Autenticação do Microsoft Entra com o Banco de Dados do Azure para PostgreSQL

A autenticação do Microsoft Entra é um mecanismo para se conectar ao Banco de Dados do Azure para PostgreSQL usando identidades definidas na ID do Microsoft Entra. Com a autenticação do Microsoft Entra, você pode gerenciar identidades de usuário de banco de dados e outros serviços da Microsoft em um local central, o que simplifica o gerenciamento de permissões.

Os benefícios de usar o Microsoft Entra ID incluem:

• Autenticação de usuários nos serviços do Azure de maneira uniforme.
• Gerenciamento de políticas de senhas e rotação de senhas em um único lugar.
• Suporte para várias formas de autenticação, o que pode eliminar a necessidade de armazenar senhas.
• A capacidade dos clientes de gerenciar permissões de banco de dados usando grupos externos (Microsoft Entra ID).
• O uso de funções de banco de dados PostgreSQL para autenticar identidades no nível do banco de dados.
• Suporte de autenticação baseada em token para aplicativos que se conectam ao Banco de Dados do Azure para instância de servidor flexível PostgreSQL.

Como funciona o Microsoft Entra ID no Banco de Dados do Azure para PostgreSQL

O diagrama de alto nível a seguir resume como a autenticação funciona quando você usa a autenticação do Microsoft Entra com o Banco de Dados do Azure para PostgreSQL. As setas indicam vias de comunicação.

1. A sua aplicação pode solicitar um token do endpoint de identidade do Serviço de Metadados da instância flexível do servidor do Azure.
2. Quando você usa a ID do cliente e o certificado, uma chamada é feita para o ID do Microsoft Entra para solicitar um token de acesso.
3. O Microsoft Entra ID retorna um token de acesso JSON Web Token (JWT). Seu aplicativo envia o token de acesso em uma chamada para sua instância de servidor flexível.
4. A instância flexível do servidor valida o token com o Microsoft Entra ID.

Para conhecer as etapas para configurar a ID do Microsoft Entra com o Banco de Dados do Azure para PostgreSQL, consulte Usar a ID do Microsoft Entra para autenticação com o Banco de Dados do Azure para PostgreSQL.

Diferenças entre um administrador do PostgreSQL e um administrador do Microsoft Entra

Quando você ativa a autenticação do Microsoft Entra para sua entidade de segurança do Microsoft Entra como administrador do Microsoft Entra, a conta:

• Obtém os mesmos privilégios que o administrador PostgreSQL original.
• Pode gerenciar outras funções do Microsoft Entra no servidor.

O administrador do PostgreSQL pode criar apenas usuários locais baseados em senha. Mas o administrador do Microsoft Entra tem autoridade para gerenciar usuários do Microsoft Entra e usuários locais baseados em senha.

O administrador do Microsoft Entra pode ser um usuário do Microsoft Entra, um grupo do Microsoft Entra, uma entidade de serviço ou uma identidade gerenciada. Usar uma conta de grupo como administrador melhora a capacidade de gerenciamento. Ele permite a adição e remoção centralizada de membros do grupo no Microsoft Entra ID sem alterar os usuários ou permissões dentro do Banco de Dados do Azure para instância de servidor flexível PostgreSQL.

Você pode configurar vários administradores do Microsoft Entra simultaneamente. Você pode desativar a autenticação de senha para uma instância de servidor flexível do Banco de Dados do Azure para PostgreSQL para requisitos aprimorados de auditoria e conformidade.

Os administradores do Microsoft Entra que você cria por meio do portal do Azure, uma API ou SQL têm as mesmas permissões que o usuário administrador regular que você criou durante o provisionamento do servidor. Você gerencia permissões de banco de dados para funções não administrativas do Microsoft Entra de forma semelhante às funções regulares.

Conexão via identidades Microsoft Entra

A autenticação do Microsoft Entra oferece suporte aos seguintes métodos de conexão a um banco de dados usando identidades do Microsoft Entra:

• Autenticação de senha do Microsoft Entra
• Autenticação integrada do Microsoft Entra
• Microsoft Entra universal com autenticação multifator
• Certificados de aplicativo do Ative Directory ou segredos de cliente
• Identidade gerenciada

Depois de autenticar no Ative Directory, você recupera um token. Este token é a sua palavra-passe para iniciar sessão.

Para conhecer as etapas para configurar a ID do Microsoft Entra com o Banco de Dados do Azure para PostgreSQL, consulte Usar a ID do Microsoft Entra para autenticação com o Banco de Dados do Azure para PostgreSQL.

Limitações e considerações

Ao usar a autenticação do Microsoft Entra com o Banco de Dados do Azure para PostgreSQL, lembre-se dos seguintes pontos:

• Para que os principais do Microsoft Entra assumam a propriedade dos bancos de dados de utilizador em qualquer procedimento de implantação, adicione dependências explícitas no seu módulo de implantação (Terraform ou Azure Resource Manager) para garantir que a autenticação do Microsoft Entra esteja ativada antes de criar qualquer banco de dados de utilizador.

• Você pode configurar várias entidades do Microsoft Entra (usuário, grupo, entidade de serviço ou identidade gerenciada) como administradores do Microsoft Entra para uma instância de servidor flexível do Banco de Dados do Azure para PostgreSQL a qualquer momento.

• Somente um administrador do Microsoft Entra para PostgreSQL pode se conectar inicialmente à instância flexível do servidor do Banco de Dados do Azure para PostgreSQL usando uma conta do Microsoft Entra. O administrador do Ative Directory pode configurar usuários subsequentes do banco de dados Microsoft Entra.

• Se um principal do Microsoft Entra for excluído da ID do Microsoft Entra, o principal permanecerá como uma função PostgreSQL, mas não poderá mais adquirir um novo token de acesso. Nesse caso, embora a função correspondente ainda exista no banco de dados, ela não pode ser autenticada no servidor. Os administradores de banco de dados precisam transferir a propriedade e descartar funções manualmente.

  Observação

  O usuário excluído do Microsoft Entra ainda pode entrar até que o token expire (até 60 minutos após a emissão do token). Se você também remover o usuário do Banco de Dados do Azure para PostgreSQL, esse acesso será revogado imediatamente.

• O Banco de Dados do Azure para PostgreSQL faz a correspondência entre tokens de acesso e a função de banco de dados usando a ID de usuário exclusiva do Microsoft Entra do usuário, em vez de usar o nome de usuário. Se você excluir um usuário do Microsoft Entra e criar um novo usuário com o mesmo nome, o Banco de Dados do Azure para PostgreSQL considerará que um usuário diferente. Portanto, se você excluir um usuário do Microsoft Entra ID e adicionar um novo usuário com o mesmo nome, o novo usuário não poderá se conectar com a função existente.

Perguntas frequentes

• Quais são os modos de autenticação disponíveis no Banco de Dados do Azure para PostgreSQL?

  A Base de Dados Azure para PostgreSQL dá suporte a três modos de autenticação: apenas autenticação PostgreSQL, apenas autenticação Microsoft Entra e autenticação PostgreSQL e Microsoft Entra.

• Posso configurar vários administradores do Microsoft Entra na minha instância de servidor flexível?

  Sim. Você pode configurar vários administradores do Microsoft Entra em sua instância de servidor flexível. Durante o provisionamento, você pode definir apenas um único administrador do Microsoft Entra. Mas depois que o servidor é criado, você pode definir quantos administradores do Microsoft Entra quiser acessando o painel Autenticação .

• Um administrador do Microsoft Entra é apenas um usuário do Microsoft Entra?

  Não. Um administrador do Microsoft Entra pode ser um usuário, grupo, entidade de serviço ou identidade gerenciada.

• Um administrador do Microsoft Entra pode criar usuários locais baseados em senha?

  Um administrador do Microsoft Entra tem autoridade para gerenciar usuários do Microsoft Entra e usuários locais baseados em senha.

• O que acontece quando ativo a autenticação Microsoft Entra na minha instância de servidor flexível da Base de Dados do Azure para PostgreSQL?

  Quando você define a autenticação do Microsoft Entra no nível do servidor, a extensão PGAadAuth é habilitada e o servidor é reiniciado.

• Como faço para entrar usando a autenticação do Microsoft Entra?

  Você pode usar ferramentas de cliente como psql ou pgAdmin para entrar em sua instância de servidor flexível. Use seu ID de usuário do Microsoft Entra como nome de usuário e seu token do Microsoft Entra como sua senha.

• Como faço para gerar meu token?

  Você gera o token usando az login. Para obter mais informações, consulte Recuperar o token de acesso do Microsoft Entra.

• Qual é a diferença entre login de grupo e login individual?

  A única diferença entre entrar como um membro do grupo Microsoft Entra e entrar como um usuário individual do Microsoft Entra está no nome de usuário. Iniciar sessão como utilizador individual requer um ID de utilizador individual do Microsoft Entra. Iniciar sessão como membro do grupo requer o nome do grupo. Em ambos os cenários, você usa o mesmo token individual do Microsoft Entra como senha.

• Qual é a diferença entre autenticação de grupo e autenticação individual?

  A única diferença entre entrar como um membro do grupo Microsoft Entra e entrar como um usuário individual do Microsoft Entra está no nome de usuário. Iniciar sessão como utilizador individual requer um ID de utilizador individual do Microsoft Entra. Iniciar sessão como membro do grupo requer o nome do grupo. Em ambos os cenários, você usa o mesmo token individual do Microsoft Entra como senha.

Qual é o tempo de vida do token?

Os tokens de usuário são válidos por até 1 hora. Os tokens para identidades gerenciadas atribuídas pelo sistema são válidos por até 24 horas.

Conteúdo relacionado

• Usar a ID do Microsoft Entra no Banco de Dados do Azure para PostgreSQL
• Gerenciar funções do Microsoft Entra no Banco de Dados do Azure para PostgreSQL