Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
DOTYCZY:
Usługa Azure Cosmos DB for PostgreSQL (obsługiwana przez rozszerzenie bazy danych Citus do bazy danych PostgreSQL)
Usługa Azure Cosmos DB for PostgreSQL obsługuje uwierzytelnianie postgreSQL i integrację z identyfikatorem Entra firmy Microsoft. Każdy klaster usługi Azure Cosmos DB for PostgreSQL jest tworzony z włączonym natywnym uwierzytelnianiem PostgreSQL i jedną wbudowaną rolą PostgreSQL o nazwie citus. Po zakończeniu aprowizacji klastra można dodać więcej natywnych ról postgreSQL.
Oprócz metody uwierzytelniania PostgreSQL można w klastrze również włączyć uwierzytelnianie Microsoft Entra ID (dawniej Azure Active Directory) lub używać go zamiast niej. Metody uwierzytelniania można skonfigurować niezależnie w każdym klastrze usługi Azure Cosmos DB for PostgreSQL. Jeśli musisz zmienić metodę uwierzytelniania, możesz to zrobić w dowolnym momencie po zakończeniu aprowizacji klastra. Zmiana metod uwierzytelniania nie wymaga ponownego uruchomienia klastra.
Aparat PostgreSQL używa ról do kontrolowania dostępu do obiektów bazy danych. Nowo utworzony klaster usługi Azure Cosmos DB for PostgreSQL zawiera kilka wstępnie zdefiniowanych ról:
- Domyślne role bazy danych PostgreSQL
postgrescitus
Ponieważ usługa Azure Cosmos DB for PostgreSQL jest zarządzaną usługą PaaS, tylko firma Microsoft może zalogować się przy użyciu postgres roli administratora. W celu uzyskania ograniczonego dostępu administracyjnego, Azure Cosmos DB for PostgreSQL zapewnia rolę citus.
Usługa zarządzana musi replikować wszystkie role bazy danych PostgreSQL do wszystkich węzłów w klastrze. Aby ułatwić to wymaganie, należy utworzyć wszystkie inne role bazy danych PostgreSQL przy użyciu funkcji zarządzania usługą Azure Cosmos DB for PostgreSQL.
Uprawnienia dla citus roli:
- Odczytaj wszystkie zmienne konfiguracji, nawet zmienne zwykle widoczne tylko dla superużytkowników.
- Przeczytaj wszystkie widoki pg_stat_* i użyj różnych rozszerzeń związanych ze statystykami, nawet widoków lub rozszerzeń zwykle widocznych tylko dla superużytkowników.
- Wykonaj funkcje monitorujące, które mogą przyjąć blokady ACCESS SHARE na tabelach, potencjalnie na długi czas.
- Tworzenie rozszerzeń PostgreSQL.
citus Należy zauważyć, że ta rola ma pewne ograniczenia:
- Nie można utworzyć ról
- Nie można tworzyć baz danych
citus Nie można usunąć roli, ale zostanie ona wyłączona, jeśli w klastrze wybrano metodę uwierzytelniania przy użyciu wyłącznie Microsoft Entra ID.
Microsoft Entra ID (dawniej Azure Active Directory) to mechanizm uwierzytelniania umożliwiający połączenie z Azure Cosmos DB dla PostgreSQL przy użyciu tożsamości zdefiniowanych w Microsoft Entra ID. Za pomocą uwierzytelniania identyfikatora Entra firmy Microsoft można zarządzać tożsamościami użytkowników bazy danych i innymi usługi firmy Microsoft w centralnej lokalizacji, co upraszcza zarządzanie uprawnieniami.
Zalety korzystania z identyfikatora Entra firmy Microsoft obejmują:
- Uwierzytelnianie użytkowników w usługach platformy Azure w jednolity sposób
- Zarządzanie zasadami haseł i rotacją haseł w jednym miejscu
- Wiele form uwierzytelniania obsługiwanych przez identyfikator Entra firmy Microsoft, co może wyeliminować konieczność przechowywania haseł
- Uwierzytelnianie identyfikatora Entra firmy Microsoft używa ról bazy danych PostgreSQL do uwierzytelniania tożsamości na poziomie bazy danych
- Obsługa uwierzytelniania opartego na tokenach dla aplikacji łączących się z usługą Azure Cosmos DB for PostgreSQL
Po włączeniu uwierzytelniania identyfikatora Entra firmy Microsoft i dodaniu podmiotu zabezpieczeń identyfikatora entra firmy Microsoft jako administrator identyfikatora entra firmy Microsoft konto otrzymuje te same uprawnienia co citus rola. Logowanie administratora microsoft Entra ID może być użytkownikiem microsoft Entra ID, jednostką usługi lub tożsamością zarządzaną. W dowolnym momencie można skonfigurować wiele administratorów identyfikatorów entra firmy Microsoft i opcjonalnie można wyłączyć uwierzytelnianie postgreSQL (hasło) w klastrze usługi Azure Cosmos DB for PostgreSQL w celu uzyskania lepszej inspekcji i zgodności.
Ponadto dowolną liczbę ról identyfikatora entra firmy Microsoft nieadmin można dodać do klastra w dowolnym momencie po włączeniu uwierzytelniania identyfikatora Entra firmy Microsoft. Uprawnienia bazy danych dla ról identyfikatora entra firmy Microsoft są zarządzane podobnie jak w przypadku zwykłych ról.
Uwierzytelnianie Microsoft Entra ID obsługuje następujące metody połączenia z bazą danych przy użyciu tożsamości Microsoft Entra ID:
- Hasło Microsoft Entra ID
- Zintegrowany identyfikator entra firmy Microsoft
- Microsoft Entra ID Universal wraz z uwierzytelnianiem wieloskładnikowym (MFA)
- Używanie certyfikatów aplikacji Microsoft Entra ID lub wpisów tajnych klienta
- Tożsamość zarządzana
Po uwierzytelnieniu względem identyfikatora Entra firmy Microsoft należy pobrać token. Ten token to hasło do logowania.
- Wiele jednostek Microsoft Entra ID (użytkownika, aplikacji serwisowej lub tożsamości zarządzanej) można skonfigurować jako administratora Microsoft Entra ID dla klastra Azure Cosmos DB for PostgreSQL w każdej chwili.
- Jeśli jednostka identyfikatora Entra firmy Microsoft zostanie usunięta z usługi Microsoft Entra ID, nadal pozostaje ona rolą PostgreSQL w klastrze, ale nie jest już w stanie uzyskać nowego tokenu dostępu. W takim przypadku, mimo że pasująca rola nadal istnieje w bazie danych Postgres, nie może uwierzytelnić się na węzłach klastra. Administratorzy baz danych muszą ręcznie przenieść własność i usunąć takie role.
Uwaga
Zalogowanie za pomocą użytkownika usuniętego z Entra ID firmy Microsoft jest możliwe do momentu wygaśnięcia tokenu (do 90 minut od wydania tokenu). Jeśli usuniesz również użytkownika z klastra usługi Azure Cosmos DB for PostgreSQL, ten dostęp zostanie natychmiast odwołany.
- Usługa Azure Cosmos DB for PostgreSQL dopasuje tokeny dostępu do roli bazy danych przy użyciu unikatowego identyfikatora użytkownika Microsoft Entra ID, a nie przy użyciu nazwy użytkownika. Jeśli użytkownik Microsoft Entra ID zostanie usunięty i zostanie utworzony nowy użytkownik o tej samej nazwie, usługa Azure Cosmos DB for PostgreSQL uważa to za innego użytkownika. W związku z tym jeśli użytkownik zostanie usunięty z identyfikatora Entra firmy Microsoft i zostanie dodany nowy użytkownik o tej samej nazwie, nowy użytkownik nie będzie mógł nawiązać połączenia z istniejącą rolą.
- Zapoznaj się z limitami i ograniczeniami tożsamości Microsoft Entra w usłudze Azure Cosmos DB for PostgreSQL
- Dowiedz się, jak skonfigurować uwierzytelnianie dla klastrów usługi Azure Cosmos DB for PostgreSQL
- Konfigurowanie dostępu do sieci prywatnej do węzłów klastra, zobacz Zarządzanie dostępem prywatnym
- Konfigurowanie dostępu do sieci publicznej do węzłów klastra, zobacz Zarządzanie dostępem publicznym