Aracılığıyla paylaş

PostgreSQL için Azure Veritabanı ile Microsoft Entra kimlik doğrulaması

Microsoft Entra kimlik doğrulaması, Microsoft Entra Id'de tanımlanan kimlikleri kullanarak PostgreSQL için Azure Veritabanı'na bağlanmaya yönelik bir mekanizmadır. Microsoft Entra kimlik doğrulaması ile veritabanı kullanıcı kimliklerini ve diğer Microsoft hizmetlerini merkezi bir konumda yönetebilirsiniz ve bu da izin yönetimini basitleştirir.

Microsoft Entra ID kullanmanın avantajları şunlardır:

  • Azure hizmetlerindeki kullanıcıların tekdüzen bir şekilde kimlik doğrulaması.
  • Parola ilkelerinin ve parola döndürmenin tek bir yerde yönetimi.
  • Parola depolama gereksinimini ortadan kaldırabilecek birden çok kimlik doğrulama biçimi desteği.
  • Müşterilerin dış (Microsoft Entra Id) gruplarını kullanarak veritabanı izinlerini yönetme olanağı.
  • Kimliklerin veritabanı düzeyinde kimliğini doğrulamak için PostgreSQL veritabanı rollerinin kullanılması.
  • PostgreSQL için Azure Veritabanı esnek sunucu örneğine bağlanan uygulamalar için belirteç tabanlı kimlik doğrulaması desteği.

PostgreSQL için Azure Veritabanı'nda Microsoft Entra Id nasıl çalışır?

Aşağıdaki üst düzey diyagramda, PostgreSQL için Azure Veritabanı ile Microsoft Entra kimlik doğrulamasını kullandığınızda kimlik doğrulamasının nasıl çalıştığı özetlemektedir. Oklar iletişim yollarını gösterir.

Microsoft Entra Kimliği, kullanıcının bilgisayarı ve sunucu arasındaki kimlik doğrulama akışının diyagramı.

  1. Uygulamanız Azure esnek sunucu örneği Meta Veri Hizmeti kimlik uç noktasından belirteç isteyebilir.
  2. İstemci kimliğini ve sertifikayı kullandığınızda, erişim belirteci istemek için Microsoft Entra Id'ye bir çağrı yapılır.
  3. Microsoft Entra ID bir JSON Web Belirteci (JWT) erişim belirteci döndürür. Uygulamanız, esnek sunucu örneğinize yapılan bir çağrıda erişim belirtecini gönderir.
  4. Esnek sunucu örneği, belirteci Microsoft Entra Id ile doğrular.

PostgreSQL için Azure Veritabanı ile Microsoft Entra Id'yi yapılandırma adımları için bkz. PostgreSQL için Azure Veritabanı ile kimlik doğrulaması için Microsoft Entra Id kullanma.

PostgreSQL yöneticisi ile Microsoft Entra yöneticisi arasındaki farklar

Microsoft Entra sorumlunuz için Microsoft Entra kimlik doğrulamasını Bir Microsoft Entra yöneticisi olarak açtığınızda, hesap:

  • Özgün PostgreSQL yöneticisiyle aynı ayrıcalıkları alır.
  • Sunucudaki diğer Microsoft Entra rollerini yönetebilir.

PostgreSQL yöneticisi yalnızca yerel parola tabanlı kullanıcılar oluşturabilir. Ancak Microsoft Entra yöneticisi, hem Microsoft Entra kullanıcılarını hem de yerel parola tabanlı kullanıcıları yönetme yetkisine sahiptir.

Microsoft Entra yöneticisi bir Microsoft Entra kullanıcısı, Microsoft Entra grubu, hizmet sorumlusu veya yönetilen kimlik olabilir. Bir grup hesabını yönetici olarak kullanmak yönetilebilirliği artırır. PostgreSQL için Azure Veritabanı esnek sunucu örneğindeki kullanıcıları veya izinleri değiştirmeden Microsoft Entra Id'de grup üyelerinin merkezi olarak eklenmesine ve kaldırılmasına izin verir.

Birden çok Microsoft Entra yöneticisini eşzamanlı olarak yapılandırabilirsiniz. Gelişmiş denetim ve uyumluluk gereksinimleri için PostgreSQL için Azure Veritabanı esnek sunucu örneğinde parola kimlik doğrulamasını devre dışı bırakabilirsiniz.

Entra Id için yönetici yapısının ekran görüntüsü.

Azure portalı, API veya SQL aracılığıyla oluşturduğunuz Microsoft Entra yöneticileri, sunucu sağlama sırasında oluşturduğunuz normal yönetici kullanıcıyla aynı izinlere sahiptir. Yönetici olmayan Microsoft Entra rolleri için veritabanı izinlerini normal rollere benzer şekilde yönetirsiniz.

Microsoft Entra kimlikleri aracılığıyla bağlantı

Microsoft Entra kimlik doğrulaması, Microsoft Entra kimliklerini kullanarak veritabanına bağlanmak için aşağıdaki yöntemleri destekler:

  • Microsoft Entra parola kimlik doğrulaması
  • Microsoft Entra tümleşik kimlik doğrulaması
  • Çok faktörlü kimlik doğrulaması ile Microsoft Entra evrensel
  • Active Directory uygulama sertifikaları veya istemci gizli dizileri
  • Yönetilen kimlik

Active Directory'de kimlik doğrulaması yaptıktan sonra bir belirteç alırsınız. Bu belirteç, oturum açmak için parolanızdır.

PostgreSQL için Azure Veritabanı ile Microsoft Entra Id'yi yapılandırma adımları için bkz. PostgreSQL için Azure Veritabanı ile kimlik doğrulaması için Microsoft Entra Id kullanma.

Sınırlamalar ve Dikkat Edilecek Hususlar

PostgreSQL için Azure Veritabanı ile Microsoft Entra kimlik doğrulamasını kullandığınızda aşağıdaki noktaları göz önünde bulundurun:

  • Microsoft Entra sorumlularının herhangi bir dağıtım yordamında kullanıcı veritabanlarının sahipliğini almasını sağlamak için, herhangi bir kullanıcı veritabanı oluşturmadan önce Microsoft Entra kimlik doğrulamasının açık olduğundan emin olmak için dağıtım (Terraform veya Azure Resource Manager) modülünüze açık bağımlılıklar ekleyin.

  • Azure Database for PostgreSQL esnek sunucu örneği için herhangi bir zamanda Microsoft Entra yöneticileri olarak birden çok Microsoft Entra ilkesini (kullanıcı, grup, hizmet sorumlusu veya yönetilen kimlik) yapılandırabilirsiniz.

  • Yalnızca PostgreSQL için Microsoft Entra yöneticisi başlangıçta bir Microsoft Entra hesabı kullanarak PostgreSQL için Azure Veritabanı esnek sunucu örneğine bağlanabilir. Active Directory yöneticisi sonraki Microsoft Entra veritabanı kullanıcılarını yapılandırabilir.

  • Microsoft Entra kimliğinden bir Microsoft Entra sorumlusunu silerseniz, sorumlu PostgreSQL rolü olarak kalır ancak artık yeni bir erişim belirteci alamamaktadır. Bu durumda, eşleşen rol veritabanında hala mevcut olsa da, sunucuda kimlik doğrulaması yapamaz. Veritabanı yöneticilerinin sahipliği aktarması ve rolleri el ile bırakması gerekir.

    Uyarı

    Silinen Microsoft Entra kullanıcısı, belirtecin süresi dolana kadar (belirtecin verilmesinden itibaren en fazla 60 dakika) oturum açabilir. Kullanıcıyı PostgreSQL için Azure Veritabanı'ndan da kaldırırsanız, bu erişim hemen iptal edilir.

  • PostgreSQL için Azure Veritabanı, kullanıcı adı yerine kullanıcının benzersiz Microsoft Entra kullanıcı kimliğini kullanarak erişim belirteçlerini veritabanı rolüyle eşleştirir. Bir Microsoft Entra kullanıcısını silip aynı ada sahip yeni bir kullanıcı oluşturursanız PostgreSQL için Azure Veritabanı farklı bir kullanıcı olduğunu düşünür. Bu nedenle, bir kullanıcıyı Microsoft Entra Id'den siler ve aynı ada sahip yeni bir kullanıcı eklerseniz, yeni kullanıcı mevcut role bağlanamaz.

Sıkça sorulan sorular

  • PostgreSQL için Azure Veritabanı'nda kullanılabilir kimlik doğrulama modları nelerdir?

    PostgreSQL için Azure Veritabanı üç kimlik doğrulama modunu destekler: yalnızca PostgreSQL kimlik doğrulaması, yalnızca Microsoft Entra kimlik doğrulaması ve hem PostgreSQL hem de Microsoft Entra kimlik doğrulaması.

  • Esnek sunucu örneğimde birden çok Microsoft Entra yöneticisi yapılandırabilir miyim?

    Evet. Esnek sunucu örneğinizde birden çok Microsoft Entra yöneticisi yapılandırabilirsiniz. Sağlama sırasında yalnızca tek bir Microsoft Entra yöneticisi ayarlayabilirsiniz. Ancak sunucu oluşturulduktan sonra , Kimlik Doğrulaması bölmesine giderek istediğiniz kadar Microsoft Entra yöneticisi ayarlayabilirsiniz.

  • Microsoft Entra yöneticisi yalnızca bir Microsoft Entra kullanıcısı mı?

    Hayır. Microsoft Entra yöneticisi kullanıcı, grup, hizmet sorumlusu veya yönetilen kimlik olabilir.

  • Microsoft Entra yöneticisi yerel parola tabanlı kullanıcılar oluşturabilir mi?

    Bir Microsoft Entra yöneticisi, hem Microsoft Entra kullanıcılarını hem de yerel parola tabanlı kullanıcıları yönetme yetkisine sahiptir.

  • PostgreSQL için Azure Veritabanı esnek sunucu örneğimde Microsoft Entra kimlik doğrulamasını etkinleştirdiğimde ne olur?

    Microsoft Entra kimlik doğrulamasını sunucu düzeyinde ayarladığınızda PGAadAuth uzantısı etkinleştirilir ve sunucu yeniden başlatılır.

  • Microsoft Entra kimlik doğrulamasını kullanarak nasıl oturum açarım?

    Esnek sunucu örneğinize oturum açmak için psql veya pgAdmin gibi istemci araçlarını kullanabilirsiniz. Kullanıcı adı olarak Microsoft Entra kullanıcı kimliğinizi, parola olarak da Microsoft Entra belirtecinizi kullanın.

  • Belirtecimi nasıl oluşturabilirim?

    belirteci kullanarak az loginoluşturursunuz. Daha fazla bilgi için bkz. Microsoft Entra erişim belirtecini alma.

  • Grup oturum açma bilgileriyle bireysel oturum açma arasındaki fark nedir?

    Microsoft Entra grup üyesi olarak oturum açma ile bireysel bir Microsoft Entra kullanıcısı olarak oturum açma arasındaki tek fark kullanıcı adıdır. Bireysel kullanıcı olarak oturum açmak için bireysel bir Microsoft Entra kullanıcı kimliği gerekir. Grup üyesi olarak oturum açmak için grup adı gerekir. Her iki senaryoda da parolayla aynı tek tek Microsoft Entra belirtecini kullanırsınız.

  • Grup kimlik doğrulaması ile bireysel kimlik doğrulaması arasındaki fark nedir?

    Microsoft Entra grup üyesi olarak oturum açma ile bireysel bir Microsoft Entra kullanıcısı olarak oturum açma arasındaki tek fark kullanıcı adıdır. Bireysel kullanıcı olarak oturum açmak için bireysel bir Microsoft Entra kullanıcı kimliği gerekir. Grup üyesi olarak oturum açmak için grup adı gerekir. Her iki senaryoda da parolayla aynı tek tek Microsoft Entra belirtecini kullanırsınız.

Belirteç ömrü nedir?

Kullanıcı belirteçleri 1 saate kadar geçerlidir. Sistem tarafından atanan yönetilen kimlikler için belirteçler 24 saate kadar geçerlidir.

İlgili içerik

  • Last updated on