Delen via

Microsoft Entra-verificatie met Azure Database for PostgreSQL

Microsoft Entra-verificatie is een mechanisme voor het maken van verbinding met Azure Database for PostgreSQL met behulp van identiteiten die zijn gedefinieerd in Microsoft Entra-id. Met Microsoft Entra-verificatie kunt u databasegebruikersidentiteiten en andere Microsoft-services beheren op een centrale locatie, wat het beheer van machtigingen vereenvoudigt.

Voordelen van het gebruik van Microsoft Entra ID zijn:

  • Verificatie van gebruikers in Azure-services op een uniforme manier.
  • Beheer van wachtwoordbeleid en wachtwoordrotatie op één plaats.
  • Ondersteuning voor meerdere vormen van verificatie, waardoor wachtwoorden niet meer hoeven op te slaan.
  • De mogelijkheid van klanten om databasemachtigingen te beheren met behulp van externe (Microsoft Entra ID)-groepen.
  • Het gebruik van PostgreSQL-databaserollen voor het verifiëren van identiteiten op databaseniveau.
  • Ondersteuning van verificatie op basis van tokens voor toepassingen die verbinding maken met Azure Database for PostgreSQL Flexibele Server-instantie.

Hoe Microsoft Entra-id werkt in Azure Database for PostgreSQL

In het volgende diagram op hoog niveau ziet u hoe verificatie werkt wanneer u Microsoft Entra-verificatie gebruikt met Azure Database for PostgreSQL. De pijlen geven communicatiepaden aan.

Diagram van de verificatiestroom tussen Microsoft Entra-id, de computer van de gebruiker en de server.

  1. Uw toepassing kan een token aanvragen bij het Azure flexible server instance Metadata Service identity-eindpunt.
  2. Wanneer u de client-id en het certificaat gebruikt, wordt een aanroep naar Microsoft Entra-id uitgevoerd om een toegangstoken aan te vragen.
  3. Microsoft Entra ID retourneert een JSON-toegangstoken (JWT). Uw toepassing verzendt het toegangstoken bij een aanroep van uw flexibele serverinstantie.
  4. Het exemplaar van de flexibele server valideert het token met Microsoft Entra-id.

Zie Microsoft Entra ID gebruiken voor verificatie met Azure Database for PostgreSQL voor de stappen voor het configureren van Microsoft Entra ID voor verificatie met Azure Database for PostgreSQL.

Verschillen tussen een PostgreSQL-beheerder en een Microsoft Entra-beheerder

Wanneer u Microsoft Entra-verificatie inschakelt voor uw Microsoft Entra-principal als Microsoft Entra-beheerder, is het account:

  • Haalt dezelfde bevoegdheden op als de oorspronkelijke PostgreSQL-beheerder.
  • Kan andere Microsoft Entra-functies op de server beheren.

De PostgreSQL-beheerder kan alleen lokale gebruikers op basis van een wachtwoord maken. Maar de Microsoft Entra-beheerder heeft de bevoegdheid om zowel Microsoft Entra-gebruikers als lokale gebruikers op basis van wachtwoorden te beheren.

De Microsoft Entra-beheerder kan een Microsoft Entra-gebruiker, Microsoft Entra-groep, service-principal of beheerde identiteit zijn. Het gebruik van een groepsaccount als beheerder verbetert de beheerbaarheid. Hiermee kunt u de gecentraliseerde toevoeging en verwijdering van groepsleden in Microsoft Entra-id toestaan zonder de gebruikers of machtigingen binnen het flexibele serverexemplaren van Azure Database for PostgreSQL te wijzigen.

U kunt meerdere Microsoft Entra-beheerders gelijktijdig configureren. U kunt wachtwoordverificatie deactiveren voor een flexibele serverinstantie van Azure Database for PostgreSQL voor verbeterde controle- en nalevingsvereisten.

Schermopname van de beheerstructuur voor Entra-id.

Microsoft Entra-beheerders die u maakt via Azure Portal, een API of SQL hebben dezelfde machtigingen als de gewone beheerder die u tijdens het inrichten van de server hebt gemaakt. U beheert databasemachtigingen voor niet-beheerdersrollen van Microsoft Entra, vergelijkbaar met gewone rollen.

Verbinding via Microsoft Entra-identiteiten

Microsoft Entra-verificatie ondersteunt de volgende methoden om verbinding te maken met een database met behulp van Microsoft Entra-identiteiten:

  • Wachtwoordverificatie voor Microsoft Entra
  • Geïntegreerde Microsoft Entra-verificatie
  • Microsoft Entra universeel met meervoudige verificatie
  • Active Directory-toepassingscertificaten of clientgeheimen
  • Beheerde identiteit

Nadat u zich hebt geverifieerd bij Active Directory, haalt u een token op. Dit token is uw wachtwoord voor het aanmelden.

Zie Microsoft Entra ID gebruiken voor verificatie met Azure Database for PostgreSQL voor de stappen voor het configureren van Microsoft Entra ID voor verificatie met Azure Database for PostgreSQL.

Beperkingen en overwegingen

Houd rekening met de volgende punten wanneer u Microsoft Entra-verificatie gebruikt met Azure Database for PostgreSQL:

  • Als u Wilt dat Microsoft Entra-principals eigenaar worden van de gebruikersdatabases in een implementatieprocedure, voegt u expliciete afhankelijkheden toe binnen uw implementatiemodule (Terraform of Azure Resource Manager) om ervoor te zorgen dat Microsoft Entra-verificatie is ingeschakeld voordat u gebruikersdatabases maakt.

  • U kunt op elk gewenst moment meerdere Microsoft Entra-principals (gebruiker, groep, service-principal of beheerde identiteit) configureren als Microsoft Entra-beheerders voor een flexibele Azure Database for PostgreSQL-serverinstantie.

  • Alleen een Microsoft Entra-beheerder voor PostgreSQL kan in eerste instantie verbinding maken met het flexibele serverexemplaren van Azure Database for PostgreSQL met behulp van een Microsoft Entra-account. De Active Directory-beheerder kan volgende Microsoft Entra-databasegebruikers configureren.

  • Als u een Microsoft Entra-principal van Microsoft Entra-id verwijdert, blijft de principal een PostgreSQL-rol, maar kan deze geen nieuw toegangstoken meer verkrijgen. In dit geval, hoewel de overeenkomende rol nog steeds bestaat in de database, kan deze niet worden geverifieerd bij de server. Databasebeheerders moeten het eigendom overdragen en rollen handmatig verwijderen.

    Opmerking

    De verwijderde Microsoft Entra-gebruiker kan zich nog steeds aanmelden totdat het token verloopt (maximaal 60 minuten van het verlenen van tokens). Als u de gebruiker ook verwijdert uit Azure Database for PostgreSQL, wordt deze toegang onmiddellijk ingetrokken.

  • Azure Database for PostgreSQL komt overeen met toegangstokens voor de databaserol met behulp van de unieke Microsoft Entra-gebruikers-id van de gebruiker, in tegenstelling tot het gebruik van de gebruikersnaam. Als u een Microsoft Entra-gebruiker verwijdert en een nieuwe gebruiker met dezelfde naam maakt, is Azure Database for PostgreSQL van mening dat een andere gebruiker. Als u daarom een gebruiker verwijdert uit Microsoft Entra ID en een nieuwe gebruiker met dezelfde naam toevoegt, kan de nieuwe gebruiker geen verbinding maken met de bestaande rol.

Veelgestelde vragen

  • Wat zijn de beschikbare verificatiemodi in Azure Database for PostgreSQL?

    Azure Database for PostgreSQL ondersteunt drie verificatiemodi: alleen PostgreSQL-verificatie, alleen Microsoft Entra-verificatie en zowel PostgreSQL- als Microsoft Entra-verificatie.

  • Kan ik meerdere Microsoft Entra-beheerders configureren op mijn flexibele serverexemplaren?

    Ja. U kunt meerdere Microsoft Entra-beheerders configureren op uw flexibele serverexemplaren. Tijdens het inrichten kunt u slechts één Microsoft Entra-beheerder instellen. Maar nadat de server is gemaakt, kunt u zo veel Microsoft Entra-beheerders instellen als u wilt door naar het deelvenster Verificatie te gaan.

  • Is een Microsoft Entra-beheerder alleen een Microsoft Entra-gebruiker?

    Nee. Een Microsoft Entra-beheerder kan een gebruiker, groep, service-principal of beheerde identiteit zijn.

  • Kan een Microsoft Entra-beheerder lokale gebruikers op basis van een wachtwoord maken?

    Een Microsoft Entra-beheerder heeft de bevoegdheid om zowel Microsoft Entra-gebruikers als lokale gebruikers op basis van wachtwoorden te beheren.

  • Wat gebeurt er wanneer ik Microsoft Entra-verificatie inschakelen op mijn flexibele Server-exemplaar van Azure Database for PostgreSQL?

    Wanneer u Microsoft Entra-verificatie instelt op serverniveau, wordt de PGAadAuth-extensie ingeschakeld en wordt de server opnieuw opgestart.

  • Hoe meld ik me aan met behulp van Microsoft Entra-verificatie?

    U kunt clienthulpprogramma's gebruiken, zoals psql of pgAdmin, om in te loggen bij uw flexibele serverinstantie. Gebruik uw Microsoft Entra-gebruikers-id als gebruikersnaam en uw Microsoft Entra-token als uw wachtwoord.

  • Hoe genereer ik mijn token?

    U genereert het token met behulp van az login. Zie Het Microsoft Entra-toegangstoken ophalen voor meer informatie.

  • Wat is het verschil tussen groepsaanmelding en afzonderlijke aanmelding?

    Het enige verschil tussen aanmelden als lid van een Microsoft Entra-groep en aanmelden als een afzonderlijke Microsoft Entra-gebruiker ligt in de gebruikersnaam. Voor aanmelden als afzonderlijke gebruiker is een afzonderlijke Microsoft Entra-gebruikers-id vereist. Voor aanmelden als groepslid is de groepsnaam vereist. In beide scenario's gebruikt u hetzelfde afzonderlijke Microsoft Entra-token als het wachtwoord.

  • Wat is het verschil tussen groepsverificatie en afzonderlijke verificatie?

    Het enige verschil tussen aanmelden als lid van een Microsoft Entra-groep en aanmelden als een afzonderlijke Microsoft Entra-gebruiker ligt in de gebruikersnaam. Voor aanmelden als afzonderlijke gebruiker is een afzonderlijke Microsoft Entra-gebruikers-id vereist. Voor aanmelden als groepslid is de groepsnaam vereist. In beide scenario's gebruikt u hetzelfde afzonderlijke Microsoft Entra-token als het wachtwoord.

Wat is de levensduur van het token?

Gebruikerstokens zijn maximaal 1 uur geldig. Tokens voor door het systeem toegewezen beheerde identiteiten zijn maximaal 24 uur geldig.

Verwante inhoud