Delen via

Microsoft Entra ID gebruiken voor verificatie bij PostgreSQL

  • Artikel

VAN TOEPASSING OP: Azure Database for PostgreSQL - enkele server

Belangrijk

Azure Database for PostgreSQL - Enkele server bevindt zich op het buitengebruikstellingspad. We raden u ten zeerste aan om een upgrade uit te voeren naar Azure Database for PostgreSQL - Flexible Server. Zie Wat gebeurt er met Azure Database for PostgreSQL Enkele server voor meer informatie over migreren naar Azure Database for PostgreSQL - Flexible Server.

Microsoft Entra-verificatie is een mechanisme om verbinding te maken met Azure Database for PostgreSQL met behulp van identiteiten die zijn gedefinieerd in Microsoft Entra-id. Met Microsoft Entra-verificatie kunt u databasegebruikersidentiteiten en andere Microsoft-services op een centrale locatie beheren, waardoor het beheer van machtigingen wordt vereenvoudigd.

Voordelen van het gebruik van Microsoft Entra ID zijn:

  • Verificatie van gebruikers in Azure Services op een uniforme manier
  • Beheer van wachtwoordbeleid en wachtwoordrotatie op één plaats
  • Meerdere vormen van verificatie die worden ondersteund door Microsoft Entra ID, waardoor wachtwoorden niet meer hoeven te worden opgeslagen
  • Klanten kunnen databasemachtigingen beheren met behulp van externe (Microsoft Entra ID)-groepen.
  • Microsoft Entra-verificatie maakt gebruik van PostgreSQL-databaserollen om identiteiten op databaseniveau te verifiëren
  • Ondersteuning van verificatie op basis van tokens voor toepassingen die verbinding maken met Azure Database for PostgreSQL

Gebruik het volgende proces om Microsoft Entra-verificatie te configureren en te gebruiken:

  1. Maak microsoft Entra-id en vul deze indien nodig in met gebruikersidentiteiten.
  2. U kunt de Active Directory die momenteel aan uw Azure-abonnement is gekoppeld, desgewenst koppelen of wijzigen.
  3. Maak een Microsoft Entra-beheerder voor de Azure Database for PostgreSQL-server.
  4. Maak databasegebruikers in uw database die zijn toegewezen aan Microsoft Entra-identiteiten.
  5. Maak verbinding met uw database door een token op te halen voor een Microsoft Entra-identiteit en u aan te melden.

Notitie

Zie Microsoft Entra ID configureren en aanmelden met Microsoft EntraSQL voor Azure Database for PostgreSQL voor meer informatie over het maken en vullen van Microsoft Entra-id en het configureren van Microsoft Entra-id voor Azure Database for PostgreSQL.

Architectuur

In het volgende diagram op hoog niveau ziet u hoe verificatie werkt met Behulp van Microsoft Entra-verificatie met Azure Database for PostgreSQL. De pijlen geven communicatiepaden aan.

verificatiestroom

Beheerdersstructuur

Wanneer u Microsoft Entra-verificatie gebruikt, zijn er twee beheerdersaccounts voor de PostgreSQL-server; de oorspronkelijke PostgreSQL-beheerder en de Microsoft Entra-beheerder. Alleen de beheerder op basis van een Microsoft Entra-account kan de eerste Microsoft Entra-id in een gebruikersdatabase maken. De aanmelding van de Microsoft Entra-beheerder kan een Microsoft Entra-gebruiker of een Microsoft Entra-groep zijn. Wanneer de beheerder een groepsaccount is, kan het worden gebruikt door elk groepslid, waardoor meerdere Microsoft Entra-beheerders voor de PostgreSQL-server worden ingeschakeld. Het gebruik van een groepsaccount als beheerder verbetert de beheerbaarheid doordat u groepsleden centraal kunt toevoegen en verwijderen in Microsoft Entra ID zonder de gebruikers of machtigingen op de PostgreSQL-server te wijzigen. Er kan slechts één Microsoft Entra-beheerder (een gebruiker of groep) op elk gewenst moment worden geconfigureerd.

beheerdersstructuur

Notitie

Service-principal of beheerde identiteit kan niet fungeren als volledig functionele Microsoft Entra-beheerder in één server en deze beperking is opgelost in onze flexibele server

Machtigingen

Als u nieuwe gebruikers wilt maken die kunnen worden geverifieerd met Microsoft Entra ID, moet u de azure_ad_admin rol in de database hebben. Deze rol wordt toegewezen door het Microsoft Entra Administrator-account te configureren voor een specifieke Azure Database for PostgreSQL-server.

Als u een nieuwe Microsoft Entra-databasegebruiker wilt maken, moet u verbinding maken als Microsoft Entra-beheerder. Dit wordt gedemonstreerd in Configureren en aanmelden met Microsoft Entra ID voor Azure Database for PostgreSQL.

Elke Microsoft Entra-verificatie is alleen mogelijk als de Microsoft Entra-beheerder is gemaakt voor Azure Database for PostgreSQL. Als de Microsoft Entra-beheerder van de server is verwijderd, kunnen bestaande Microsoft Entra-gebruikers die eerder zijn gemaakt, geen verbinding meer maken met de database met behulp van hun Microsoft Entra-referenties.

Verbinding maken met Behulp van Microsoft Entra-identiteiten

Microsoft Entra-verificatie ondersteunt de volgende methoden om verbinding te maken met een database met behulp van Microsoft Entra-identiteiten:

  • Wachtwoord voor Microsoft Entra
  • Microsoft Entra geïntegreerd
  • Microsoft Entra Universal met MFA
  • Active Directory-toepassingscertificaten of clientgeheimen gebruiken
  • Beheerde identiteit

Nadat u zich hebt geverifieerd bij Active Directory, haalt u vervolgens een token op. Dit token is uw wachtwoord voor aanmelden.

Houd er rekening mee dat beheerbewerkingen, zoals het toevoegen van nieuwe gebruikers, op dit moment alleen worden ondersteund voor Microsoft Entra-gebruikersrollen.

Notitie

Zie Configureren en aanmelden met Microsoft Entra ID voor Azure Database for PostgreSQL voor meer informatie over het maken van verbinding met een Active Directory-token.

Aanvullende overwegingen

  • Om de beheerbaarheid te verbeteren, raden we u aan een speciale Microsoft Entra-groep in te richten als beheerder.
  • Er kan op elk gewenst moment slechts één Microsoft Entra-beheerder (een gebruiker of groep) worden geconfigureerd voor een Azure Database for PostgreSQL-server.
  • Alleen een Microsoft Entra-beheerder voor PostgreSQL kan in eerste instantie verbinding maken met de Azure Database for PostgreSQL met behulp van een Microsoft Entra-account. De Active Directory-beheerder kan vervolgens nieuwe Microsoft Entra-databasegebruikers configureren.
  • Als een gebruiker wordt verwijderd uit Microsoft Entra-id, kan die gebruiker zich niet meer verifiëren met Microsoft Entra-id en is het daarom niet meer mogelijk om een toegangstoken voor die gebruiker te verkrijgen. In dit geval is het niet mogelijk om verbinding te maken met de server met die rol, hoewel de overeenkomende rol zich nog steeds in de database bevindt.

Notitie

Aanmelden met de verwijderde Microsoft Entra-gebruiker kan nog steeds worden uitgevoerd totdat het token verloopt (maximaal 60 minuten na het uitgeven van tokens). Als u de gebruiker ook verwijdert uit Azure Database for PostgreSQL, wordt deze toegang onmiddellijk ingetrokken.

  • Als de Microsoft Entra-beheerder van de server wordt verwijderd, wordt de server niet meer gekoppeld aan een Microsoft Entra-tenant en worden daarom alle Microsoft Entra-aanmeldingen uitgeschakeld voor de server. Als u een nieuwe Microsoft Entra-beheerder van dezelfde tenant toevoegt, kunnen Microsoft Entra-aanmeldingen opnieuw worden uitgevoerd.
  • Azure Database for PostgreSQL komt overeen met toegangstokens voor de Azure Database for PostgreSQL-rol met behulp van de unieke Microsoft Entra-gebruikers-id van de gebruiker, in plaats van de gebruikersnaam te gebruiken. Dit betekent dat als een Microsoft Entra-gebruiker wordt verwijderd in Microsoft Entra-id en een nieuwe gebruiker die met dezelfde naam is gemaakt, Azure Database for PostgreSQL van mening is dat een andere gebruiker. Als een gebruiker wordt verwijderd uit De Microsoft Entra-id en vervolgens een nieuwe gebruiker met dezelfde naam is toegevoegd, kan de nieuwe gebruiker geen verbinding maken met de bestaande rol. Om dit toe te staan, moet de Microsoft Entra-beheerder van Azure Database for PostgreSQL de rol 'azure_ad_user' intrekken en vervolgens aan de gebruiker verlenen om de Microsoft Entra-gebruikers-id te vernieuwen.

Volgende stappen