Aracılığıyla paylaş

PostgreSQL ile kimlik doğrulaması için Microsoft Entra ID kullanma

  • Makale

ŞUNLAR IÇIN GEÇERLIDIR: PostgreSQL için Azure Veritabanı - Tek Sunucu

Önemli

PostgreSQL için Azure Veritabanı - Tek Sunucu kullanımdan kaldırma yolundadır. PostgreSQL için Azure Veritabanı - Esnek Sunucu'ya yükseltmenizi kesinlikle öneririz. PostgreSQL için Azure Veritabanı - Esnek Sunucu'ya geçiş hakkında daha fazla bilgi için bkz. PostgreSQL için Azure Veritabanı Tek Sunucuya ne oluyor?.

Microsoft Entra kimlik doğrulaması, Microsoft Entra Id'de tanımlanan kimlikleri kullanarak PostgreSQL için Azure Veritabanı bağlanma mekanizmasıdır. Microsoft Entra kimlik doğrulaması ile veritabanı kullanıcı kimliklerini ve diğer Microsoft hizmetleri merkezi bir konumda yönetebilir ve bu da izin yönetimini basitleştirir.

Microsoft Entra ID kullanmanın avantajları şunlardır:

  • Azure Hizmetleri genelinde kullanıcıların tekdüzen bir şekilde kimlik doğrulaması
  • Parola ilkelerinin ve parola döndürmenin tek bir yerde yönetimi
  • Microsoft Entra Id tarafından desteklenen ve parolaları depolama gereksinimini ortadan kaldırabilen birden çok kimlik doğrulaması biçimi
  • Müşteriler dış (Microsoft Entra Id) gruplarını kullanarak veritabanı izinlerini yönetebilir.
  • Microsoft Entra kimlik doğrulaması, kimlikleri veritabanı düzeyinde doğrulamak için PostgreSQL veritabanı rollerini kullanır
  • PostgreSQL için Azure Veritabanı bağlanan uygulamalar için belirteç tabanlı kimlik doğrulaması desteği

Microsoft Entra kimlik doğrulamasını yapılandırmak ve kullanmak için aşağıdaki işlemi kullanın:

  1. Gerektiğinde Microsoft Entra Id'yi oluşturun ve kullanıcı kimlikleriyle doldurun.
  2. İsteğe bağlı olarak, şu anda Azure aboneliğinizle ilişkilendirilmiş olan Active Directory'yi ilişkilendirin veya değiştirin.
  3. PostgreSQL için Azure Veritabanı sunucusu için bir Microsoft Entra yöneticisi oluşturun.
  4. Veritabanınızda Microsoft Entra kimliklerine eşlenmiş veritabanı kullanıcıları oluşturun.
  5. Microsoft Entra kimliği için bir belirteç alıp oturum açarak veritabanınıza bağlanın.

Not

Microsoft Entra Id oluşturmayı ve doldurmayı ve ardından Microsoft Entra Id'yi PostgreSQL için Azure Veritabanı ile yapılandırmayı öğrenmek için bkz. PostgreSQL için Azure Veritabanı için Microsoft Entra Id'yi yapılandırma ve oturum açma.

Mimari

Aşağıdaki üst düzey diyagram, PostgreSQL için Azure Veritabanı ile Microsoft Entra kimlik doğrulamasını kullanarak kimlik doğrulamasının nasıl çalıştığını özetler. Oklar iletişim yollarını gösterir.

kimlik doğrulama akışı

Yönetici yapısı

Microsoft Entra kimlik doğrulamasını kullanırken PostgreSQL sunucusu için iki Yönetici hesabı vardır; özgün PostgreSQL yöneticisi ve Microsoft Entra yöneticisi. Yalnızca bir Microsoft Entra hesabını temel alan yönetici, bir kullanıcı veritabanındaki ilk Microsoft Entra kimliğine sahip veritabanı kullanıcısını oluşturabilir. Microsoft Entra yönetici oturum açma bilgileri bir Microsoft Entra kullanıcısı veya Bir Microsoft Entra grubu olabilir. Yönetici bir grup hesabı olduğunda, herhangi bir grup üyesi tarafından kullanılabilir ve PostgreSQL sunucusu için birden çok Microsoft Entra yöneticisi etkinleştirilebilir. Grup hesabını yönetici olarak kullanmak, PostgreSQL sunucusundaki kullanıcıları veya izinleri değiştirmeden Microsoft Entra Id'de grup üyelerini merkezi olarak eklemenizi ve kaldırmanızı sağlayarak yönetilebilirliği artırır. İstediğiniz zaman yalnızca bir Microsoft Entra yöneticisi (kullanıcı veya grup) yapılandırılabilir.

yönetici yapısı

Not

Hizmet Sorumlusu veya Yönetilen Kimlik, Tek Sunucuda tam işlevsel Microsoft Entra Yöneticisi olarak davranamaz ve bu sınırlama Esnek Sunucumuzda düzeltildi

İzinler

Microsoft Entra Id ile kimlik doğrulaması yapabilecek yeni kullanıcılar oluşturmak için, rolün veritabanında olması gerekir azure_ad_admin . Bu rol, belirli bir PostgreSQL için Azure Veritabanı sunucusu için Microsoft Entra Administrator hesabı yapılandırılarak atanır.

Yeni bir Microsoft Entra veritabanı kullanıcısı oluşturmak için Microsoft Entra yöneticisi olarak bağlanmanız gerekir. Bu, PostgreSQL için Azure Veritabanı için Microsoft Entra Id yapılandırma ve oturum açma makalesinde gösterilmiştir.

Herhangi bir Microsoft Entra kimlik doğrulaması yalnızca Microsoft Entra yöneticisi PostgreSQL için Azure Veritabanı için oluşturulduysa mümkündür. Microsoft Entra yöneticisi sunucudan kaldırılırsa, daha önce oluşturulan mevcut Microsoft Entra kullanıcıları artık Microsoft Entra kimlik bilgilerini kullanarak veritabanına bağlanamıyor.

Microsoft Entra kimliklerini kullanarak bağlanma

Microsoft Entra kimlik doğrulaması, Microsoft Entra kimliklerini kullanarak veritabanına bağlanmak için aşağıdaki yöntemleri destekler:

  • Microsoft Entra Parolası
  • Microsoft Entra tümleşik
  • MFA ile Microsoft Entra Universal
  • Active Directory Uygulama sertifikalarını veya istemci gizli dizilerini kullanma
  • Yönetilen Kimlik

Active Directory'de kimlik doğrulaması yaptıktan sonra bir belirteç alırsınız. Bu belirteç, oturum açmak için parolanızdır.

Yeni kullanıcı ekleme gibi yönetim işlemlerinin bu noktada yalnızca Microsoft Entra kullanıcı rolleri için desteklendiğini lütfen unutmayın.

Not

Active Directory belirtecine bağlanma hakkında daha fazla bilgi için bkz. PostgreSQL için Azure Veritabanı için Microsoft Entra Id ile yapılandırma ve oturum açma.

Dikkat edilecek diğer noktalar

  • Yönetilebilirliği geliştirmek için yönetici olarak ayrılmış bir Microsoft Entra grubu sağlamanızı öneririz.
  • bir PostgreSQL için Azure Veritabanı sunucusu için herhangi bir anda yalnızca bir Microsoft Entra yöneticisi (kullanıcı veya grup) yapılandırılabilir.
  • Yalnızca PostgreSQL için Microsoft Entra yöneticisi başlangıçta bir Microsoft Entra hesabı kullanarak PostgreSQL için Azure Veritabanı'na bağlanabilir. Active Directory yöneticisi sonraki Microsoft Entra veritabanı kullanıcılarını yapılandırabilir.
  • Bir kullanıcı Microsoft Entra Id'den silinirse, bu kullanıcı artık Microsoft Entra Id ile kimlik doğrulaması yapamayacak ve bu nedenle bu kullanıcı için erişim belirteci almak artık mümkün olmayacaktır. Bu durumda, eşleşen rol veritabanında olmaya devam edecek olsa da, bu role sahip sunucuya bağlanmak mümkün olmayacaktır.

Not

Silinen Microsoft Entra kullanıcısıyla oturum açma işlemi, belirtecin süresi dolana kadar (belirtecin verilmesinden itibaren en fazla 60 dakika) yapılabilir. Kullanıcıyı da PostgreSQL için Azure Veritabanı kaldırırsanız bu erişim hemen iptal edilir.

  • Microsoft Entra yöneticisi sunucudan kaldırılırsa, sunucu artık bir Microsoft Entra kiracısıyla ilişkilendirilmez ve bu nedenle sunucu için tüm Microsoft Entra oturum açma işlemleri devre dışı bırakılır. Aynı kiracıdan yeni bir Microsoft Entra yöneticisi eklemek Microsoft Entra oturum açma bilgilerini yeniden kullanılabilir hale getirebilir.
  • PostgreSQL için Azure Veritabanı, kullanıcı adı yerine kullanıcının benzersiz Microsoft Entra kullanıcı kimliğini kullanarak erişim belirteçlerini PostgreSQL için Azure Veritabanı rolüyle eşleştirir. Bu, bir Microsoft Entra kullanıcısı Microsoft Entra Kimliği'nde silinirse ve aynı ada sahip yeni bir kullanıcı oluşturulursa, PostgreSQL için Azure Veritabanı farklı bir kullanıcı olduğunu kabul eder. Bu nedenle, bir kullanıcı Microsoft Entra Id'den silinirse ve aynı ada sahip yeni bir kullanıcı eklenirse, yeni kullanıcı mevcut role bağlanamaz. Buna izin vermek için, PostgreSQL için Azure Veritabanı Microsoft Entra yöneticisinin microsoft Entra kullanıcı kimliğini yenilemesi için kullanıcıya "azure_ad_user" rolünü iptal etmesi ve vermesi gerekir.

Sonraki adımlar

  • Microsoft Entra Id oluşturmayı ve doldurmayı ve ardından Microsoft Entra Id'yi PostgreSQL için Azure Veritabanı ile yapılandırmayı öğrenmek için bkz. PostgreSQL için Azure Veritabanı için Microsoft Entra Id'yi yapılandırma ve oturum açma.
  • PostgreSQL için Azure Veritabanı oturum açma bilgilerine, kullanıcılara ve veritabanı rollerine genel bakış için bkz. PostgreSQL için Azure Veritabanı - Tek Sunucuda kullanıcı oluşturma.