Usar o Microsoft Entra ID para autenticação com o MySQL

APLICA-SE A: Banco de Dados do Azure para MySQL – Servidor individual

Importante

O servidor único do Banco de Dados do Azure para MySQL está no caminho da desativação. É altamente recomendável que você atualize para o servidor flexível do Banco de Dados do Azure para MySQL. Para obter mais informações sobre a migração para o servidor flexível do Banco de Dados do Azure para MySQL, confira O que está acontecendo com o Servidor Único do Banco de Dados do Azure para MySQL?

A autenticação do Microsoft Entra é um mecanismo de conexão com o Banco de Dados do Azure para MySQL que usa identidades definidas no Microsoft Entra ID. Com a autenticação do Microsoft Entra, você pode gerenciar as identidades de usuários do banco de dados e outros serviços da Microsoft em uma só localização central, o que simplifica o gerenciamento de permissões.

Os benefícios de usar o Microsoft Entra ID incluem:

• Autenticação de usuários em Serviços do Azure de forma uniforme
• Gerenciamento de políticas de senha e rotação de senhas em um único local
• Várias formas de autenticação com suporte do Microsoft Entra ID, o que pode eliminar a necessidade de armazenar senhas
• Os clientes podem gerenciar permissões de banco de dados usando grupos externos (Microsoft Entra ID).
• A autenticação do Microsoft Entra usa usuários de banco de dados MySQL para autenticar identidades no nível de banco de dados
• Suporte de autenticação baseada em token em aplicativos que se conectam ao Banco de Dados do Azure para MySQL

Para configurar e usar a autenticação do Microsoft Entra, use o seguinte processo:

1. Crie e preencha o Microsoft Entra ID com as identidades do usuário, conforme necessário.
2. Opcionalmente, associe ou altere o Active Directory que está associado atualmente à sua assinatura do Azure.
3. Criar um administrador do Microsoft Entra para o servidor do Banco de Dados do Azure para MySQL.
4. Crie usuários de banco de dados no seu banco de dados mapeados para as identidades do Microsoft Entra.
5. Conecte-se ao seu banco de dados recuperando um token para uma identidade do Microsoft Entra e fazendo login.

Observação

Para saber como criar e preencher o Microsoft Entra ID e, a seguir, configurar o Microsoft Entra ID com o Banco de Dados do Azure para MySQL, confira Configurar e entrar com o Microsoft Entra ID para o Banco de Dados do Azure para MySQL.

Arquitetura

O diagrama de alto nível a seguir resume como a autenticação funciona usando a autenticação do Microsoft Entra com o Banco de Dados do Azure para MySQL. As setas indicam caminhos para comunicação.

Estrutura do administrador

Ao usar a autenticação do Microsoft Entra, você terá duas contas de Administrador para o servidor MySQL: o administrador original do MySQL e o administrador do Microsoft Entra. Somente o administrador com base em uma conta do Microsoft Entra ID pode criar o primeiro usuário de banco de dados independente do Microsoft Entra ID em um banco de dados de usuário. O logon do administrador do Microsoft Entra pode ser um usuário do Microsoft Entra ou um grupo do Microsoft Entra. Quando o administrador for uma conta de grupo, poderá ser usado por qualquer membro do grupo, permitindo diversos administradores do Microsoft Entra para o servidor MySQL. Usar uma conta de grupo como um administrador aumenta a capacidade de gerenciamento ao permitir que você adicione e remova membros do grupo no Microsoft Entra ID centralmente, sem alterar os usuários ou permissões no servidor MySQL. Somente um administrador do Microsoft Entra (um usuário ou grupo) pode ser configurado por vez, a qualquer momento.

Permissões

Para criar novos usuários que podem se autenticar com o Microsoft Entra ID, você deve ser o administrador designado do Microsoft Entra. Esse usuário é atribuído configurando a conta de Administrador do Microsoft Entra para um servidor de Banco de Dados do Azure para MySQL.

Para criar um novo usuário de banco de dados do Microsoft Entra, você precisa se conectar como o administrador do Microsoft Entra. Isso é demonstrado em Configurar e entrar com o Microsoft Entra ID para Banco de Dados do Azure para MySQL.

Qualquer autenticação do Microsoft Entra só será possível se o administrador do Microsoft Entra tiver sido criado para o Banco de Dados do Azure para MySQL. Se o administrador do Microsoft Entra tiver sido removido do servidor, os usuários existentes do Microsoft Entra criados anteriormente não poderão mais se conectar ao banco de dados usando as respectivas credenciais do Microsoft Entra.

Como se conectar usando as identidades do Microsoft Entra

A autenticação do Microsoft Entra ID dá suporte aos seguintes métodos de conexão a um banco de dados usando identidades do Microsoft Entra ID:

• Senha do Microsoft Entra
• Microsoft Entra integrado
• Microsoft Entra Universal com MFA
• Usar certificados de aplicativos do Active Directory ou segredos de cliente
• Identidade gerenciada

Depois de estar autenticado no Active Directory, você recuperará um token. Esse token é sua senha para entrar.

Observe que, neste momento, as operações de gerenciamento, como adicionar novos usuários, têm suporte apenas para funções de usuário do Microsoft Entra.

Observação

Para obter mais detalhes sobre como se conectar com um token do Active Directory, confira Configurar e entrar com o Microsoft Entra ID para Banco de Dados do Azure para MySQL.

Considerações adicionais

• A autenticação do Microsoft Entra só está disponível para o MySQL 5.7 e mais recente.
• Somente um administrador do Microsoft Entra pode ser configurado para um servidor do Banco de Dados do Azure para MySQL a qualquer momento.
• Somente um administrador do Microsoft Entra para MySQL pode, inicialmente, se conectar ao Banco de Dados do Azure para MySQL usando uma conta do Microsoft Entra. O administrador do Active Directory pode configurar os próximos usuários do banco de dados do Microsoft Entra.
• Se um usuário for excluído do Microsoft Entra ID, esse usuário não poderá mais se autenticar com o Microsoft Entra ID e, portanto, não será mais possível adquirir um token de acesso para esse usuário. Nesse caso, embora o usuário correspondente ainda esteja no banco de dados, não será possível se conectar ao servidor com esse usuário.

Observação

Ainda será possível fazer login com o usuário do Microsoft Entra excluído até a expiração do token (até 60 minutos após a emissão do token). Se você também remover o usuário do Banco de Dados do Azure para MySQL, esse acesso será revogado imediatamente.

• Se o administrador do Microsoft Entra for removido do servidor, o servidor não estará mais associado a um locatário do Microsoft Entra e, portanto, todos os logins do Microsoft Entra serão desabilitados para o servidor. O acréscimo de um novo administrador do Microsoft Entra do mesmo locatário habilitará novamente os logons do Microsoft Entra.
• O Banco de Dados do Azure para MySQL corresponde aos tokens de acesso para o usuário do Banco de Dados do Azure para MySQL usando a ID de usuário do Microsoft Entra exclusiva do usuário, em vez do nome de usuário. Isso significa que, se um usuário do Microsoft Entra for excluído no Microsoft Entra ID e um novo usuário for criado com o mesmo nome, o Banco de Dados do Azure para MySQL irá considerá-lo como um usuário diferente. Portanto, se um usuário for excluído do Microsoft Entra ID e um novo usuário com o mesmo nome for adicionado, o novo usuário não conseguirá se conectar com a função existente.

Observação

As assinaturas de um MySQL do Azure com a autenticação do Microsoft Entra habilitada não podem ser transferidas para outro locatário ou diretório.

Próximas etapas

• Para saber como criar e preencher o Microsoft Entra ID e, a seguir, configurar o Microsoft Entra ID com o Banco de Dados do Azure para MySQL, confira Configurar e entrar com o Microsoft Entra ID para o Banco de Dados do Azure para MySQL.
• Para obter uma visão geral de logons e usuários do Banco de Dados do Azure para MySQL, confira Criar usuários no Banco de Dados do Azure para MySQL.