Dela via


Microsoft Entra-autentisering för Azure Database for MySQL – flexibel server

GÄLLER FÖR: Azure Database for MySQL – flexibel server

Microsoft Entra-autentisering är en mekanism för att ansluta till Azure Database for MySQL – flexibel server med hjälp av identiteter som definierats i Microsoft Entra-ID. Med Microsoft Entra-autentisering kan du hantera databasanvändares identiteter och andra Microsoft-tjänster på en central plats, vilket förenklar behörighetshanteringen.

Förmåner

  • Autentisering av användare i Azure Services på ett enhetligt sätt
  • Hantering av lösenordsprinciper och lösenordsrotation på en enda plats
  • Flera former av autentisering som stöds av Microsoft Entra-ID, vilket kan eliminera behovet av att lagra lösenord
  • Kunder kan hantera databasbehörigheter med hjälp av externa (Microsoft Entra ID)-grupper.
  • Microsoft Entra-autentisering använder MySQL-databasanvändare för att autentisera identiteter på databasnivå
  • Stöd för tokenbaserad autentisering för program som ansluter till Azure Database for MySQL – flexibel server

Använd stegen nedan för att konfigurera och använda Microsoft Entra-autentisering

  1. Välj önskad autentiseringsmetod för åtkomst till den flexibla servern. Som standard är den valda autentiseringen endast inställd på MySQL-autentisering. Välj Endast Microsoft Entra-autentisering eller MySQL- och Microsoft Entra-autentisering för att aktivera Microsoft Entra-autentisering.

  2. Välj den användarhanterade identiteten (UMI) med följande behörigheter för att konfigurera Microsoft Entra-autentisering:

  3. Lägg till Microsoft Entra-administratör. Det kan vara Microsoft Entra-användare eller -grupper, som har åtkomst till en flexibel server.

  4. Skapa databasanvändare i databasen som mappats till Microsoft Entra-identiteter.

  5. Anslut till databasen genom att hämta en token för en Microsoft Entra-identitet och logga in.

Kommentar

Detaljerade stegvisa instruktioner om hur du konfigurerar Microsoft Entra-autentisering med Azure Database for MySQL – flexibel server finns i Lär dig hur du konfigurerar Microsoft Entra-autentisering för Azure Database for MySQL – flexibel server

Arkitektur

Användarhanterade identiteter krävs för Microsoft Entra-autentisering. När en användartilldelad identitet är länkad till den flexibla servern utfärdar MSRP (Managed Identity Resource Provider) ett certifikat internt till den identiteten. När den hanterade identiteten tas bort tas motsvarande tjänsthuvudnamn bort automatiskt.

Tjänsten använder sedan den hanterade identiteten för att begära åtkomsttoken för tjänster som stöder Microsoft Entra-autentisering. Azure Database stöder för närvarande endast en användartilldelad hanterad identitet (UMI) för Azure Database for MySQL – flexibel server. Mer information finns i Hanterade identitetstyper i Azure.

Följande diagram på hög nivå sammanfattar hur autentisering fungerar med Microsoft Entra-autentisering med Azure Database for MySQL – flexibel server. Pilarna indikerar kommunikationsvägar.

Diagram över hur Microsoft Entra-autentisering fungerar.

  1. Ditt program kan begära en token från Azure Instance Metadata Service-identitetsslutpunkten.
  2. När du använder klient-ID och certifikat görs ett anrop till Microsoft Entra-ID för att begära en åtkomsttoken.
  3. En JSON Web Token-åtkomsttoken (JWT) returneras av Microsoft Entra ID. Ditt program skickar åtkomsttoken vid ett anrop till din flexibla server.
  4. Den flexibla servern verifierar token med Microsoft Entra-ID.

Administratörsstruktur

Det finns två administratörskonton för Azure Database for MySQL – flexibel server när du använder Microsoft Entra-autentisering: den ursprungliga MySQL-administratören och Microsoft Entra-administratören.

Endast administratören baserat på ett Microsoft Entra-konto kan skapa den första Microsoft Entra-ID:t som innehåller databasanvändaren i en användardatabas. Microsoft Entra-administratörsinloggningen kan vara en Microsoft Entra-användare eller en Microsoft Entra-grupp. När administratören är ett gruppkonto kan det användas av valfri gruppmedlem, vilket möjliggör flera Microsoft Entra-administratörer för den flexibla servern. Att använda ett gruppkonto som administratör förbättrar hanterbarheten genom att låta dig centralt lägga till och ta bort gruppmedlemmar i Microsoft Entra-ID utan att ändra användare eller behörigheter på den flexibla servern. Endast en Microsoft Entra-administratör (en användare eller grupp) kan konfigureras åt gången.

Diagram över administratörsstrukturen i Microsoft Entra.

Metoder för autentisering för åtkomst till den flexibla servern är:

  • Endast MySQL-autentisering – det här är standardalternativet. Endast den inbyggda MySQL-autentiseringen med mySQL-inloggning och lösenord kan användas för att komma åt den flexibla servern.

  • Endast Microsoft Entra-autentisering – Intern MySQL-autentisering är inaktiverad och användarna kan endast autentisera med hjälp av sin Microsoft Entra-användare och token. För att aktivera det här läget är serverparametern aad_auth_only inställd på PÅ.

  • Autentisering med MySQL och Microsoft Entra ID – Både intern MySQL-autentisering och Microsoft Entra-autentisering stöds. För att aktivera det här läget är serverparametern aad_auth_only inställd på AV.

Behörigheter

Följande behörigheter krävs för att tillåta att UMI läser från Microsoft Graph som serveridentitet. Alternativt kan du ge den användartilldelade hanterade identiteten rollen Katalogläsare .

Viktigt!

Endast en användare med rollen Privilegierad rolladministratör kan bevilja dessa behörigheter.

Vägledning om hur du beviljar och använder behörigheterna finns i Översikt över Microsoft Graph-behörigheter

När du har beviljat behörigheterna till UMI aktiveras de för alla servrar som skapats med UMI tilldelad som en serveridentitet.

Tokenverifiering

Microsoft Entra-autentisering i Azure Database for MySQL – flexibel server säkerställer att användaren finns på MySQL-servern och kontrollerar tokens giltighet genom att verifiera tokens innehåll. Följande verifieringssteg för token utförs:

  • Token är signerad av Microsoft Entra-ID och har inte manipulerats.
  • Token utfärdades av Microsoft Entra-ID för den klientorganisation som är associerad med servern.
  • Token har inte upphört att gälla.
  • Token är för resursen Flexibel server (och inte en annan Azure-resurs).

Ansluta med Microsoft Entra-identiteter

Microsoft Entra-autentisering stöder följande metoder för att ansluta till en databas med hjälp av Microsoft Entra-identiteter:

  • Microsoft Entra-lösenord
  • Microsoft Entra-integrerat
  • Microsoft Entra Universal med MFA
  • Använda Active Directory-programcertifikat eller klienthemligheter
  • Hanterad identitet

När du har autentiserat mot Active Directory hämtar du en token. Den här token är ditt lösenord för att logga in.

Kommentar

Den hanteringsåtgärden, till exempel att lägga till nya användare, stöds endast för Microsoft Entra-användarroller.

Kommentar

Mer information om hur du ansluter med en Active Directory-token finns i Konfigurera och logga in med Microsoft Entra ID för Azure Database for MySQL – flexibel server.

Övriga beaktanden

  • Du kan bara konfigurera en Microsoft Entra-administratör per flexibel server när som helst.

  • Endast en Microsoft Entra-administratör för MySQL kan först ansluta till den flexibla servern med ett Microsoft Entra-konto. Active Directory-administratören kan konfigurera efterföljande Microsoft Entra-databasanvändare eller en Microsoft Entra-grupp. När administratören är ett gruppkonto kan det användas av valfri gruppmedlem, vilket möjliggör flera Microsoft Entra-administratörer för den flexibla servern. Att använda ett gruppkonto som administratör förbättrar hanterbarheten genom att låta dig centralt lägga till och ta bort gruppmedlemmar i Microsoft Entra-ID utan att ändra användare eller behörigheter i den flexibla servern.

  • Om en användare tas bort från Microsoft Entra-ID kan användaren inte längre autentisera med Microsoft Entra-ID. Därför är det inte längre möjligt att hämta en åtkomsttoken för den användaren. Även om den matchande användaren fortfarande finns i databasen är det inte möjligt att ansluta till servern med den användaren.

Kommentar

Logga in med den borttagna Microsoft Entra-användaren kan fortfarande göras tills token upphör att gälla (upp till 60 minuter från utfärdande av token). Om du tar bort användaren från Azure Database for MySQL – flexibel server återkallas den här åtkomsten omedelbart.

  • Om Microsoft Entra-administratören tas bort från servern är servern inte längre associerad med en Microsoft Entra-klientorganisation och därför inaktiveras alla Microsoft Entra-inloggningar för servern. Om du lägger till en ny Microsoft Entra-administratör från samma klientorganisation återaktiver du Microsoft Entra-inloggningar.

  • En flexibel server matchar åtkomsttoken till Azure Database for MySQL – flexibel server-användare med hjälp av användarens unika Microsoft Entra-användar-ID i stället för användarnamnet. Det innebär att om en Microsoft Entra-användare tas bort i Microsoft Entra-ID och en ny användare skapas med samma namn, anser den flexibla servern att en annan användare. Om en användare tas bort från Microsoft Entra-ID och en ny användare med samma namn läggs till kan den nya användaren därför inte ansluta till den befintliga användaren.

Kommentar

Prenumerationer på en flexibel server med Microsoft Entra-autentisering aktiverat kan inte överföras till en annan klientorganisation eller katalog.

Nästa steg