Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Azure Cosmos DB for MongoDB vCore stöder integrering med Microsoft Entra-ID och intern DocumentDB-autentisering. Varje Azure Cosmos DB for MongoDB vCore-kluster skapas med inbyggd DocumentDB-autentisering aktiverad och en inbyggd administrativ användare.
Du kan aktivera Microsoft Entra-ID-autentisering på ett kluster utöver den interna DocumentDB-autentiseringsmetoden eller i stället för den. Du kan konfigurera autentiseringsmetoder för varje Azure Cosmos DB för MongoDB vCore-kluster oberoende av varandra. Om du behöver ändra autentiseringsmetod kan du göra det när som helst när klusteretablering har slutförts. Att ändra autentiseringsmetoder kräver inte omstart av klustret.
Microsoft Entra ID-autentisering
Microsoft Entra ID-autentisering är en mekanism för att ansluta till Azure Cosmos DB för MongoDB vCore med hjälp av identiteter som definierats i Microsoft Entra-ID. Med Microsoft Entra-ID-autentisering kan du hantera databasanvändares identiteter och andra Microsoft-tjänster på en central plats, vilket förenklar efterlevnaden av behörighetshantering och identitetstjänster.
Fördelarna med att använda Microsoft Entra-ID för autentisering är:
Autentisering av användare i Azure-tjänster på ett enhetligt sätt
Hantering av lösenordsprinciper och lösenordsrotation på en enda plats
Flera former av autentisering som stöds av Microsoft Entra-ID, vilket kan eliminera behovet av att lagra lösenord
Stöd för tokenbaserad autentisering för program som ansluter till Azure Cosmos DB för MongoDB vCore-kluster
Samverkan med MongoDB-drivrutiner tillhandahålls via OpenID Connect-stöd (OIDC) i Microsoft Entra ID. OIDC är ett autentiseringsprotokoll baserat på OAuth2-protokollet som används för auktorisering. OIDC använder standardiserade meddelandeflöden från OAuth2 för att tillhandahålla identitetstjänster. När du behöver autentisera till ett Azure Cosmos DB for MongoDB vCore-kluster via Microsoft Entra-ID anger du en Säkerhetstoken för Microsoft Entra-ID med hjälp av OIDC-identifiering.
Administrativ och icke-administrativ åtkomst för Microsoft Entra ID-huvudnamn
När Microsoft Entra ID-autentisering är aktiverat i ett Azure Cosmos DB for MongoDB vCore-kluster kan du lägga till ett eller flera Microsoft Entra-ID-huvudnamn som administratörsanvändare i klustret. Microsoft Entra ID-administratören kan vara en Microsoft Entra ID-användare, ett tjänstehuvudnamn eller en hanterad identitet. Flera Microsoft Entra-ID-administratörer kan konfigureras när som helst.
Administrativa Entra-ID-användare skapas som Azure-entiteter under Microsoft.DocumentDB/mongoClusters/users och replikeras till databasen.
Dessutom kan en eller flera icke-administrativa Microsoft Entra-ID-användare läggas till i ett kluster när som helst när Microsoft Entra-ID-autentisering har aktiverats. Icke-administratörsanvändare används ofta för pågående produktionsaktiviteter som inte kräver administratörsbehörighet.
Överväganden
Klustret måste ha en autentiseringsmetod aktiverad. Det kan vara både intern autentisering och Microsoft Entra-ID eller någon av dessa metoder.
Viktigt!
När ett kluster skapas måste du ha den interna DocumentDB-autentiseringsmetoden aktiverad och ange interna autentiseringsuppgifter för administrativa användare. Du kan inaktivera den interna DocumentDB-autentiseringsmetoden när det nya klustret har slutfört etableringen.
Autentiseringsmetoder i det primära klustret och i replikklustret hanteras oberoende av varandra.
Flera Microsoft Entra ID-principaler kan konfigureras som Microsoft Entra ID-administratör för ett Azure Cosmos DB för MongoDB vCore-kluster när som helst. Du kan till exempel konfigurera dessa typer av identiteter så att alla är administratörer i klustret samtidigt:
- Mänskliga identiteter
- Användartilldelade hanterade identiteter
- Systemtilldelade hanterade identiteter
Tips/Råd
Det finns många andra typer av identiteter i Microsoft Entra-ID. Mer information finns i grunderna för identiteter.
Microsoft Entra ID-huvudkonton är beständiga. Om ett Microsoft Entra-ID-huvudnamn tas bort från Microsoft Entra ID-tjänsten förblir det fortfarande som en användare i klustret, men det kan inte längre hämta en ny åtkomsttoken. I det här fallet kan den matchande rollen fortfarande finnas i klustret, men den kan inte autentisera mot klusternoderna. Databasadministratörer måste överföra ägarskapet och släppa sådana roller manuellt.
Anmärkning
Inloggning med ett borttaget huvudnamn kan fortfarande inträffa tills token upphör att gälla (upp till 90 minuter från utfärdandet av token). Om du också tar bort användaren från Azure Cosmos DB for MongoDB vCore-klustret återkallas den här åtkomsten omedelbart.
Relaterat innehåll
- Utveckla en konsolapp med Microsoft Entra ID-autentisering
- Distribuera en webbprogrammall med stöd för Microsoft Entra
- Lär dig hur du aktiverar Microsoft Entra-ID och hanterar Entra-ID-användare i kluster
- Kontrollera begränsningarna för Microsoft Entra-ID i Azure Cosmos DB för MongoDB vCore
- Granska grunderna för Microsoft Entra-ID
- Granska stöd för Open ID Connect (OIDC) i Microsoft Entra ID