PostgreSQL için Azure Veritabanı - Esnek Sunucu ile Microsoft Entra kimlik doğrulaması
ŞUNLAR IÇIN GEÇERLIDIR: PostgreSQL için Azure Veritabanı - Esnek Sunucu
Microsoft Entra kimlik doğrulaması, Microsoft Entra Id'de tanımlanan kimlikleri kullanarak PostgreSQL için Azure Veritabanı esnek sunucuya bağlanma mekanizmasıdır. Microsoft Entra kimlik doğrulaması ile veritabanı kullanıcı kimliklerini ve diğer Microsoft hizmetleri merkezi bir konumda yönetebilir ve bu da izin yönetimini basitleştirir.
Microsoft Entra ID kullanmanın avantajları şunlardır:
- Azure hizmetlerindeki kullanıcıların tekdüzen bir şekilde kimlik doğrulaması.
- Parola ilkelerinin ve parola döndürmenin tek bir yerde yönetimi.
- Parola depolama gereksinimini ortadan kaldırabilecek birden çok kimlik doğrulama biçimi desteği.
- Müşterilerin dış (Microsoft Entra Id) gruplarını kullanarak veritabanı izinlerini yönetme olanağı.
- Kimliklerin veritabanı düzeyinde kimliğini doğrulamak için PostgreSQL veritabanı rollerinin kullanılması.
- Esnek PostgreSQL için Azure Veritabanı sunucuya bağlanan uygulamalar için belirteç tabanlı kimlik doğrulaması desteği.
Dağıtım seçenekleri arasındaki Microsoft Entra Id özellik ve özellik karşılaştırmaları
PostgreSQL için Azure Veritabanı esnek sunucu için Microsoft Entra kimlik doğrulaması, deneyimimizi ve tek PostgreSQL için Azure Veritabanı sunucudan toplanan geri bildirimlerimizi birleştirir.
Aşağıdaki tabloda, PostgreSQL için Azure Veritabanı tek sunucu ile PostgreSQL için Azure Veritabanı esnek sunucu arasındaki Microsoft Entra Id özelliklerinin ve özelliklerinin üst düzey karşılaştırmaları listelenmiştir.
Özellik/Yetenek | PostgreSQL için Azure Veritabanı tek sunucu | PostgreSQL için Azure Veritabanı esnek sunucu |
---|---|---|
Birden çok Microsoft Entra yöneticisi | Hayır | Evet |
Yönetilen kimlikler (sistem ve kullanıcı atanmış) | Kısmi | Tam |
Davet edilen kullanıcı desteği | Hayır | Evet |
Parola kimlik doğrulamasını kapatma özelliği | Kullanılamaz | Uygun |
Hizmet sorumlusunun grup üyesi olarak hareket edebilmesi | Hayır | Evet |
Microsoft Entra oturum açma işlemlerine yönelik denetimler | Hayır | Evet |
PgBouncer desteği | Hayır | Evet |
Microsoft Entra ID PostgreSQL için Azure Veritabanı esnek sunucuda nasıl çalışır?
Aşağıdaki üst düzey diyagramda, esnek PostgreSQL için Azure Veritabanı sunucuyla Microsoft Entra kimlik doğrulamasını kullandığınızda kimlik doğrulamasının nasıl çalıştığı özetlenmiştir. Oklar iletişim yollarını gösterir.
Microsoft Entra Id'yi esnek PostgreSQL için Azure Veritabanı sunucuyla yapılandırma adımları için bkz. PostgreSQL için Azure Veritabanı için Microsoft Entra Id - Esnek Sunucu'da yapılandırma ve oturum açma.
PostgreSQL yöneticisi ile Microsoft Entra yöneticisi arasındaki farklar
Esnek sunucunuz için Microsoft Entra kimlik doğrulamasını açtığınızda ve Microsoft Entra yöneticisi olarak bir Microsoft Entra sorumlusu eklediğinizde, hesap:
- Özgün PostgreSQL yöneticisiyle aynı ayrıcalıkları alır.
- Sunucudaki diğer Microsoft Entra rollerini yönetebilir.
PostgreSQL yöneticisi yalnızca yerel parola tabanlı kullanıcılar oluşturabilir. Ancak Microsoft Entra yöneticisi, hem Microsoft Entra kullanıcılarını hem de yerel parola tabanlı kullanıcıları yönetme yetkisine sahiptir.
Microsoft Entra yöneticisi bir Microsoft Entra kullanıcısı, Microsoft Entra grubu, hizmet sorumlusu veya yönetilen kimlik olabilir. Bir grup hesabını yönetici olarak kullanmak yönetilebilirliği artırır. PostgreSQL için Azure Veritabanı esnek sunucu örneğindeki kullanıcıları veya izinleri değiştirmeden Microsoft Entra Id'de grup üyelerinin merkezi olarak eklenmesine ve kaldırılmasına izin verir.
Birden çok Microsoft Entra yöneticisini eşzamanlı olarak yapılandırabilirsiniz. Gelişmiş denetim ve uyumluluk gereksinimleri için parola kimlik doğrulamasını PostgreSQL için Azure Veritabanı esnek bir sunucu örneğinde devre dışı bırakma seçeneğiniz vardır.
Not
Hizmet sorumlusu veya yönetilen kimlik, esnek PostgreSQL için Azure Veritabanı sunucuda tam işlevsel Microsoft Entra yöneticisi olarak görev yapabilir. Bu, tek sunucu PostgreSQL için Azure Veritabanı bir sınırlamaydı.
Azure portalı, API veya SQL aracılığıyla oluşturduğunuz Microsoft Entra yöneticileri, sunucu sağlama sırasında oluşturduğunuz normal yönetici kullanıcıyla aynı izinlere sahiptir. Yönetici olmayan Microsoft Entra rolleri için veritabanı izinleri normal rollere benzer şekilde yönetilir.
Microsoft Entra kimlikleri aracılığıyla Bağlan
Microsoft Entra kimlik doğrulaması, Microsoft Entra kimliklerini kullanarak veritabanına bağlanmak için aşağıdaki yöntemleri destekler:
- Microsoft Entra parola kimlik doğrulaması
- Microsoft Entra tümleşik kimlik doğrulaması
- Çok faktörlü kimlik doğrulaması ile Microsoft Entra evrensel
- Active Directory uygulama sertifikaları veya istemci gizli dizileri
- Yönetilen kimlik
Active Directory'de kimlik doğrulaması yaptıktan sonra bir belirteç alırsınız. Bu belirteç, oturum açmak için parolanızdır.
Microsoft Entra ID'yi esnek PostgreSQL için Azure Veritabanı sunucuyla yapılandırmak için, PostgreSQL için Azure Veritabanı - Esnek Sunucu için Microsoft Entra Id ile yapılandırma ve oturum açma makalesindeki adımları izleyin.
Dikkat edilecek diğer noktalar
Microsoft Entra sorumlularının herhangi bir dağıtım yordamındaki kullanıcı veritabanlarının sahipliğini varsaymasını istiyorsanız, herhangi bir kullanıcı veritabanı oluşturmadan önce Microsoft Entra kimlik doğrulamasının açık olduğundan emin olmak için dağıtım (Terraform veya Azure Resource Manager) modülünüze açık bağımlılıklar ekleyin.
Birden çok Microsoft Entra sorumlusu (kullanıcı, grup, hizmet sorumlusu veya yönetilen kimlik) herhangi bir zamanda PostgreSQL için Azure Veritabanı esnek sunucu örneğinde Microsoft Entra yöneticisi olarak yapılandırılabilir.
Yalnızca PostgreSQL için Microsoft Entra yöneticisi başlangıçta bir Microsoft Entra hesabı kullanarak PostgreSQL için Azure Veritabanı esnek sunucu örneğine bağlanabilir. Active Directory yöneticisi sonraki Microsoft Entra veritabanı kullanıcılarını yapılandırabilir.
Microsoft Entra sorumlusu Microsoft Entra Id'den silinirse PostgreSQL rolü olarak kalır ancak artık yeni bir erişim belirteci alamamaktadır. Bu durumda, eşleşen rol veritabanında hala mevcut olsa da, sunucuda kimlik doğrulaması yapamaz. Veritabanı yöneticilerinin sahipliği aktarması ve rolleri el ile bırakması gerekir.
Not
Silinen Microsoft Entra kullanıcısı, belirtecin süresi dolana kadar (belirtecin verilmesinden itibaren en fazla 60 dakika) oturum açabilir. Kullanıcıyı esnek PostgreSQL için Azure Veritabanı sunucudan da kaldırırsanız, bu erişim hemen iptal edilir.
PostgreSQL için Azure Veritabanı esnek sunucu, kullanıcı adı yerine kullanıcının benzersiz Microsoft Entra kullanıcı kimliğini kullanarak erişim belirteçlerini veritabanı rolüyle eşleştirir. Bir Microsoft Entra kullanıcısı silinirse ve aynı ada sahip yeni bir kullanıcı oluşturulursa PostgreSQL için Azure Veritabanı esnek sunucu bunu farklı bir kullanıcı olarak değerlendirir. Bu nedenle, bir kullanıcı Microsoft Entra Id'den silinirse ve aynı ada sahip yeni bir kullanıcı eklenirse, yeni kullanıcı mevcut role bağlanamaz.
Sık sorulan sorular
Esnek PostgreSQL için Azure Veritabanı sunucuda kullanılabilen kimlik doğrulama modları nelerdir?
PostgreSQL için Azure Veritabanı esnek sunucu üç kimlik doğrulama modunu destekler: yalnızca PostgreSQL kimlik doğrulaması, yalnızca Microsoft Entra kimlik doğrulaması ve hem PostgreSQL hem de Microsoft Entra kimlik doğrulaması.
Esnek sunucumda birden çok Microsoft Entra yöneticisi yapılandırabilir miyim?
Evet. Esnek sunucunuzda birden çok Microsoft Entra yöneticisi yapılandırabilirsiniz. Sağlama sırasında yalnızca tek bir Microsoft Entra yöneticisi ayarlayabilirsiniz. Ancak sunucu oluşturulduktan sonra, Kimlik Doğrulaması bölmesine giderek istediğiniz kadar Microsoft Entra yöneticisi ayarlayabilirsiniz.
Microsoft Entra yöneticisi yalnızca bir Microsoft Entra kullanıcısı mı?
Hayır Microsoft Entra yöneticisi kullanıcı, grup, hizmet sorumlusu veya yönetilen kimlik olabilir.
Microsoft Entra yöneticisi yerel parola tabanlı kullanıcılar oluşturabilir mi?
Bir Microsoft Entra yöneticisi, hem Microsoft Entra kullanıcılarını hem de yerel parola tabanlı kullanıcıları yönetme yetkisine sahiptir.
Esnek sunucumda Microsoft Entra kimlik doğrulamasını etkinleştirdiğimde ne olur?
Microsoft Entra kimlik doğrulamasını sunucu düzeyinde ayarladığınızda PGAadAuth uzantısı etkinleştirilir ve sunucu yeniden başlatılır.
Microsoft Entra kimlik doğrulamasını kullanarak oturum Nasıl yaparım??
Esnek sunucunuzda oturum açmak için psql veya pg Yönetici gibi istemci araçlarını kullanabilirsiniz. Kullanıcı adı olarak Microsoft Entra kullanıcı kimliğinizi, parola olarak da Microsoft Entra belirtecinizi kullanın.
Belirtecimi Nasıl yaparım? oluştur?
belirteci kullanarak
az login
oluşturursunuz. Daha fazla bilgi için bkz . Microsoft Entra erişim belirtecini alma.Grup oturum açma bilgileriyle bireysel oturum açma arasındaki fark nedir?
Microsoft Entra grup üyesi olarak oturum açma ile bireysel bir Microsoft Entra kullanıcısı olarak oturum açma arasındaki tek fark kullanıcı adıdır. Bireysel kullanıcı olarak oturum açmak için bireysel bir Microsoft Entra kullanıcı kimliği gerekir. Grup üyesi olarak oturum açmak için grup adı gerekir. Her iki senaryoda da parolayla aynı tek tek Microsoft Entra belirtecini kullanırsınız.
Belirteç ömrü nedir?
Kullanıcı belirteçleri 1 saate kadar geçerlidir. Sistem tarafından atanan yönetilen kimlikler için belirteçler 24 saate kadar geçerlidir.
Sonraki adımlar
- Bir Microsoft Entra Id örneği oluşturup doldurmayı ve ardından Microsoft Entra Id'yi esnek PostgreSQL için Azure Veritabanı sunucuyla yapılandırmayı öğrenmek için bkz. PostgreSQL için Azure Veritabanı - Esnek Sunucu için Microsoft Entra Id'yi yapılandırma ve oturum açma.
- PostgreSQL için Azure Veritabanı esnek sunucu için Microsoft Entra kullanıcılarını yönetmeyi öğrenmek için bkz. PostgreSQL için Azure Veritabanı - Esnek Sunucuda Microsoft Entra rollerini yönetme.