppi esterni (Microsoft Entra ID).
- L'autenticazione di Microsoft Entra usa gli utenti del database MySQL per autenticare le identità a livello di database
- Supporto dell'autenticazione basata su token per le applicazioni che si connettono a Database di Azure per MySQL server flessibile
Usare la procedura seguente per configurare e usare l'autenticazione di Microsoft Entra
Selezionare il metodo di autenticazione preferito per accedere al server flessibile. Per impostazione predefinita, l'autenticazione selezionata è impostata solo sull'autenticazione MySQL. Selezionare Solo autenticazione Di Microsoft Entra o Autenticazione MySQL e Microsoft Entra per abilitare l'autenticazione di Microsoft Entra.
Selezionare l'identità gestita dall'utente (UMI) con i privilegi seguenti per configurare l'autenticazione di Microsoft Entra:
- User.Read.All: consente l'accesso alle informazioni utente di Microsoft Entra.
- GroupMember.Read.All: consente l'accesso alle informazioni del gruppo Entra di Microsoft.
- Application.Read.ALL: consente l'accesso alle informazioni dell'entità servizio (applicazione) di Microsoft Entra.
Aggiungere Microsoft Entra Amministrazione. Può trattarsi di utenti o gruppi di Microsoft Entra, che ha accesso a un server flessibile.
Creare utenti di database nel database mappati alle identità di Microsoft Entra.
Connessione al database recuperando un token per un'identità e l'accesso di Microsoft Entra.
Nota
Per istruzioni dettagliate su come configurare l'autenticazione di Microsoft Entra con Database di Azure per MySQL server flessibile, vedere Informazioni su come configurare l'autenticazione di Microsoft Entra per Database di Azure per MySQL server flessibile
Architettura
Le identità gestite dall'utente sono necessarie per l'autenticazione di Microsoft Entra. Quando un'identità assegnata dall'utente è collegata al server flessibile, il provider di risorse di identità gestita rilascia un certificato internamente a tale identità. Quando l'identità gestita viene eliminata, l'entità servizio corrispondente viene rimossa automaticamente.
Il servizio usa quindi l'identità gestita per richiedere token di accesso per i servizi che supportano l'autenticazione di Microsoft Entra. Database di Azure supporta attualmente solo un'identità gestita assegnata dall'utente per Database di Azure per MySQL server flessibile. Per altre informazioni, vedere Tipi di identità gestite in Azure.
Il diagramma generale seguente riepiloga il funzionamento dell'autenticazione usando l'autenticazione di Microsoft Entra con Database di Azure per MySQL server flessibile. Le frecce indicano i percorsi di comunicazione.
- L'applicazione può richiedere un token dall'endpoint dell'identità del servizio metadati dell'istanza di Azure.
- Quando si usa l'ID client e il certificato, viene effettuata una chiamata all'ID Microsoft Entra per richiedere un token di accesso.
- Un token di accesso JSON Web Token (JWT) viene restituito da Microsoft Entra ID. L'applicazione invia il token di accesso in una chiamata al server flessibile.
- Il server flessibile convalida il token con Microsoft Entra ID.
Struttura dell'account amministratore
Esistono due account Amministrazione istrator per Database di Azure per MySQL server flessibile quando si usa l'autenticazione di Microsoft Entra: l'amministratore mySQL originale e l'amministratore di Microsoft Entra.
Solo l'amministratore basato su un account Microsoft Entra può creare il primo utente del database indipendente microsoft Entra ID in un database utente. L'accesso dell'amministratore di Microsoft Entra può essere un utente di Microsoft Entra o un gruppo Microsoft Entra. Quando l'amministratore è un account di gruppo, può essere usato da qualsiasi membro del gruppo, abilitando più amministratori di Microsoft Entra per il server flessibile. L'uso di un account di gruppo come amministratore migliora la gestibilità consentendo di aggiungere e rimuovere centralmente i membri del gruppo in Microsoft Entra ID senza modificare gli utenti o le autorizzazioni nel server flessibile. È possibile configurare un solo amministratore di Microsoft Entra (un utente o un gruppo) alla volta.
I metodi di autenticazione per l'accesso al server flessibile includono:
Solo autenticazione mySQL: questa è l'opzione predefinita. Per accedere al server flessibile, è possibile usare solo l'autenticazione mySQL nativa con accesso e password MySQL.
Solo l'autenticazione di Microsoft Entra : l'autenticazione nativa mySQL è disabilitata e gli utenti possono eseguire l'autenticazione usando solo l'utente e il token Microsoft Entra. Per abilitare questa modalità, il parametro del server aad_auth_only è impostato su ON.
Autenticazione con MySQL e Microsoft Entra ID: sono supportati sia l'autenticazione MySQL nativa che l'autenticazione Microsoft Entra. Per abilitare questa modalità, il parametro del server aad_auth_only è impostato su OFF.
Autorizzazioni
Per consentire alla MESSAGGISTICA unificata di leggere da Microsoft Graph come identità del server, sono necessarie le autorizzazioni seguenti. In alternativa, assegnare alla messaggistica unificata il ruolo Lettori directory.
Importante
Solo un Amministrazione istrator globale o un Amministrazione istrator con privilegi può concedere queste autorizzazioni.
- User.Read.All: consente l'accesso alle informazioni utente di Microsoft Entra.
- GroupMember.Read.All: consente l'accesso alle informazioni del gruppo Entra di Microsoft.
- Application.Read.ALL: consente l'accesso alle informazioni dell'entità servizio (applicazione) di Microsoft Entra.
Per indicazioni su come concedere e usare le autorizzazioni, vedere Panoramica delle autorizzazioni di Microsoft Graph
Dopo aver concesso le autorizzazioni all'MESSAGGISTICA unificata, queste vengono abilitate per tutti i server creati con l'messaggistica unificata assegnata come identità del server.
Convalida dei token
L'autenticazione di Microsoft Entra in Database di Azure per MySQL server flessibile garantisce che l'utente esista nel server MySQL e verifichi la validità del token convalidando il contenuto del token. Vengono eseguiti i passaggi di convalida del token seguenti:
- Il token è firmato da Microsoft Entra ID e non è stato manomesso.
- Il token è stato rilasciato da Microsoft Entra ID per il tenant associato al server.
- Il token non è scaduto.
- Il token è per la risorsa server flessibile e non per un'altra risorsa di Azure.
Connessione uso delle identità di Microsoft Entra
L'autenticazione di Microsoft Entra supporta i metodi seguenti per la connessione a un database tramite le identità di Microsoft Entra:
- Microsoft Entra Password
- Integrato in Microsoft Entra
- Microsoft Entra Universal con MFA
- Uso di certificati dell'applicazione o segreti client di Active Directory
- Identità gestita
Dopo l'autenticazione in Active Directory, si recupera un token. Questo token è la password per l'accesso.
Nota
Tale operazione di gestione, ad esempio l'aggiunta di nuovi utenti, è supportata solo per i ruoli utente di Microsoft Entra.
Nota
Per altre informazioni su come connettersi con un token di Active Directory, vedere Configurare e accedere con Microsoft Entra ID for Database di Azure per MySQL - Server flessibile.
Altre considerazioni
È possibile configurare un solo amministratore di Microsoft Entra per server flessibile in qualsiasi momento.
Solo un amministratore di Microsoft Entra per MySQL può inizialmente connettersi al server flessibile usando un account Microsoft Entra. L'amministratore di Active Directory può configurare gli utenti successivi del database Microsoft Entra o un gruppo Microsoft Entra. Quando l'amministratore è un account di gruppo, può essere usato da qualsiasi membro del gruppo, abilitando più amministratori di Microsoft Entra per il server flessibile. L'uso di un account di gruppo come amministratore migliora la gestibilità consentendo di aggiungere e rimuovere centralmente i membri del gruppo in Microsoft Entra ID senza modificare gli utenti o le autorizzazioni nel server flessibile.
Se un utente viene eliminato dall'ID Microsoft Entra, tale utente non può più eseguire l'autenticazione con Microsoft Entra ID. Pertanto, l'acquisizione di un token di accesso per tale utente non è più possibile. Anche se l'utente corrispondente è ancora nel database, la connessione al server con tale utente non è possibile.
Nota
L'accesso con l'utente di Microsoft Entra eliminato può comunque essere eseguito fino alla scadenza del token (fino a 60 minuti dall'emissione del token). Se si rimuove l'utente da Database di Azure per MySQL server flessibile, questo accesso viene revocato immediatamente.
Se l'amministratore di Microsoft Entra viene rimosso dal server, il server non è più associato a un tenant di Microsoft Entra e pertanto tutti gli account di accesso di Microsoft Entra sono disabilitati per il server. L'aggiunta di un nuovo amministratore di Microsoft Entra dallo stesso tenant abilita nuovamente gli account di accesso di Microsoft Entra.
Un server flessibile corrisponde ai token di accesso agli utenti del server flessibile Database di Azure per MySQL usando l'ID utente microsoft Entra univoco dell'utente anziché il nome utente. Ciò significa che se un utente di Microsoft Entra viene eliminato in Microsoft Entra ID e viene creato un nuovo utente con lo stesso nome, il server flessibile considera che un utente diverso. Pertanto, se un utente viene eliminato dall'ID Microsoft Entra e quindi viene aggiunto un nuovo utente con lo stesso nome, il nuovo utente non è in grado di connettersi con l'utente esistente.
Nota
Le sottoscrizioni di un server flessibile con l'autenticazione Microsoft Entra abilitata non possono essere trasferite a un altro tenant o a un'altra directory.
Passaggi successivi
- Per informazioni su come configurare Microsoft Entra ID con Database di Azure per MySQL server flessibile, vedere Configurare l'autenticazione di Microsoft Entra per Database di Azure per MySQL server flessibile