다음을 통해 공유


Azure Database for PostgreSQL - 유연한 서버를 사용한 Microsoft Entra 인증

적용 대상: Azure Database for PostgreSQL - 유연한 서버

Microsoft Entra 인증은 Microsoft Entra ID에 정의된 ID를 사용하여 Azure Database for PostgreSQL 유연한 서버에 연결하는 메커니즘입니다. Microsoft Entra 인증을 사용하면 중앙 위치에서 데이터베이스 사용자 ID 및 기타 Microsoft 서비스를 관리할 수 있으므로 권한 관리가 간소화됩니다.

Microsoft Entra ID를 사용하면 다음과 같은 이점이 있습니다.

  • Azure 서비스 간 사용자 인증을 단일 방식으로 수행할 수 있습니다.
  • 암호 정책 및 암호 순환을 단일 장소에서 관리할 수 있습니다.
  • 다양한 형태의 인증을 지원하므로 암호를 저장할 필요가 없습니다.
  • 고객이 외부(Microsoft Entra ID) 그룹을 사용하여 데이터베이스 권한을 관리할 수 있습니다.
  • 데이터베이스 수준의 ID 인증을 위해 PostgreSQL 데이터베이스 역할이 사용됩니다.
  • Azure Database for PostgreSQL - 유연한 서버에 연결하는 애플리케이션에 대한 토큰 기반 인증이 지원됩니다.

배포 옵션 간의 Microsoft Entra ID 특징 및 기능 비교

Azure Database for PostgreSQL 유연한 서버용 Microsoft Entra 인증에는 Azure Database for PostgreSQL 단일 서버에서 수집한 피드백과 Microsoft의 경험이 통합되어 있습니다.

다음 표에는 Azure Database for PostgreSQL 단일 서버와 Azure Database for PostgreSQL 유연한 서버 간의 개괄적인 Microsoft Entra ID의 특징 및 기능 비교 목록이 나와 있습니다.

특징/기능 Azure Database for PostgreSQL 단일 서버 Azure Database for PostgreSQL 유연한 서버
여러 Microsoft Entra 관리자
관리 ID(시스템 및 사용자가 할당함) 부분 전체
초대된 사용자 지원
암호 인증을 끄는 기능 사용할 수 없음 사용 가능
서비스 주체가 그룹 멤버 역할을 할 수 있는 기능
Microsoft Entra 로그인 감사
PgBouncer 지원

Microsoft Entra ID가 Azure Database for PostgreSQL 유연한 서버에서 작동하는 방식

다음 개략적인 다이어그램은 Azure Database for PostgreSQL 유연한 서버에서 Microsoft Entra 인증을 사용하여 인증이 작동하는 방식을 요약해서 보여 줍니다. 화살표는 통신 경로 나타냅니다.

인증 흐름

Azure Database for PostgreSQL 유연한 서버로 Microsoft Entra ID를 구성하기 위한 단계는 Azure Database for PostgreSQL - 유연한 서버용 Microsoft Entra ID로 구성 및 로그인을 참조하세요.

PostgreSQL 관리자와 Microsoft Entra 관리자의 차이점

유연한 서버에 대해 Microsoft Entra 인증을 켜고 Microsoft Entra 보안 주체를 Microsoft Entra 관리자로 추가하는 경우 계정은 다음을 수행합니다.

  • 원래 PostgreSQL 관리자와 동일한 권한을 가져옵니다.
  • 서버에서 다른 Microsoft Entra 역할을 관리할 수 있습니다.

PostgreSQL 관리자는 로컬 암호 기반 사용자만 만들 수 있습니다. 그러나 Microsoft Entra 관리자는 Microsoft Entra 사용자와 로컬 암호 기반 사용자를 모두 관리할 수 있는 권한이 있습니다.

Microsoft Entra 관리자는 Microsoft Entra 사용자, Microsoft Entra 그룹, 서비스 주체 또는 관리 ID일 수 있습니다. 그룹 계정을 관리자로 사용하면 관리 효율성이 향상됩니다. 또한 Azure Database for PostgreSQL 유연한 서버 인스턴스 내에서 사용자 또는 권한을 변경하지 않고도 Microsoft Entra ID에서 그룹 구성원을 중앙 집중식으로 추가하고 제거할 수 있습니다.

여러 Microsoft Entra 관리자를 동시에 구성할 수 있습니다. 향상된 감사 및 규정 준수 요구 사항을 위해 Azure Database for PostgreSQL 유연한 서버 인스턴스에 대한 암호 인증을 비활성화하는 옵션이 있습니다.

관리자 구조

참고 항목

서비스 주체 또는 관리 ID는 Azure Database for PostgreSQL 유연한 서버에서 완벽하게 작동하는 Microsoft Entra 관리자 역할을 수행할 수 있습니다. 이전에는 이것이 Azure Database for PostgreSQL 단일 서버의 제한 사항이었습니다.

Azure Portal, API 또는 SQL을 통해 만든 Microsoft Entra 관리자는 서버 프로비전 중에 만든 일반 관리 사용자와 동일한 권한을 갖습니다. 비관리자 Microsoft Entra ID 역할에 대한 데이터베이스 권한은 일반 역할과 유사하게 관리됩니다.

Microsoft Entra ID를 통한 연결

Microsoft Entra 인증은 Microsoft Entra ID를 사용하여 데이터베이스에 연결하는 다음 방법을 지원합니다.

  • Microsoft Entra 암호 인증
  • Microsoft Entra 통합 인증
  • 다단계 인증을 활용한 Microsoft Entra Universal
  • Active Directory 애플리케이션 인증서 또는 클라이언트 암호
  • 관리 ID

Active Directory에 대해 인증을 수행한 후 토큰을 검색합니다. 이 토큰은 로그인에 사용되는 암호입니다.

Azure Database for PostgreSQL 유연한 서버로 Microsoft Entra ID를 구성하려면 Azure Database for PostgreSQL - 유연한 서버용 Microsoft Entra ID로 구성 및 로그인의 단계를 수행합니다.

기타 고려 사항

  • Microsoft Entra 보안 주체가 배포 절차 내에서 사용자 데이터베이스의 소유권을 가정하도록 하려면 배포(Terraform 또는 Azure Resource Manager) 모듈 내에 명시적 종속성을 추가하여 사용자 데이터베이스를 만들기 전에 Microsoft Entra 인증이 켜져 있는지 확인합니다.

  • 여러 Microsoft Entra 보안 주체(사용자, 그룹, 서비스 주체 또는 관리 ID)는 언제든지 Azure Database for PostgreSQL 유연한 서버 인스턴스에 대한 Microsoft Entra 관리자로 구성할 수 있습니다.

  • 처음에는 PostgreSQL용 Microsoft Entra 관리자만 Microsoft Entra 계정을 사용하여 Azure Database for PostgreSQL 유연한 서버 인스턴스에 연결할 수 있습니다. Active Directory 관리자가 이후의 Microsoft Entra 데이터베이스 사용자를 구성할 수 있습니다.

  • Microsoft Entra 보안 주체가 Microsoft Entra ID에서 삭제되면 여전히 PostgreSQL 역할로 유지되지만 새 액세스 토큰은 더 이상 받을 수 없습니다. 이 경우 일치하는 역할이 데이터베이스에 계속 존재하지만 서버에 인증할 수 없습니다. 데이터베이스 관리자는 소유권을 이전하고 역할을 수동으로 삭제해야 합니다.

    참고 항목

    삭제된 Microsoft Entra 사용자는 토큰이 만료될 때까지 계속 로그인할 수 있습니다(토큰 발급 후 최대 60분). Azure Database for PostgreSQL 유연한 서버에서도 사용자를 제거하면 이 액세스 권한이 즉시 해지됩니다.

  • Azure Database for PostgreSQL 유연한 서버는 사용자 이름을 사용하는 대신 사용자의 고유한 Microsoft Entra 사용자 ID를 사용하여 액세스 토큰을 데이터베이스 역할에 일치시킵니다. Microsoft Entra 사용자가 삭제되었고 동일한 이름으로 새 사용자가 생성되는 경우 Azure Database for PostgreSQL 유연한 서버는 이를 다른 사용자로 고려합니다. 따라서 Microsoft Entra ID에서 사용자를 삭제하고 동일한 이름의 새 사용자가 추가된 경우, 새 사용자가 기존 역할을 사용해서 연결할 수 없습니다.

자주 묻는 질문

  • Azure Database for PostgreSQL 유연한 서버에서 사용할 수 있는 인증 모드에는 무엇이 있나요?

    Azure Database for PostgreSQL 유연한 서버는 PostgreSQL 인증 전용, Microsoft Entra 인증 전용 그리고 PostgreSQL 및 Microsoft Entra 인증의 세 가지 인증 모드를 지원합니다.

  • 유연한 서버에서 여러 Microsoft Entra 관리자를 구성할 수 있나요?

    예. 유연한 서버에서 여러 Microsoft Entra 관리자를 구성할 수 있습니다. 프로비전하는 동안 단일 Microsoft Entra 관리자만 설정할 수 있습니다. 그러나 서버를 만든 후에는 인증 창으로 이동하여 원하는 만큼 Microsoft Entra 관리자를 설정할 수 있습니다.

  • Microsoft Entra 관리자는 Microsoft Entra 사용자만 될 수 있나요?

    아니요. Microsoft Entra 관리자는 사용자, 그룹, 서비스 주체 또는 관리 ID일 수 있습니다.

  • Microsoft Entra 관리자가 로컬 암호 기반 사용자를 만들 수 있나요?

    Microsoft Entra 관리자는 Microsoft Entra 사용자와 로컬 암호 기반 사용자를 모두 관리할 수 있는 권한이 있습니다.

  • 유연한 서버에서 Microsoft Entra 인증을 사용하도록 설정하면 어떻게 되나요?

    Microsoft Entra 인증을 서버 수준에서 설정하면 PGAadAuth 확장이 사용하도록 설정되고 서버가 다시 시작됩니다.

  • Microsoft Entra 인증을 사용하여 로그인하려면 어떻게 해야 하나요?

    psql 또는 pgAdmin 등과 같은 클라이언트 도구를 사용하여 유연한 서버에 로그인할 수 있습니다. Microsoft Entra 사용자 ID를 사용자 이름으로 사용하고 Microsoft Entra 토큰을 암호로 사용합니다.

  • 토큰을 생성하려면 어떻게 해야 하나요?

    az login을 사용하여 토큰을 생성합니다. 자세한 내용은 Microsoft Entra 액세스 토큰 검색을 참조하세요.

  • 그룹 로그인과 개별 로그인 간의 차이점은 무엇인가요?

    Microsoft Entra 그룹 구성원으로 로그인하고 개별 Microsoft Entra 사용자로 로그인하는 것의 유일한 차이점은 사용자 이름에 있습니다. 개별 사용자로 로그인하려면 개별 Microsoft Entra 사용자 ID가 필요합니다. 그룹 구성원으로 로그인하려면 그룹 이름이 필요합니다. 두 시나리오 모두 암호와 동일한 개별 Microsoft Entra 토큰을 사용합니다.

  • 토큰 수명이란 무엇인가요?

    사용자 토큰은 최대 1시간 동안 유효합니다. 시스템 할당 관리 ID에 대한 토큰은 최대 24시간 동안 유효합니다.

다음 단계