Udostępnij za pośrednictwem


Uwierzytelnianie firmy Microsoft w usłudze Azure Database for PostgreSQL — serwer elastyczny

DOTYCZY: Azure Database for PostgreSQL — serwer elastyczny

Uwierzytelnianie entra firmy Microsoft to mechanizm łączenia się z serwerem elastycznym usługi Azure Database for PostgreSQL przy użyciu tożsamości zdefiniowanych w identyfikatorze Entra firmy Microsoft. Dzięki uwierzytelnieniu firmy Microsoft Entra można zarządzać tożsamościami użytkowników bazy danych i innymi usługi firmy Microsoft w centralnej lokalizacji, co upraszcza zarządzanie uprawnieniami.

Zalety korzystania z identyfikatora Entra firmy Microsoft obejmują:

  • Uwierzytelnianie użytkowników w usługach platformy Azure w jednolity sposób.
  • Zarządzanie zasadami haseł i rotacją haseł w jednym miejscu.
  • Obsługa wielu form uwierzytelniania, co może wyeliminować konieczność przechowywania haseł.
  • Możliwość zarządzania uprawnieniami bazy danych przez klientów przy użyciu grup zewnętrznych (Microsoft Entra ID).
  • Używanie ról bazy danych PostgreSQL do uwierzytelniania tożsamości na poziomie bazy danych.
  • Obsługa uwierzytelniania opartego na tokenach dla aplikacji łączących się z serwerem elastycznym usługi Azure Database for PostgreSQL.

Porównanie funkcji i możliwości identyfikatora Entra firmy Microsoft między opcjami wdrażania

Uwierzytelnianie entra firmy Microsoft dla elastycznego serwera usługi Azure Database for PostgreSQL obejmuje nasze środowisko i opinie zebrane z pojedynczego serwera usługi Azure Database for PostgreSQL.

W poniższej tabeli wymieniono ogólne porównania funkcji i możliwości usługi Microsoft Entra ID między pojedynczym serwerem usługi Azure Database for PostgreSQL i serwerem elastycznym usługi Azure Database for PostgreSQL.

Funkcja/możliwość Azure Database for PostgreSQL — pojedynczy serwer Azure Database for PostgreSQL — serwer elastyczny
Wielu administratorów firmy Microsoft Entra Nie. Tak
Tożsamości zarządzane (przypisane przez system i użytkownika) Częściowe Pełny
Obsługa zaproszonych użytkowników Nie. Tak
Możliwość wyłączenia uwierzytelniania haseł Niedostępny Dostępna
Zdolność jednostki usługi do działania jako członek grupy Nie. Tak
Inspekcje logowania w usłudze Microsoft Entra Nie. Tak
Obsługa narzędzia PgBouncer Nie. Tak

Jak działa identyfikator Entra firmy Microsoft na serwerze elastycznym usługi Azure Database for PostgreSQL

Poniższy diagram wysokiego poziomu zawiera podsumowanie sposobu działania uwierzytelniania w przypadku korzystania z uwierzytelniania entra firmy Microsoft z serwerem elastycznym usługi Azure Database for PostgreSQL. Strzałki wskazują ścieżki komunikacyjne.

przepływ uwierzytelniania

Aby uzyskać instrukcje konfigurowania identyfikatora entra firmy Microsoft przy użyciu serwera elastycznego usługi Azure Database for PostgreSQL, zobacz Konfigurowanie i logowanie przy użyciu identyfikatora Entra firmy Microsoft dla usługi Azure Database for PostgreSQL — serwer elastyczny.

Różnice między administratorem postgreSQL i administratorem firmy Microsoft Entra

Po włączeniu uwierzytelniania Microsoft Entra dla serwera elastycznego i dodaniu podmiotu zabezpieczeń firmy Microsoft jako administratora firmy Microsoft Entra konto:

  • Pobiera te same uprawnienia co oryginalny administrator postgreSQL.
  • Może zarządzać innymi rolami firmy Microsoft Entra na serwerze.

Administrator bazy danych PostgreSQL może tworzyć tylko lokalnych użytkowników opartych na hasłach. Jednak administrator firmy Microsoft Entra ma uprawnienia do zarządzania użytkownikami firmy Microsoft Entra i lokalnymi użytkownikami opartymi na hasłach.

Administrator firmy Microsoft Entra może być użytkownikiem firmy Microsoft Entra, grupą Microsoft Entra, jednostką usługi lub tożsamością zarządzaną. Korzystanie z konta grupy jako administrator zwiększa możliwości zarządzania. Umożliwia scentralizowane dodawanie i usuwanie członków grupy w identyfikatorze Entra firmy Microsoft bez zmieniania użytkowników lub uprawnień w ramach wystąpienia serwera elastycznego usługi Azure Database for PostgreSQL.

Jednocześnie można skonfigurować wielu administratorów firmy Microsoft Entra. Istnieje możliwość dezaktywowania uwierzytelniania haseł w wystąpieniu serwera elastycznego usługi Azure Database for PostgreSQL w celu zwiększenia wymagań dotyczących inspekcji i zgodności.

struktura administratora

Uwaga

Jednostka usługi lub tożsamość zarządzana może działać jako w pełni funkcjonalny administrator firmy Microsoft Entra na serwerze elastycznym usługi Azure Database for PostgreSQL. Było to ograniczenie dotyczące pojedynczego serwera usługi Azure Database for PostgreSQL.

Administratorzy usługi Microsoft Entra utworzone za pośrednictwem witryny Azure Portal, interfejsu API lub programu SQL mają takie same uprawnienia jak zwykły użytkownik administracyjny utworzony podczas aprowizacji serwera. Uprawnienia bazy danych dla ról niezwiązanych z administratorem firmy Microsoft są zarządzane podobnie jak w przypadku zwykłych ról.

Połączenie za pośrednictwem tożsamości firmy Microsoft Entra

Uwierzytelnianie firmy Microsoft Entra obsługuje następujące metody nawiązywania połączenia z bazą danych przy użyciu tożsamości firmy Microsoft Entra:

  • Microsoft Entra password authentication (Uwierzytelnianie haseł firmy Microsoft w usłudze Entra)
  • Zintegrowane uwierzytelnianie firmy Microsoft
  • Firma Microsoft Entra universal z uwierzytelnianiem wieloskładnikowymi
  • Certyfikaty aplikacji usługi Active Directory lub wpisy tajne klienta
  • Tożsamość zarządzana

Po uwierzytelnieniu w usłudze Active Directory należy pobrać token. Ten token to hasło do logowania.

Aby skonfigurować identyfikator entra firmy Microsoft z serwerem elastycznym usługi Azure Database for PostgreSQL, wykonaj kroki opisane w temacie Konfigurowanie i logowanie się przy użyciu identyfikatora Entra firmy Microsoft dla usługi Azure Database for PostgreSQL — serwer elastyczny.

Inne uwagi

  • Jeśli chcesz, aby podmioty zabezpieczeń firmy Microsoft przyjmiły własność baz danych użytkowników w dowolnej procedurze wdrażania, dodaj jawne zależności w ramach wdrożenia (Terraform lub Azure Resource Manager), aby upewnić się, że uwierzytelnianie microsoft Entra jest włączone przed utworzeniem dowolnych baz danych użytkowników.

  • Wiele podmiotów zabezpieczeń firmy Microsoft (użytkownika, grupy, jednostki usługi lub tożsamości zarządzanej) można skonfigurować jako administrator usługi Microsoft Entra dla wystąpienia elastycznego serwera usługi Azure Database for PostgreSQL w dowolnym momencie.

  • Tylko administrator entra firmy Microsoft dla postgreSQL może początkowo łączyć się z wystąpieniem serwera elastycznego usługi Azure Database for PostgreSQL przy użyciu konta Microsoft Entra. Administrator usługi Active Directory może skonfigurować kolejnych użytkowników bazy danych usługi Microsoft Entra.

  • Jeśli podmiot zabezpieczeń firmy Microsoft Entra zostanie usunięty z identyfikatora Entra firmy Microsoft, pozostanie on rolą PostgreSQL, ale nie może już uzyskać nowego tokenu dostępu. W takim przypadku, mimo że pasujący rola nadal istnieje w bazie danych, nie może uwierzytelnić się na serwerze. Administratorzy bazy danych muszą ręcznie przenieść własność i usunąć role.

    Uwaga

    Usunięty użytkownik firmy Microsoft Entra może nadal logować się do momentu wygaśnięcia tokenu (do 60 minut od wystawiania tokenu). Jeśli usuniesz również użytkownika z serwera elastycznego usługi Azure Database for PostgreSQL, ten dostęp zostanie natychmiast odwołany.

  • Serwer elastyczny usługi Azure Database for PostgreSQL dopasuje tokeny dostępu do roli bazy danych przy użyciu unikatowego identyfikatora użytkownika Microsoft Entra, w przeciwieństwie do używania nazwy użytkownika. Jeśli użytkownik firmy Microsoft Entra zostanie usunięty i zostanie utworzony nowy użytkownik o tej samej nazwie, serwer elastyczny usługi Azure Database for PostgreSQL uzna, że inny użytkownik. W związku z tym, jeśli użytkownik zostanie usunięty z identyfikatora Entra firmy Microsoft i zostanie dodany nowy użytkownik o tej samej nazwie, nowy użytkownik nie może nawiązać połączenia z istniejącą rolą.

Często zadawane pytania

  • Jakie są dostępne tryby uwierzytelniania na serwerze elastycznym usługi Azure Database for PostgreSQL?

    Serwer elastyczny usługi Azure Database for PostgreSQL obsługuje trzy tryby uwierzytelniania: tylko uwierzytelnianie PostgreSQL, tylko uwierzytelnianie Entra firmy Microsoft oraz uwierzytelnianie PostgreSQL i Microsoft Entra.

  • Czy mogę skonfigurować wielu administratorów firmy Microsoft Entra na moim serwerze elastycznym?

    Tak. Na serwerze elastycznym można skonfigurować wielu administratorów firmy Microsoft Entra. Podczas aprowizacji można ustawić tylko jednego administratora firmy Microsoft Entra. Jednak po utworzeniu serwera można ustawić dowolną liczbę administratorów firmy Microsoft, przechodząc do okienka Uwierzytelnianie .

  • Czy administrator firmy Microsoft Entra jest tylko użytkownikiem firmy Microsoft Entra?

    L.p. Administrator firmy Microsoft Entra może być użytkownikiem, grupą, jednostką usługi lub tożsamością zarządzaną.

  • Czy administrator firmy Microsoft Entra może tworzyć lokalnych użytkowników opartych na hasłach?

    Administrator firmy Microsoft Entra ma uprawnienia do zarządzania użytkownikami firmy Microsoft Entra i lokalnymi użytkownikami opartymi na hasłach.

  • Co się stanie po włączeniu uwierzytelniania entra firmy Microsoft na moim serwerze elastycznym?

    Po ustawieniu uwierzytelniania Microsoft Entra na poziomie serwera rozszerzenie PGAadAuth jest włączone i serwer zostanie uruchomiony ponownie.

  • Jak mogę zalogować się przy użyciu uwierzytelniania Microsoft Entra?

    Aby zalogować się na serwerze elastycznym, możesz użyć narzędzi klienckich, takich jak psql lub pgAdmin. Użyj identyfikatora użytkownika entra firmy Microsoft jako nazwy użytkownika i tokenu entra firmy Microsoft jako hasła.

  • Jak mogę wygenerować token?

    Token jest generowany przy użyciu polecenia az login. Aby uzyskać więcej informacji, zobacz Pobieranie tokenu dostępu firmy Microsoft Entra.

  • Jaka jest różnica między logowaniem grupowym a indywidualnym logowaniem?

    Jedyną różnicą między logowaniem się jako członek grupy Entra firmy Microsoft i logowaniem się jako indywidualny użytkownik Microsoft Entra leży w nazwie użytkownika. Zalogowanie się jako użytkownik indywidualny wymaga indywidualnego identyfikatora użytkownika firmy Microsoft Entra. Zalogowanie się jako członek grupy wymaga nazwy grupy. W obu scenariuszach używasz tego samego indywidualnego tokenu firmy Microsoft Entra co hasło.

  • Jaki jest okres istnienia tokenu?

    Tokeny użytkownika są ważne przez maksymalnie 1 godzinę. Tokeny dla tożsamości zarządzanych przypisanych przez system są ważne przez maksymalnie 24 godziny.

Następne kroki