Поделиться через

Проверка подлинности Microsoft Entra с помощью База данных Azure для PostgreSQL — гибкий сервер

  • Статья

ОБЛАСТЬ ПРИМЕНЕНИЯ: База данных Azure для PostgreSQL — гибкий сервер

Проверка подлинности Microsoft Entra — это механизм подключения к гибкому серверу База данных Azure для PostgreSQL с помощью удостоверений, определенных в идентификаторе Microsoft Entra. С помощью проверки подлинности Microsoft Entra можно управлять удостоверениями пользователей базы данных и другими службы Майкрософт в центральном расположении, что упрощает управление разрешениями.

Преимущества использования идентификатора Microsoft Entra:

  • Проверка подлинности пользователей в службах Azure в единообразном режиме.
  • Управление политиками паролей и сменой паролей в одном месте.
  • Поддержка нескольких форм проверки подлинности, которая может исключить необходимость хранения паролей.
  • Возможность клиентов управлять разрешениями базы данных с помощью внешних групп (идентификатора Microsoft Entra).
  • Использование ролей базы данных PostgreSQL для проверки подлинности удостоверений на уровне базы данных.
  • Поддержка проверки подлинности на основе маркеров для приложений, подключающихся к База данных Azure для PostgreSQL гибкому серверу.

Функция и сравнение возможностей идентификатора Microsoft Entra между параметрами развертывания

Проверка подлинности Microsoft Entra для гибкого сервера База данных Azure для PostgreSQL включает наши возможности и отзывы, собранные с одного сервера База данных Azure для PostgreSQL.

В следующей таблице перечислены высокоуровневые сравнения функций и возможностей идентификатора Microsoft Entra между База данных Azure для PostgreSQL одним сервером и База данных Azure для PostgreSQL гибким сервером.

Функция или возможность Отдельный сервер База данных Azure для PostgreSQL Гибкий сервер Базы данных Azure для PostgreSQL
Несколько администраторов Microsoft Entra No Да
Управляемые удостоверения (назначенные системой и пользователем) Частично Полностью
Приглашенная поддержка пользователей No Да
Возможность отключения проверки подлинности паролей Недоступно На месте
Способность субъекта-службы выступать в качестве члена группы No Да
Аудит входов Microsoft Entra No Да
Поддержка PgBouncer No Да

Как идентификатор Microsoft Entra работает на гибком сервере База данных Azure для PostgreSQL

На следующей высокоуровневой схеме показано, как работает проверка подлинности при использовании проверки подлинности Microsoft Entra с гибким сервером База данных Azure для PostgreSQL. Стрелки обозначают пути обмена данными.

поток проверки подлинности

Инструкции по настройке идентификатора Microsoft Entra с гибким сервером База данных Azure для PostgreSQL см. в статье "Настройка и вход с помощью идентификатора Microsoft Entra" для База данных Azure для PostgreSQL — гибкий сервер.

Различия между администратором PostgreSQL и администратором Microsoft Entra

Если включить проверку подлинности Microsoft Entra для гибкого сервера и добавить субъект Microsoft Entra в качестве администратора Microsoft Entra, учетная запись:

  • Получает те же привилегии, что и исходный администратор PostgreSQL.
  • Может управлять другими ролями Microsoft Entra на сервере.

Администратор PostgreSQL может создавать только локальных пользователей на основе паролей. Но администратор Microsoft Entra имеет право управлять пользователями Microsoft Entra и локальными пользователями на основе паролей.

Администратор Microsoft Entra может быть пользователем Microsoft Entra, группой Microsoft Entra, субъектом-службой или управляемым удостоверением. Использование учетной записи группы в качестве администратора повышает управляемость. Это позволяет централизованно добавлять и удалять участников группы в идентификаторе Microsoft Entra, не изменяя пользователей или разрешений в База данных Azure для PostgreSQL гибком экземпляре сервера.

Можно одновременно настроить несколько администраторов Microsoft Entra. Вы можете отключить проверку подлинности паролей на гибкий экземпляр сервера База данных Azure для PostgreSQL для повышения требований к аудиту и соответствию требованиям.

структура администраторов

Примечание.

Субъект-служба или управляемое удостоверение может выступать в качестве полнофункциональным администратором Microsoft Entra в База данных Azure для PostgreSQL гибком сервере. Это было ограничение в База данных Azure для PostgreSQL одном сервере.

Администраторы Microsoft Entra, созданные с помощью портал Azure, API или SQL, имеют те же разрешения, что и обычный пользователь администратора, созданный во время подготовки сервера. Разрешения базы данных для ролей, не являющихся администраторами Microsoft Entra, управляются аналогично обычным ролям.

Подключение с помощью удостоверений Microsoft Entra

Проверка подлинности Microsoft Entra поддерживает следующие методы подключения к базе данных с помощью удостоверений Microsoft Entra:

  • Проверка подлинности паролей Microsoft Entra
  • Встроенная проверка подлинности Microsoft Entra
  • Универсальная служба Microsoft Entra с многофакторной проверкой подлинности
  • Сертификаты приложений Active Directory или секреты клиента
  • Управляемое удостоверение

После проверки подлинности в Active Directory вы получите маркер. Этот маркер является вашим паролем для входа.

Чтобы настроить идентификатор Microsoft Entra с помощью гибкого сервера База данных Azure для PostgreSQL, выполните действия, описанные в разделе "Настройка и вход с помощью идентификатора Microsoft Entra для База данных Azure для PostgreSQL — гибкий сервер".

Другие вопросы

  • Если субъекты Microsoft Entra должны взять на себя ответственность за пользовательские базы данных в рамках любой процедуры развертывания, добавьте явные зависимости в модуле развертывания (Terraform или Azure Resource Manager), чтобы убедиться, что проверка подлинности Microsoft Entra включена перед созданием любых пользовательских баз данных.

  • Несколько субъектов Microsoft Entra (пользователь, группа, субъект-служба или управляемое удостоверение) можно настроить в качестве администратора Microsoft Entra для База данных Azure для PostgreSQL гибкого экземпляра сервера в любое время.

  • Только администратор Microsoft Entra для PostgreSQL может первоначально подключиться к База данных Azure для PostgreSQL гибкому экземпляру сервера с помощью учетной записи Microsoft Entra. Затем администратор Active Directory может настроить других пользователей базы данных Microsoft Entra.

  • Если субъект Microsoft Entra удаляется из идентификатора Microsoft Entra, он остается ролью PostgreSQL, но больше не может получить новый маркер доступа. В этом случае, хотя соответствующая роль по-прежнему существует в базе данных, она не может пройти проверку подлинности на сервере. Администраторы базы данных должны вручную передавать права владения и удалять роли.

    Примечание.

    Удаленный пользователь Microsoft Entra по-прежнему может войти до истечения срока действия маркера (до 60 минут от выдачи маркера). Если пользователь также удаляется из База данных Azure для PostgreSQL гибкого сервера, этот доступ отменяется немедленно.

  • База данных Azure для PostgreSQL гибкий сервер соответствует маркерам доступа к роли базы данных с помощью уникального идентификатора пользователя Microsoft Entra, а не имени пользователя. Если пользователь Microsoft Entra удален и новый пользователь создается с тем же именем, База данных Azure для PostgreSQL гибкий сервер считает, что другой пользователь. Таким образом, если пользователь удаляется из идентификатора Microsoft Entra ID и нового пользователя добавляется с тем же именем, новый пользователь не может подключиться к существующей роли.

Часто задаваемые вопросы

  • Какие режимы проверки подлинности доступны в База данных Azure для PostgreSQL гибком сервере?

    База данных Azure для PostgreSQL гибкий сервер поддерживает три режима проверки подлинности: только аутентификация PostgreSQL, только проверка подлинности Microsoft Entra, а также проверку подлинности PostgreSQL и Microsoft Entra.

  • Можно ли настроить несколько администраторов Microsoft Entra на гибком сервере?

    Да. На гибком сервере можно настроить несколько администраторов Microsoft Entra. Во время подготовки можно задать только одного администратора Microsoft Entra. Но после создания сервера можно задать столько администраторов Microsoft Entra, сколько требуется, перейдя на панель проверки подлинности .

  • Является ли администратор Microsoft Entra только пользователем Microsoft Entra?

    № Администратор Microsoft Entra может быть пользователем, группой, субъектом-службой или управляемым удостоверением.

  • Может ли администратор Microsoft Entra создавать локальных пользователей на основе паролей?

    Администратор Microsoft Entra имеет право управлять пользователями Microsoft Entra и локальными пользователями на основе паролей.

  • Что происходит при включении проверки подлинности Microsoft Entra на гибком сервере?

    При установке проверки подлинности Microsoft Entra на уровне сервера расширение PGAadAuth включено и сервер перезапускается.

  • Разделы справки войти с помощью проверки подлинности Microsoft Entra?

    Для входа на гибкий сервер можно использовать такие клиентские средства, как psql или pgAdmin. Используйте идентификатор пользователя Microsoft Entra в качестве имени пользователя и маркера Microsoft Entra в качестве пароля.

  • Разделы справки создать токен?

    Вы создаете маркер с помощью az login. Дополнительные сведения см. в разделе "Получение маркера доступа Microsoft Entra".

  • Какова разница между именем входа в группу и отдельным именем входа?

    Единственное различие между входом в группу Microsoft Entra и входом в качестве отдельного пользователя Microsoft Entra является именем пользователя. Для входа в систему в качестве отдельного пользователя требуется отдельный идентификатор пользователя Microsoft Entra. Для входа в качестве члена группы требуется имя группы. В обоих сценариях используется один и тот же отдельный маркер Microsoft Entra, что и пароль.

  • Что такое время существования маркера?

    Маркеры пользователей допустимы до 1 часа. Маркеры управляемых удостоверений, назначаемых системой, действительны до 24 часов.

Следующие шаги