Delen via

Beheer Microsoft Entra-rollen in Azure Database for PostgreSQL - Flexibele server

  • Artikel

VAN TOEPASSING OP: Azure Database for PostgreSQL - Flexibele server

In dit artikel wordt beschreven hoe u een met Microsoft Entra ID ingeschakelde databaserollen kunt maken binnen een flexibele serverinstantie van Azure Database for PostgreSQL.

Notitie

In deze handleiding wordt ervan uitgegaan dat u Microsoft Entra-verificatie al hebt ingeschakeld op uw flexibele serverexemplaren van Azure Database for PostgreSQL. Zie Microsoft Entra-verificatie configureren

Als u meer wilt weten over het maken en beheren van gebruikers van Azure-abonnementen en hun bevoegdheden, gaat u naar het artikel op basis van op rollen gebaseerd toegangsbeheer (Azure RBAC) van Azure of bekijkt u hoe u rollen aanpast.

Microsoft Entra-beheerders maken of verwijderen met behulp van Azure Portal of Arm-API (Azure Resource Manager)

  1. Open de pagina Verificatie voor uw flexibele Azure Database for PostgreSQL-serverexemplaren in Azure Portal.
  2. Als u een beheerder wilt toevoegen, selecteert u Microsoft Entra-beheerder toevoegen en selecteert u een gebruiker, groep, toepassing of een beheerde identiteit in de huidige Microsoft Entra-tenant.
  3. Als u een beheerder wilt verwijderen, selecteert u het pictogram Verwijderen voor de beheerder die u wilt verwijderen.
  4. Selecteer Opslaan en wacht tot de inrichtingsbewerking is voltooid.

Schermopname van het beheren van Microsoft Entra-beheerders via de portal.

Notitie

Ondersteuning voor Microsoft Entra-beheerdersbeheer via Azure SDK, az cli en Azure PowerShell is binnenkort beschikbaar.

Microsoft Entra-rollen beheren met SQL

Zodra de eerste Microsoft Entra-beheerder is gemaakt vanuit Azure Portal of API, kunt u de beheerdersrol gebruiken om Microsoft Entra-rollen te beheren in uw flexibele serverexemplaren van Azure Database for PostgreSQL.

We raden u aan vertrouwd te raken met het Microsoft Identity Platform voor het beste gebruik van Microsoft Entra-integratie met flexibele Azure Database for PostgreSQL-server.

Principal-typen

Azure Database for PostgreSQL Flexibele server slaat intern toewijzing op tussen PostgreSQL-databaserollen en unieke id's van AzureAD-objecten. Elke PostgreSQL-databaserol kan worden toegewezen aan een van de volgende Microsoft Entra-objecttypen:

  1. Gebruiker : lokale tenant- en gastgebruikers.
  2. Service-principal. Toepassingen en beheerde identiteiten opnemen
  3. Groep Wanneer een PostgreSQL-rol is gekoppeld aan een Microsoft Entra-groep, kan elk lid van een gebruiker of service-principal van deze groep verbinding maken met het flexibele serverexemplaren van Azure Database for PostgreSQL met de groepsrol.

Microsoft Entra-rollen weergeven met behulp van SQL

select * from pgaadauth_list_principals(true);

Parameters:

  • true -retourneert beheerders.
  • false -retourneert alle Microsoft Entra-gebruikers, zowel Microsoft Entra-beheerders als niet-Microsoft Entra-beheerders.

Een rol maken met de principalnaam van Microsoft Entra

select * from pgaadauth_create_principal('<roleName>', <isAdmin>, <isMfa>);

--For example: 

select * from pgaadauth_create_principal('mary@contoso.com', false, false);

Parameters:

  • roleName : de naam van de rol die moet worden gemaakt. Dit moet overeenkomen met een naam van de Microsoft Entra-principal:
    • Gebruikers gebruiken User Principal Name uit Profile. Neem voor gastgebruikers de volledige naam op in hun thuisdomein met #EXT#-tag.
    • Voor groepen en service-principals wordt de weergavenaam gebruikt. De naam moet uniek zijn in de tenant.
  • isAdmin - ingesteld op true als bij het maken van een beheerdergebruiker en onwaar voor een gewone gebruiker. Beheerdergebruiker die op deze manier is gemaakt, heeft dezelfde bevoegdheden als een gebruiker die is gemaakt via de portal of API.
  • isMfa : vlag toevoegen als Multi Factor Authentication moet worden afgedwongen voor deze rol.

Een rol verwijderen met de principalnaam van Microsoft Entra

Houd er rekening mee dat elke Microsoft Entra-rol die is gemaakt in PostgreSQL, moet worden verwijderd met behulp van een Microsoft Entra-beheerder. Als u een reguliere PostgreSQL-beheerder gebruikt om een Entra-rol te verwijderen, resulteert dit in een fout.

DROP ROLE rolename;

Een rol maken met behulp van De object-id van Microsoft Entra

select * from pgaadauth_create_principal_with_oid('<roleName>', '<objectId>', '<objectType>', <isAdmin>, <isMfa>);

For example: select * from pgaadauth_create_principal_with_oid('accounting_application', '00000000-0000-0000-0000-000000000000', 'service', false, false);

Parameters:

  • roleName : de naam van de rol die moet worden gemaakt.
  • objectId - Unieke object-id van het Microsoft Entra-object:
    • Voor gebruikers, groepen en beheerde identiteiten kunt u de ObjectId vinden door te zoeken naar de objectnaam op de pagina Microsoft Entra-id in Azure Portal. Zie deze handleiding als voorbeeld
    • Voor toepassingen moet objectid van de bijbehorende service-principal worden gebruikt. In Azure Portal vindt u de vereiste ObjectId op de pagina Bedrijfstoepassingen .
  • objectType - Type van het Microsoft Entra-object dat u wilt koppelen aan deze rol: service, gebruiker, groep.
  • isAdmin - ingesteld op true als bij het maken van een beheerdergebruiker en onwaar voor een gewone gebruiker. Beheerdergebruiker die op deze manier is gemaakt, heeft dezelfde bevoegdheden als een gebruiker die is gemaakt via de portal of API.
  • isMfa : vlag toevoegen als Multi Factor Authentication moet worden afgedwongen voor deze rol.

Microsoft Entra-verificatie inschakelen voor een bestaande PostgreSQL-rol met behulp van SQL

Azure Database for PostgreSQL flexibele server maakt gebruik van beveiligingslabels die zijn gekoppeld aan databaserollen om Microsoft Entra ID-toewijzing op te slaan.

U kunt de volgende SQL gebruiken om beveiligingslabels toe te wijzen:

SECURITY LABEL for "pgaadauth" on role "<roleName>" is 'aadauth,oid=<objectId>,type=<user|group|service>,admin';

Parameters:

  • roleName : de naam van een bestaande PostgreSQL-rol waarvoor Microsoft Entra-verificatie moet worden ingeschakeld.
  • objectId - Unieke object-id van het Microsoft Entra-object.
  • gebruiker - Principals voor eindgebruikers.
  • service : toepassingen of beheerde identiteiten die verbinding maken onder hun eigen servicereferenties.
  • groep - Naam van Microsoft Entra-groep.

Volgende stappen