Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Azure Cosmos DB per MongoDB vCore supporta l'integrazione con Microsoft Entra ID e l'autenticazione nativa di DocumentDB. Ogni cluster vCore di Azure Cosmos DB per MongoDB viene creato con l'autenticazione nativa di DocumentDB abilitata e un utente amministratore predefinito.
È possibile abilitare l'autenticazione di Microsoft Entra ID in un cluster oltre al metodo di autenticazione nativo di DocumentDB o al suo posto. È possibile configurare i metodi di autenticazione in ogni cluster vCore di Azure Cosmos DB per MongoDB in modo indipendente. Se è necessario modificare il metodo di autenticazione, è possibile farlo in qualsiasi momento dopo il completamento del provisioning del cluster. La modifica dei metodi di autenticazione non richiede il riavvio del cluster.
Autenticazione dell'ID Microsoft Entra
L'autenticazione con ID Microsoft Entra è un meccanismo di connessione ad Azure Cosmos DB per MongoDB vCore usando le identità definite in Microsoft Entra ID. Con l'autenticazione microsoft Entra ID è possibile gestire le identità utente del database e altri servizi Microsoft in una posizione centrale, semplificando la gestione delle autorizzazioni e l'applicazione della conformità dei servizi di gestione delle identità.
I vantaggi dell'uso di Microsoft Entra ID per l'autenticazione includono:
Autenticazione degli utenti tra i servizi di Azure in modo uniforme
Gestione dei criteri delle password e della rotazione delle password in un'unica posizione
Più forme di autenticazione supportate da Microsoft Entra ID eliminando la necessità di archiviare le password
Supporto dell'autenticazione basata su token per le applicazioni che si connettono ai cluster vCore di Azure Cosmos DB per MongoDB
L'interoperabilità con i driver MongoDB viene fornita tramite il supporto OIDC (OpenID Connect) in Microsoft Entra ID. OIDC è un protocollo di autenticazione basato sul protocollo OAuth2 usato per l'autorizzazione. OIDC usa i flussi di messaggi standardizzati da OAuth2 per fornire servizi di identità. Quando è necessario autenticarsi in un cluster vCore di Azure Cosmos DB per MongoDB tramite Microsoft Entra ID, fornire un token di sicurezza Microsoft Entra ID utilizzando l'identificazione OIDC.
Accesso amministrativo e non amministrativo per i principali ID di Microsoft Entra
Quando l'autenticazione di Microsoft Entra ID è abilitata in un cluster vCore di Azure Cosmos DB per MongoDB, è possibile aggiungere una o più entità ID Microsoft Entra come utenti amministratori a tale cluster. L'amministratore di Microsoft Entra ID può essere un utente di Microsoft Entra ID, un principale del servizio o un'identità gestita. È possibile configurare più amministratori di Microsoft Entra ID in qualsiasi momento.
Inoltre, uno o più utenti Microsoft Entra ID non amministrativi possono essere aggiunti a un cluster in qualsiasi momento dopo l'abilitazione dell'autenticazione di Microsoft Entra ID. Gli utenti non amministrativi vengono spesso usati per le attività di produzione in corso che non richiedono privilegi amministrativi.
Considerazioni
Il cluster deve avere l'autenticazione nativa abilitata oppure l'autenticazione nativa e l'ID Microsoft Entra abilitati. Microsoft Entra ID non può essere l'unico metodo di autenticazione abilitato in un cluster.
È possibile configurare più principali ID Microsoft Entra come amministratori di ID Microsoft Entra per un cluster di vCore di Azure Cosmos DB per MongoDB in qualsiasi momento. Ad esempio, è possibile configurare questi tipi di identità per tutti gli amministratori nel cluster contemporaneamente:
- Identità umane
- Identità gestite assegnate dall'utente
- Identità gestite assegnate dal sistema
Suggerimento
Esistono molti altri tipi di identità disponibili in Microsoft Entra ID. Per altre informazioni, vedere Nozioni fondamentali sull’identità.
Le entità ID Microsoft Entra sono persistenti. Se un principale ID Microsoft Entra viene eliminato dal servizio Microsoft Entra ID, rimane comunque come utente nel cluster, ma non è più in grado di acquisire nuovi token di accesso. In questo caso, anche se il ruolo corrispondente esiste ancora nel cluster, non è in grado di eseguire l'autenticazione nei nodi del cluster. Gli amministratori del database devono trasferire la proprietà e eliminare manualmente tali ruoli.
Annotazioni
L'accesso con un'entità eliminata può comunque verificarsi fino alla scadenza del token (fino a 90 minuti dall'emissione del token). Se si rimuove anche l'utente dal cluster vCore di Azure Cosmos DB per MongoDB, questo accesso viene revocato immediatamente.
Limitazioni
La funzionalità di autenticazione microsoft Entra ID presenta queste limitazioni correnti:
Questa funzionalità non è supportata nei cluster di replica.
Questa funzionalità non è supportata nei cluster ripristinati.
Questa funzionalità non è supportata con mongo shell (
mongosh) o MongoDB Compass.