Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Uwierzytelnianie Entra firmy Microsoft to mechanizm nawiązywania połączenia z usługą Azure Database for PostgreSQL przy użyciu tożsamości zdefiniowanych w identyfikatorze Entra firmy Microsoft. Dzięki uwierzytelnianiu firmy Microsoft Entra można zarządzać tożsamościami użytkowników bazy danych i innymi usługami firmy Microsoft w centralnej lokalizacji, co upraszcza zarządzanie uprawnieniami.
Zalety korzystania z identyfikatora Entra firmy Microsoft obejmują:
- Uwierzytelnianie użytkowników w usługach platformy Azure w jednolity sposób.
- Zarządzanie zasadami haseł i rotacją haseł w jednym miejscu.
- Obsługa wielu form uwierzytelniania, co może wyeliminować konieczność przechowywania haseł.
- Możliwość zarządzania uprawnieniami bazy danych przez klientów przy użyciu grup zewnętrznych (Microsoft Entra ID).
- Używanie ról bazy danych PostgreSQL do uwierzytelniania tożsamości na poziomie bazy danych.
- Obsługa uwierzytelniania opartego na tokenach dla aplikacji łączących się z wystąpieniem serwera elastycznego usługi Azure Database for PostgreSQL.
Jak działa identyfikator Entra firmy Microsoft w usłudze Azure Database for PostgreSQL
Poniższy diagram wysokiego poziomu zawiera podsumowanie sposobu działania uwierzytelniania w przypadku korzystania z uwierzytelniania entra firmy Microsoft w usłudze Azure Database for PostgreSQL. Strzałki wskazują ścieżki komunikacyjne.
- Aplikacja może zażądać tokenu z punktu końcowego tożsamości elastycznego serwera platformy Azure.
- Jeśli używasz identyfikatora klienta i certyfikatu, wywołanie jest wykonywane do identyfikatora Entra firmy Microsoft w celu żądania tokenu dostępu.
- Identyfikator entra firmy Microsoft zwraca token dostępu JSON Web Token (JWT). Aplikacja wysyła token dostępu podczas wywołania do elastycznego serwera.
- Wystąpienie serwera elastycznego weryfikuje token za pomocą identyfikatora Entra firmy Microsoft.
Aby uzyskać instrukcje konfigurowania identyfikatora entra firmy Microsoft w usłudze Azure Database for PostgreSQL, zobacz Używanie identyfikatora Entra firmy Microsoft do uwierzytelniania za pomocą usługi Azure Database for PostgreSQL.
Różnice między administratorem postgreSQL i administratorem firmy Microsoft Entra
Po włączeniu uwierzytelniania Microsoft Entra dla podmiotu zabezpieczeń firmy Microsoft jako administratora firmy Microsoft Entra konto:
- Pobiera te same uprawnienia co oryginalny administrator postgreSQL.
- Może zarządzać innymi rolami firmy Microsoft Entra na serwerze.
Administrator bazy danych PostgreSQL może tworzyć tylko lokalnych użytkowników opartych na hasłach. Jednak administrator firmy Microsoft Entra ma uprawnienia do zarządzania użytkownikami firmy Microsoft Entra i lokalnymi użytkownikami opartymi na hasłach.
Administrator firmy Microsoft Entra może być użytkownikiem firmy Microsoft Entra, grupą Microsoft Entra, jednostką usługi lub tożsamością zarządzaną. Korzystanie z konta grupy jako administrator zwiększa możliwości zarządzania. Umożliwia scentralizowane dodawanie i usuwanie członków grupy w Microsoft Entra ID bez zmieniania użytkowników lub uprawnień w instancji elastycznego serwera Azure Database for PostgreSQL.
Jednocześnie można skonfigurować wielu administratorów firmy Microsoft Entra. Możesz dezaktywować uwierzytelnianie haseł w wystąpieniu serwera elastycznego usługi Azure Database for PostgreSQL w celu zwiększenia wymagań dotyczących inspekcji i zgodności.
Administratorzy usługi Microsoft Entra utworzone za pośrednictwem witryny Azure Portal, interfejsu API lub programu SQL mają takie same uprawnienia jak zwykły użytkownik administracyjny utworzony podczas aprowizacji serwera. Uprawnienia bazy danych dla ról innych niżadmin firmy Microsoft są podobne do zwykłych ról.
Połączenie za pośrednictwem tożsamości firmy Microsoft Entra
Uwierzytelnianie firmy Microsoft Entra obsługuje następujące metody nawiązywania połączenia z bazą danych przy użyciu tożsamości firmy Microsoft Entra:
- Microsoft Entra password authentication (Uwierzytelnianie haseł firmy Microsoft w usłudze Entra)
- Zintegrowane uwierzytelnianie firmy Microsoft
- Firma Microsoft Entra universal z uwierzytelnianiem wieloskładnikowymi
- Certyfikaty aplikacji usługi Active Directory lub wpisy tajne klienta
- Tożsamość zarządzana
Po uwierzytelnieniu w usłudze Active Directory należy pobrać token. Ten token to hasło do logowania.
Aby uzyskać instrukcje konfigurowania identyfikatora entra firmy Microsoft w usłudze Azure Database for PostgreSQL, zobacz Używanie identyfikatora Entra firmy Microsoft do uwierzytelniania za pomocą usługi Azure Database for PostgreSQL.
Ograniczenia i zagadnienia
W przypadku korzystania z uwierzytelniania entra firmy Microsoft z usługą Azure Database for PostgreSQL należy pamiętać o następujących kwestiach:
Aby principale Microsoft Entra mogły przejąć kontrolę nad bazami danych użytkowników w dowolnej procedurze wdrażania, dodaj jawne zależności w swoim module wdrażania (Terraform lub Azure Resource Manager), aby upewnić się, że uwierzytelnianie przez Microsoft Entra jest włączone przed utworzeniem jakichkolwiek baz danych użytkowników.
W dowolnym momencie można skonfigurować wielu głównych podmiotów Microsoft Entra (użytkowników, grupy, jednostki usługi lub tożsamości zarządzane) jako administratorów dla elastycznego wystąpienia serwera bazy danych Azure PostgreSQL.
Tylko administrator Microsoft Entra dla PostgreSQL może początkowo łączyć się z wystąpieniem serwera elastycznego usługi Azure Database for PostgreSQL przy użyciu konta Microsoft Entra. Administrator usługi Active Directory może skonfigurować kolejnych użytkowników bazy danych firmy Microsoft Entra.
Jeśli usuniesz podmiot zabezpieczeń firmy Microsoft Entra z identyfikatora Entra firmy Microsoft, podmiot zabezpieczeń pozostanie rolą PostgreSQL, ale nie może już uzyskać nowego tokenu dostępu. W takim przypadku, mimo że pasujący rola nadal istnieje w bazie danych, nie może uwierzytelnić się na serwerze. Administratorzy bazy danych muszą ręcznie przenieść własność i usunąć role.
Uwaga / Notatka
Usunięty użytkownik firmy Microsoft Entra może nadal logować się do momentu wygaśnięcia tokenu (do 60 minut od wystawiania tokenu). Jeśli usuniesz również użytkownika z usługi Azure Database for PostgreSQL, ten dostęp zostanie natychmiast odwołany.
Usługa Azure Database for PostgreSQL dopasuje tokeny dostępu do roli bazy danych przy użyciu unikatowego identyfikatora użytkownika Microsoft Entra, a nie przy użyciu nazwy użytkownika. Jeśli usuniesz użytkownika microsoft Entra i utworzysz nowego użytkownika o tej samej nazwie, usługa Azure Database for PostgreSQL uzna, że inny użytkownik. W związku z tym, jeśli usuniesz użytkownika z identyfikatora Entra firmy Microsoft i dodasz nowego użytkownika o tej samej nazwie, nowy użytkownik nie może nawiązać połączenia z istniejącą rolą.
Najczęściej zadawane pytania
Jakie są dostępne tryby uwierzytelniania w usłudze Azure Database for PostgreSQL?
Usługa Azure Database for PostgreSQL obsługuje trzy tryby uwierzytelniania: tylko uwierzytelnianie PostgreSQL, tylko uwierzytelnianie Firmy Microsoft Entra oraz uwierzytelnianie PostgreSQL i Microsoft Entra.
Czy mogę skonfigurować wielu administratorów usługi Microsoft Entra w moim elastycznym wystąpieniu serwera?
Tak. Można skonfigurować wielu administratorów usługi Microsoft Entra w wystąpieniu serwera elastycznego. Podczas aprowizacji można ustawić tylko jednego administratora firmy Microsoft Entra. Jednak po utworzeniu serwera można ustawić dowolną liczbę administratorów firmy Microsoft, przechodząc do okienka Uwierzytelnianie .
Czy administrator firmy Microsoft Entra jest tylko użytkownikiem firmy Microsoft Entra?
Nie. Administrator firmy Microsoft Entra może być użytkownikiem, grupą, jednostką usługi lub tożsamością zarządzaną.
Czy administrator firmy Microsoft Entra może tworzyć lokalnych użytkowników opartych na hasłach?
Administrator firmy Microsoft Entra ma uprawnienia do zarządzania użytkownikami firmy Microsoft Entra i lokalnymi użytkownikami opartymi na hasłach.
Co się stanie po włączeniu uwierzytelniania Microsoft Entra w instancji elastycznego serwera Azure Database for PostgreSQL?
Po ustawieniu uwierzytelniania Microsoft Entra na poziomie serwera rozszerzenie PGAadAuth jest włączone i serwer zostanie uruchomiony ponownie.
Jak się zalogować przy użyciu uwierzytelniania firmy Microsoft Entra?
Możesz użyć narzędzi klienckich, takich jak
psqllubpgAdmin, aby zalogować się do instance elastycznego serwera. Użyj identyfikatora użytkownika entra firmy Microsoft jako nazwy użytkownika i tokenu entra firmy Microsoft jako hasła.Jak wygenerować token?
Token jest generowany przy użyciu polecenia
az login. Aby uzyskać więcej informacji, zobacz Pobieranie tokenu dostępu firmy Microsoft Entra.Jaka jest różnica między logowaniem grupowym a indywidualnym logowaniem?
Jedyną różnicą między logowaniem się jako członek grupy Entra firmy Microsoft i logowaniem się jako indywidualny użytkownik Microsoft Entra leży w nazwie użytkownika. Zalogowanie się jako użytkownik indywidualny wymaga indywidualnego identyfikatora użytkownika firmy Microsoft Entra. Zalogowanie się jako członek grupy wymaga nazwy grupy. W obu scenariuszach używasz tego samego indywidualnego tokenu firmy Microsoft Entra co hasło.
Jaka jest różnica między uwierzytelnianiem grup a uwierzytelnianiem indywidualnym?
Jedyną różnicą między logowaniem się jako członek grupy Entra firmy Microsoft i logowaniem się jako indywidualny użytkownik Microsoft Entra leży w nazwie użytkownika. Zalogowanie się jako użytkownik indywidualny wymaga indywidualnego identyfikatora użytkownika firmy Microsoft Entra. Zalogowanie się jako członek grupy wymaga nazwy grupy. W obu scenariuszach używasz tego samego indywidualnego tokenu firmy Microsoft Entra co hasło.
Jaki jest okres istnienia tokenu?
Tokeny użytkownika są ważne przez maksymalnie 1 godzinę. Tokeny dla tożsamości zarządzanych przypisanych przez system są ważne przez maksymalnie 24 godziny.