Использование идентификатора Microsoft Entra для проверки подлинности с помощью MySQL

ОБЛАСТЬ ПРИМЕНЕНИЯ: База данных Azure для MySQL — отдельный сервер

Внимание

База данных Azure для MySQL один сервер находится на пути выхода на пенсию. Настоятельно рекомендуется выполнить обновление до База данных Azure для MySQL гибкого сервера. Дополнительные сведения о миграции на гибкий сервер База данных Azure для MySQL см. в статье "Что происходит с одним сервером База данных Azure для MySQL?"

Проверка подлинности Microsoft Entra — это механизм подключения к База данных Azure для MySQL с помощью удостоверений, определенных в идентификаторе Microsoft Entra. С помощью проверки подлинности Microsoft Entra можно управлять удостоверениями пользователей базы данных и другими службы Майкрософт в центральном расположении, что упрощает управление разрешениями.

Преимущества использования идентификатора Microsoft Entra:

• единая проверка подлинности пользователей в службах Azure;
• централизованное управление политиками паролей и сменой паролей;
• Несколько форм проверки подлинности, поддерживаемых идентификатором Microsoft Entra, что может исключить необходимость хранения паролей.
• Клиенты могут управлять разрешениями базы данных с помощью внешних групп (Идентификатор Microsoft Entra).
• Проверка подлинности Microsoft Entra использует пользователей базы данных MySQL для проверки подлинности удостоверений на уровне базы данных
• для приложений, подключающихся к Базе данных Azure для MySQL, поддерживается аутентификация на основе маркеров.

Чтобы настроить и использовать проверку подлинности Microsoft Entra, используйте следующий процесс:

1. Создайте и заполните идентификатор Microsoft Entra удостоверениями пользователей по мере необходимости.
2. Если нужно, привяжите или измените каталог Active Directory, который сейчас связан с вашей подпиской Azure.
3. Создайте администратора Microsoft Entra для сервера База данных Azure для MySQL.
4. Создайте пользователей базы данных в базе данных, сопоставленных с удостоверениями Microsoft Entra.
5. Подключитесь к базе данных, извлекая маркер для удостоверения Microsoft Entra и войдите в систему.

Примечание.

Сведения о создании и заполнении идентификатора Microsoft Entra, а затем настройке идентификатора Microsoft Entra с помощью База данных Azure для MySQL см. в статье "Настройка и вход с помощью идентификатора Microsoft Entra id для База данных Azure для MySQL".

Архитектура

На следующей высокоуровневой схеме показано, как работает проверка подлинности с помощью проверки подлинности Microsoft Entra с База данных Azure для MySQL. Стрелки обозначают пути обмена данными.

Структура администраторов

При использовании проверки подлинности Microsoft Entra существует две учетные записи администратора для сервера MySQL; исходный администратор MySQL и администратор Microsoft Entra. Только администратор, основанный на учетной записи Microsoft Entra, может создать в пользовательской базе данных первый идентификатор Microsoft Entra Id, содержащийся в базе данных пользователя. Имя входа администратора Microsoft Entra может быть пользователем Microsoft Entra или группой Microsoft Entra. Если администратор является учетной записью группы, она может использоваться любым членом группы, позволяя нескольким администраторам Microsoft Entra для сервера MySQL. Использование учетной записи группы в качестве администратора повышает управляемость, позволяя централизованно добавлять и удалять участников группы в идентификаторе Microsoft Entra без изменения пользователей или разрешений на сервере MySQL. В любое время можно настроить только одного администратора Microsoft Entra (пользователя или группы).

Разрешения

Чтобы создать новых пользователей, которые могут проходить проверку подлинности с помощью идентификатора Microsoft Entra ID, необходимо быть назначенным администратором Microsoft Entra. Этот пользователь назначается путем настройки учетной записи администратора Microsoft Entra для определенного сервера База данных Azure для MySQL.

Чтобы создать пользователя базы данных Microsoft Entra, необходимо подключиться как администратор Microsoft Entra. Это показано в разделе "Настройка и вход" с идентификатором Microsoft Entra для База данных Azure для MySQL.

Любая проверка подлинности Microsoft Entra возможна только в том случае, если администратор Microsoft Entra был создан для База данных Azure для MySQL. Если администратор Microsoft Entra был удален с сервера, существующие пользователи Microsoft Entra, созданные ранее, больше не могут подключаться к базе данных с помощью учетных данных Microsoft Entra.

Подключение с помощью удостоверений Microsoft Entra

Проверка подлинности Microsoft Entra поддерживает следующие методы подключения к базе данных с помощью удостоверений Microsoft Entra:

• Пароль Microsoft Entra
• Интегрированная microsoft Entra
• Microsoft Entra Universal с MFA
• Использование сертификатов приложений или секретов клиента Active Directory.
• управляемое удостоверение;

После проверки подлинности в Active Directory выдается маркер. Этот маркер является вашим паролем для входа в систему.

Обратите внимание, что операции управления, такие как добавление новых пользователей, поддерживаются только для ролей пользователей Microsoft Entra на этом этапе.

Примечание.

Дополнительные сведения о подключении с маркером Active Directory см. в разделе "Настройка и вход с помощью идентификатора Microsoft Entra" для База данных Azure для MySQL.

Дополнительные рекомендации

• Проверка подлинности Microsoft Entra доступна только для MySQL 5.7 и более поздней версии.
• Только один администратор Microsoft Entra может быть настроен для сервера База данных Azure для MySQL в любое время.
• Только администратор Microsoft Entra для MySQL изначально может подключаться к База данных Azure для MySQL с помощью учетной записи Microsoft Entra. Затем администратор Active Directory может настроить других пользователей базы данных Microsoft Entra.
• Если пользователь удаляется из идентификатора Microsoft Entra, этот пользователь больше не сможет пройти проверку подлинности с помощью идентификатора Microsoft Entra, поэтому получить маркер доступа для этого пользователя больше не удастся. В этом случае, хотя соответствующий пользователь по-прежнему будет присутствовать в базе данных, он не сможет подключиться к серверу.

Примечание.

Вход с удаленным пользователем Microsoft Entra по-прежнему можно выполнить до истечения срока действия маркера (до 60 минут от выдачи маркера). Если вы также удалите пользователя из Базы данных Azure для MySQL, этот доступ будет немедленно отменен.

• Если администратор Microsoft Entra удален с сервера, сервер больше не будет связан с клиентом Microsoft Entra, поэтому все имена входа Microsoft Entra будут отключены для сервера. Добавление нового администратора Microsoft Entra из того же клиента будет повторно включать имена входа Microsoft Entra.
• База данных Azure для MySQL сопоставляет маркеры доступа пользователю База данных Azure для MySQL с помощью уникального идентификатора пользователя Microsoft Entra, а не имени пользователя. Это означает, что если пользователь Microsoft Entra удаляется в идентификаторе Microsoft Entra и новый пользователь, созданный с тем же именем, База данных Azure для MySQL считает, что другой пользователь. Таким образом, если пользователь удаляется из идентификатора Microsoft Entra, а затем новый пользователь с тем же именем добавлен, новый пользователь не сможет подключиться к существующему пользователю.

Примечание.

Подписки Azure MySQL с включенной проверкой подлинности Microsoft Entra не могут быть переданы другому клиенту или каталогу.

Следующие шаги

• Сведения о создании и заполнении идентификатора Microsoft Entra, а затем настройке идентификатора Microsoft Entra с помощью База данных Azure для MySQL см. в статье "Настройка и вход с помощью идентификатора Microsoft Entra id для База данных Azure для MySQL".
• Общие сведения об именах для входа и пользователях базы данных для Базы данных Azure для MySQL см. в разделе Создание пользователей в Базе данных Azure для MySQL.