Microsoft Entra-autentisering med Azure Database for PostgreSQL – flexibel server
GÄLLER FÖR:
Azure Database for PostgreSQL – flexibel server
Microsoft Entra-autentisering är en mekanism för att ansluta till en flexibel Azure Database for PostgreSQL-server med hjälp av identiteter som definierats i Microsoft Entra-ID. Med Microsoft Entra-autentisering kan du hantera databasanvändares identiteter och andra Microsoft-tjänster på en central plats, vilket förenklar behörighetshanteringen.
Fördelarna med att använda Microsoft Entra-ID är:
- Autentisering av användare i Azure-tjänster på ett enhetligt sätt.
- Hantering av lösenordsprinciper och lösenordsrotation på en enda plats.
- Stöd för flera former av autentisering, vilket kan eliminera behovet av att lagra lösenord.
- Kundernas möjlighet att hantera databasbehörigheter med hjälp av externa (Microsoft Entra ID)-grupper.
- Användning av PostgreSQL-databasroller för att autentisera identiteter på databasnivå.
- Stöd för tokenbaserad autentisering för program som ansluter till en flexibel Azure Database for PostgreSQL-server.
Microsoft Entra ID-funktion och kapacitetsjämförelser mellan distributionsalternativ
Microsoft Entra-autentisering för Azure Database for PostgreSQL – flexibel server innehåller vår erfarenhet och feedback som samlats in från en enskild Azure Database for PostgreSQL-server.
I följande tabell visas en högnivåjämförelse av Microsoft Entra ID-funktioner mellan Azure Database for PostgreSQL– enskild server och flexibel Azure Database for PostgreSQL-server.
| Funktion/funktion | Azure Database for PostgreSQL – enskild server | Azure Database for PostgreSQL – flexibel server |
|---|---|---|
| Flera Microsoft Entra-administratörer | Nej | Ja |
| Hanterade identiteter (system och användartilldelade) | Delvis | Fullständig |
| Inbjuden användarsupport | Nej | Ja |
| Möjlighet att inaktivera lösenordsautentisering | Inte tillgängliga | Tillgängligt |
| Möjlighet för ett huvudnamn för tjänsten att fungera som gruppmedlem | Nej | Ja |
| Granskningar av Microsoft Entra-inloggningar | Nej | Ja |
| Stöd för PgBouncer | Nej | Ja |
Så här fungerar Microsoft Entra ID i Azure Database for PostgreSQL – flexibel server
Följande diagram på hög nivå sammanfattar hur autentisering fungerar när du använder Microsoft Entra-autentisering med Azure Database for PostgreSQL – flexibel server. Pilarna indikerar kommunikationsvägar.
Stegen för att konfigurera Microsoft Entra-ID med flexibel Azure Database for PostgreSQL-server finns i Konfigurera och logga in med Microsoft Entra ID för Azure Database for PostgreSQL – flexibel server.
Skillnader mellan en PostgreSQL-administratör och en Microsoft Entra-administratör
När du aktiverar Microsoft Entra-autentisering för din flexibla server och lägger till ett Microsoft Entra-huvudnamn som Microsoft Entra-administratör, kontot:
- Hämtar samma behörigheter som den ursprungliga PostgreSQL-administratören.
- Kan hantera andra Microsoft Entra-roller på servern.
PostgreSQL-administratören kan bara skapa lokala lösenordsbaserade användare. Men Microsoft Entra-administratören har behörighet att hantera både Microsoft Entra-användare och lokala lösenordsbaserade användare.
Microsoft Entra-administratören kan vara en Microsoft Entra-användare, Microsoft Entra-grupp, tjänstens huvudnamn eller hanterad identitet. Att använda ett gruppkonto som administratör förbättrar hanterbarheten. Det tillåter centraliserad tillägg och borttagning av gruppmedlemmar i Microsoft Entra-ID utan att ändra användare eller behörigheter i Azure Database for PostgreSQL– flexibel serverinstans.
Du kan konfigurera flera Microsoft Entra-administratörer samtidigt. Du kan inaktivera lösenordsautentisering till en flexibel Azure Database for PostgreSQL-serverinstans för förbättrad granskning och efterlevnadskrav.
Kommentar
Ett tjänsthuvudnamn eller en hanterad identitet kan fungera som en fullt fungerande Microsoft Entra-administratör i Azure Database for PostgreSQL – flexibel server. Detta var en begränsning i Azure Database for PostgreSQL – enskild server.
Microsoft Entra-administratörer som du skapar via Azure-portalen, ett API eller SQL har samma behörigheter som den vanliga administratörsanvändare som du skapade under serveretablering. Databasbehörigheter för Microsoft Entra-roller som inte är administratörer hanteras på samma sätt som vanliga roller.
Anslut ion via Microsoft Entra-identiteter
Microsoft Entra-autentisering stöder följande metoder för att ansluta till en databas med hjälp av Microsoft Entra-identiteter:
- Microsoft Entra-lösenordsautentisering
- Microsoft Entra-integrerad autentisering
- Microsoft Entra universal med multifaktorautentisering
- Active Directory-programcertifikat eller klienthemligheter
- Hanterade identiteter
När du har autentiserat mot Active Directory hämtar du en token. Den här token är ditt lösenord för inloggning.
Om du vill konfigurera Microsoft Entra-ID med flexibel Azure Database for PostgreSQL-server följer du stegen i Konfigurera och logga in med Microsoft Entra-ID för Azure Database for PostgreSQL – flexibel server.
Övriga beaktanden
Om du vill att Microsoft Entra-huvudnamnen ska överta ägarskapet för användardatabaserna inom en distributionsprocedur lägger du till explicita beroenden i din distributionsmodul (Terraform eller Azure Resource Manager) för att säkerställa att Microsoft Entra-autentisering aktiveras innan du skapar användardatabaser.
Flera Microsoft Entra-huvudkonton (användare, grupp, tjänstens huvudnamn eller hanterad identitet) kan konfigureras som Microsoft Entra-administratör för en flexibel Azure Database for PostgreSQL-serverinstans när som helst.
Endast en Microsoft Entra-administratör för PostgreSQL kan först ansluta till azure database for PostgreSQL– flexibel serverinstans med hjälp av ett Microsoft Entra-konto. Active Directory-administratören kan konfigurera efterföljande Microsoft Entra-databasanvändare.
Om ett Microsoft Entra-huvudnamn tas bort från Microsoft Entra-ID förblir det som en PostgreSQL-roll men kan inte längre hämta en ny åtkomsttoken. I det här fallet kan den matchande rollen fortfarande finns i databasen inte autentisera till servern. Databasadministratörer måste överföra ägarskap och ta bort roller manuellt.
Kommentar
Den borttagna Microsoft Entra-användaren kan fortfarande logga in tills token upphör att gälla (upp till 60 minuter från att token utfärdas). Om du också tar bort användaren från en flexibel Azure Database for PostgreSQL-server återkallas den här åtkomsten omedelbart.
Azure Database for PostgreSQL – flexibel server matchar åtkomsttoken till databasrollen med hjälp av användarens unika Microsoft Entra-användar-ID, i stället för att använda användarnamnet. Om en Microsoft Entra-användare tas bort och en ny användare skapas med samma namn, anser Azure Database for PostgreSQL flexibel server att en annan användare. Om en användare tas bort från Microsoft Entra-ID och en ny användare läggs till med samma namn kan den nya användaren därför inte ansluta till den befintliga rollen.
Vanliga frågor och svar
Vilka är de tillgängliga autentiseringslägena i Azure Database for PostgreSQL – flexibel server?
Azure Database for PostgreSQL – flexibel server stöder tre autentiseringslägen: Endast PostgreSQL-autentisering, Endast Microsoft Entra-autentisering och både PostgreSQL- och Microsoft Entra-autentisering.
Kan jag konfigurera flera Microsoft Entra-administratörer på min flexibla server?
Ja. Du kan konfigurera flera Microsoft Entra-administratörer på din flexibla server. Under etableringen kan du bara ange en enda Microsoft Entra-administratör. Men när servern har skapats kan du ange så många Microsoft Entra-administratörer som du vill genom att gå till fönstret Autentisering .
Är en Microsoft Entra-administratör bara en Microsoft Entra-användare?
Nej. En Microsoft Entra-administratör kan vara en användare, grupp, tjänstens huvudnamn eller hanterad identitet.
Kan en Microsoft Entra-administratör skapa lokala lösenordsbaserade användare?
En Microsoft Entra-administratör har behörighet att hantera både Microsoft Entra-användare och lokala lösenordsbaserade användare.
Vad händer när jag aktiverar Microsoft Entra-autentisering på min flexibla server?
När du ställer in Microsoft Entra-autentisering på servernivå aktiveras PGAadAuth-tillägget och servern startas om.
Hur gör jag för att logga in med Microsoft Entra-autentisering?
Du kan använda klientverktyg som psql eller pgAdmin för att logga in på din flexibla server. Använd ditt Microsoft Entra-användar-ID som användarnamn och Din Microsoft Entra-token som lösenord.
Hur gör jag för att generera min token?
Du genererar token med hjälp
az loginav . Mer information finns i Hämta Microsoft Entra-åtkomsttoken.Vad är skillnaden mellan gruppinloggning och individuell inloggning?
Den enda skillnaden mellan att logga in som microsoft entra-gruppmedlem och logga in som en enskild Microsoft Entra-användare ligger i användarnamnet. För att logga in som enskild användare krävs ett enskilt Microsoft Entra-användar-ID. För att logga in som gruppmedlem krävs gruppnamnet. I båda scenarierna använder du samma enskilda Microsoft Entra-token som lösenordet.
Vad är tokens livslängd?
Användartoken är giltiga i upp till 1 timme. Token för systemtilldelade hanterade identiteter är giltiga i upp till 24 timmar.
Nästa steg
- Information om hur du skapar och fyller i en Microsoft Entra-ID-instans och sedan konfigurerar Microsoft Entra-ID med Azure Database for PostgreSQL – flexibel server finns i Konfigurera och logga in med Microsoft Entra-ID för Azure Database for PostgreSQL – flexibel server.
- Information om hur du hanterar Microsoft Entra-användare för flexibel Azure Database for PostgreSQL-server finns i Hantera Microsoft Entra-roller i Azure Database for PostgreSQL – flexibel server.