Udostępnij za pośrednictwem

Używanie identyfikatora Entra firmy Microsoft do uwierzytelniania za pomocą programu MySQL

  • Artykuł

DOTYCZY: Azure Database for MySQL — pojedynczy serwer

Ważne

Pojedynczy serwer usługi Azure Database for MySQL znajduje się na ścieżce wycofania. Zdecydowanie zalecamy uaktualnienie do serwera elastycznego usługi Azure Database for MySQL. Aby uzyskać więcej informacji na temat migracji do serwera elastycznego usługi Azure Database for MySQL, zobacz Co się dzieje z usługą Azure Database for MySQL — pojedynczy serwer?

Uwierzytelnianie entra firmy Microsoft to mechanizm nawiązywania połączenia z usługą Azure Database for MySQL przy użyciu tożsamości zdefiniowanych w identyfikatorze Entra firmy Microsoft. Dzięki uwierzytelnieniu firmy Microsoft Entra można zarządzać tożsamościami użytkowników bazy danych i innymi usługi firmy Microsoft w centralnej lokalizacji, co upraszcza zarządzanie uprawnieniami.

Zalety korzystania z identyfikatora Entra firmy Microsoft obejmują:

  • Uwierzytelnianie użytkowników w usługach platformy Azure w jednolity sposób
  • Zarządzanie zasadami haseł i rotacją haseł w jednym miejscu
  • Wiele form uwierzytelniania obsługiwanych przez identyfikator Entra firmy Microsoft, co może wyeliminować konieczność przechowywania haseł
  • Klienci mogą zarządzać uprawnieniami bazy danych przy użyciu grup zewnętrznych (Microsoft Entra ID).
  • Uwierzytelnianie entra firmy Microsoft używa użytkowników bazy danych MySQL do uwierzytelniania tożsamości na poziomie bazy danych
  • Obsługa uwierzytelniania opartego na tokenach dla aplikacji łączących się z usługą Azure Database for MySQL

Aby skonfigurować i użyć uwierzytelniania firmy Microsoft Entra, wykonaj następujący proces:

  1. Utwórz i wypełnij identyfikator entra firmy Microsoft przy użyciu tożsamości użytkowników zgodnie z potrzebami.
  2. Opcjonalnie skojarz lub zmień usługę Active Directory skojarzona obecnie z subskrypcją platformy Azure.
  3. Utwórz administratora usługi Microsoft Entra dla serwera usługi Azure Database for MySQL.
  4. Utwórz użytkowników bazy danych w bazie danych zamapowanych na tożsamości firmy Microsoft Entra.
  5. Nawiąż połączenie z bazą danych, pobierając token dla tożsamości firmy Microsoft Entra i logując się.

Uwaga

Aby dowiedzieć się, jak utworzyć i wypełnić identyfikator entra firmy Microsoft, a następnie skonfigurować identyfikator entra firmy Microsoft za pomocą usługi Azure Database for MySQL, zobacz Konfigurowanie i logowanie się przy użyciu identyfikatora Entra firmy Microsoft dla usługi Azure Database for MySQL.

Architektura

Poniższy diagram wysokiego poziomu zawiera podsumowanie sposobu działania uwierzytelniania przy użyciu uwierzytelniania firmy Microsoft Entra w usłudze Azure Database for MySQL. Strzałki wskazują ścieżki komunikacyjne.

przepływ uwierzytelniania

Struktura administratora

W przypadku korzystania z uwierzytelniania w usłudze Microsoft Entra istnieją dwa konta administratora dla serwera MySQL; oryginalny administrator MySQL i administrator firmy Microsoft Entra. Tylko administrator oparty na koncie Microsoft Entra może utworzyć pierwszego użytkownika bazy danych Entra ID firmy Microsoft w bazie danych użytkownika. Identyfikator logowania administratora entra firmy Microsoft może być użytkownikiem firmy Microsoft lub grupą Entra firmy Microsoft. Gdy administrator jest kontem grupy, może być używany przez dowolnego członka grupy, włączając wielu administratorów firmy Microsoft Entra dla serwera MySQL. Użycie konta grupy jako administrator zwiększa możliwości zarządzania, umożliwiając centralne dodawanie i usuwanie członków grupy w identyfikatorze Entra firmy Microsoft bez zmieniania użytkowników lub uprawnień na serwerze MySQL. W dowolnym momencie można skonfigurować tylko jednego administratora firmy Microsoft (użytkownika lub grupy).

struktura administratora

Uprawnienia

Aby utworzyć nowych użytkowników, którzy mogą uwierzytelniać się za pomocą identyfikatora Entra firmy Microsoft, musisz być wyznaczonym administratorem firmy Microsoft Entra. Ten użytkownik jest przypisywany przez skonfigurowanie konta administratora firmy Microsoft dla określonego serwera usługi Azure Database for MySQL.

Aby utworzyć nowego użytkownika bazy danych Entra firmy Microsoft, musisz nawiązać połączenie jako administrator firmy Microsoft Entra. Przedstawiono to w temacie Configure and Login with Microsoft Entra ID for Azure Database for MySQL (Konfigurowanie i logowanie przy użyciu identyfikatora Entra firmy Microsoft dla usługi Azure Database for MySQL).

Każde uwierzytelnianie entra firmy Microsoft jest możliwe tylko wtedy, gdy administrator firmy Microsoft Entra został utworzony dla usługi Azure Database for MySQL. Jeśli administrator firmy Microsoft Entra został usunięty z serwera, istniejący użytkownicy firmy Microsoft Entra utworzony wcześniej nie mogą już łączyć się z bazą danych przy użyciu poświadczeń firmy Microsoft Entra.

Nawiązywanie połączenia przy użyciu tożsamości firmy Microsoft Entra

Uwierzytelnianie firmy Microsoft Entra obsługuje następujące metody nawiązywania połączenia z bazą danych przy użyciu tożsamości firmy Microsoft Entra:

  • Microsoft Entra Password
  • Microsoft Entra integrated
  • Microsoft Entra Universal z usługą MFA
  • Używanie certyfikatów aplikacji usługi Active Directory lub wpisów tajnych klienta
  • Tożsamość zarządzana

Po uwierzytelnieniu w usłudze Active Directory należy pobrać token. Ten token to hasło do logowania.

Należy pamiętać, że operacje zarządzania, takie jak dodawanie nowych użytkowników, są obecnie obsługiwane tylko dla ról użytkowników firmy Microsoft Entra.

Uwaga

Aby uzyskać więcej informacji na temat nawiązywania połączenia z tokenem usługi Active Directory, zobacz Konfigurowanie i logowanie się przy użyciu identyfikatora Entra firmy Microsoft dla usługi Azure Database for MySQL.

Uwagi dodatkowe

  • Uwierzytelnianie Microsoft Entra jest dostępne tylko dla programu MySQL 5.7 i nowszych.
  • W dowolnym momencie można skonfigurować tylko jednego administratora usługi Microsoft Entra dla serwera usługi Azure Database for MySQL.
  • Tylko administrator usługi Microsoft Entra for MySQL może początkowo łączyć się z usługą Azure Database for MySQL przy użyciu konta microsoft Entra. Administrator usługi Active Directory może skonfigurować kolejnych użytkowników bazy danych usługi Microsoft Entra.
  • Jeśli użytkownik zostanie usunięty z identyfikatora Entra firmy Microsoft, ten użytkownik nie będzie już mógł uwierzytelnić się przy użyciu identyfikatora Entra firmy Microsoft i dlatego nie będzie już możliwe uzyskanie tokenu dostępu dla tego użytkownika. W takim przypadku, mimo że pasujący użytkownik będzie nadal znajdować się w bazie danych, nie będzie możliwe nawiązanie połączenia z serwerem z tym użytkownikiem.

Uwaga

Zaloguj się przy użyciu usuniętego użytkownika Microsoft Entra, dopóki token nie wygaśnie (do 60 minut od wystawiania tokenu). Jeśli usuniesz również użytkownika z usługi Azure Database for MySQL, ten dostęp zostanie natychmiast odwołany.

  • Jeśli administrator firmy Microsoft Entra zostanie usunięty z serwera, serwer nie będzie już skojarzony z dzierżawą firmy Microsoft Entra, dlatego wszystkie identyfikatory logowania firmy Microsoft Entra zostaną wyłączone dla serwera. Dodanie nowego administratora firmy Microsoft Entra z tej samej dzierżawy spowoduje ponowne włączenie logowań firmy Microsoft Entra.
  • Usługa Azure Database for MySQL dopasuje tokeny dostępu do użytkownika usługi Azure Database for MySQL przy użyciu unikatowego identyfikatora użytkownika microsoft Entra, w przeciwieństwie do używania nazwy użytkownika. Oznacza to, że jeśli użytkownik microsoft Entra zostanie usunięty w identyfikatorze Entra firmy Microsoft i nowym użytkownikiem utworzonym pod tą samą nazwą, usługa Azure Database for MySQL uzna, że inny użytkownik. W związku z tym jeśli użytkownik zostanie usunięty z identyfikatora Entra firmy Microsoft, a następnie nowy użytkownik o tej samej nazwie dodany, nowy użytkownik nie będzie mógł nawiązać połączenia z istniejącym użytkownikiem.

Uwaga

Nie można przenieść subskrypcji usługi Azure MySQL z włączonym uwierzytelnianiem firmy Microsoft Entra do innej dzierżawy lub katalogu.

Następne kroki