Dela via

Microsoft Entra-autentisering med Azure Database for PostgreSQL

Microsoft Entra-autentisering är en mekanism för att ansluta till Azure Database for PostgreSQL med hjälp av identiteter som definierats i Microsoft Entra-ID. Med Microsoft Entra-autentisering kan du hantera databasanvändares identiteter och andra Microsoft-tjänster på en central plats, vilket förenklar behörighetshanteringen.

Fördelarna med att använda Microsoft Entra-ID är:

  • Autentisering av användare i Azure-tjänster på ett enhetligt sätt.
  • Hantering av lösenordsprinciper och lösenordsrotation på en enda plats.
  • Stöd för flera former av autentisering, vilket kan eliminera behovet av att lagra lösenord.
  • Kundernas möjlighet att hantera databasbehörigheter med hjälp av externa (Microsoft Entra ID)-grupper.
  • Användning av PostgreSQL-databasroller för att autentisera identiteter på databasnivå.
  • Stöd för tokenbaserad autentisering för program som ansluter till Azure Database for PostgreSQL– flexibel serverinstans.

Så här fungerar Microsoft Entra-ID i Azure Database for PostgreSQL

Följande diagram på hög nivå sammanfattar hur autentisering fungerar när du använder Microsoft Entra-autentisering med Azure Database for PostgreSQL. Pilarna indikerar kommunikationsvägar.

Diagram över autentiseringsflödet mellan Microsoft Entra-ID, användarens dator och servern.

  1. Ditt program kan begära en token från Azure Metadata Service-identitetsslutpunkt för flexibel serverinstans.
  2. När du använder klient-ID och certifikat görs ett anrop till Microsoft Entra-ID för att begära en åtkomsttoken.
  3. Microsoft Entra ID returnerar en JSON-webbtoken (JWT) åtkomsttoken. Ditt program skickar åtkomsttoken vid ett anrop till din flexibla serverinstans.
  4. Den flexibla serverinstansen verifierar token med Microsoft Entra-ID.

Stegen för att konfigurera Microsoft Entra-ID med Azure Database for PostgreSQL finns i Använda Microsoft Entra-ID för autentisering med Azure Database for PostgreSQL.

Skillnader mellan en PostgreSQL-administratör och en Microsoft Entra-administratör

När du aktiverar Microsoft Entra-autentisering för ditt Microsoft Entra-huvudnamn som Microsoft Entra-administratör, kontot:

  • Hämtar samma behörigheter som den ursprungliga PostgreSQL-administratören.
  • Kan hantera andra Microsoft Entra-roller på servern.

PostgreSQL-administratören kan bara skapa lokala lösenordsbaserade användare. Men Microsoft Entra-administratören har behörighet att hantera både Microsoft Entra-användare och lokala lösenordsbaserade användare.

Microsoft Entra-administratören kan vara en Microsoft Entra-användare, Microsoft Entra-grupp, tjänstens huvudnamn eller hanterad identitet. Att använda ett gruppkonto som administratör förbättrar hanterbarheten. Det tillåter centraliserad tillägg och borttagning av gruppmedlemmar i Microsoft Entra-ID utan att ändra användare eller behörigheter i Azure Database for PostgreSQL– flexibel serverinstans.

Du kan konfigurera flera Microsoft Entra-administratörer samtidigt. Du kan inaktivera lösenordsautentisering till en flexibel Azure Database for PostgreSQL-serverinstans för förbättrad granskning och efterlevnadskrav.

Skärmbild av administratörsstrukturen för Entra-ID.

Microsoft Entra-administratörer som du skapar via Azure-portalen, ett API eller SQL har samma behörigheter som den vanliga administratörsanvändare som du skapade under serveretablering. Du hanterar databasbehörigheter för Microsoft Entra-roller som inte är microsoft entra-roller på samma sätt som vanliga roller.

Anslutning via Microsoft Entra-identiteter

Microsoft Entra-autentisering stöder följande metoder för att ansluta till en databas med hjälp av Microsoft Entra-identiteter:

  • Microsoft Entra-lösenordsautentisering
  • Microsoft Entra-integrerad autentisering
  • Microsoft Entra universal med multifaktorautentisering
  • Active Directory-programcertifikat eller klienthemligheter
  • Hanterad identitet

När du har autentiserat mot Active Directory hämtar du en token. Den här token är ditt lösenord för inloggning.

Stegen för att konfigurera Microsoft Entra-ID med Azure Database for PostgreSQL finns i Använda Microsoft Entra-ID för autentisering med Azure Database for PostgreSQL.

Begränsningar och överväganden

Tänk på följande när du använder Microsoft Entra-autentisering med Azure Database for PostgreSQL:

  • Om du vill att Microsoft Entra-huvudkonton ska ta över ägarskapet för användardatabaserna i alla distributionsprocedurer lägger du till explicita beroenden i din distributionsmodul (Terraform eller Azure Resource Manager) för att säkerställa att Microsoft Entra-autentisering är aktiverat innan du skapar några användardatabaser.

  • Du kan konfigurera flera Microsoft Entra-huvudkonton (användare, grupp, tjänstens huvudnamn eller hanterade identitet) som Microsoft Entra-administratörer för en flexibel Azure Database for PostgreSQL-serverinstans när som helst.

  • Endast en Microsoft Entra-administratör för PostgreSQL kan först ansluta till azure database for PostgreSQL– flexibel serverinstans med hjälp av ett Microsoft Entra-konto. Active Directory-administratören kan konfigurera efterföljande Microsoft Entra-databasanvändare.

  • Om du tar bort ett Microsoft Entra-huvudnamn från Microsoft Entra-ID förblir huvudnamnet som en PostgreSQL-roll men kan inte längre hämta en ny åtkomsttoken. I det här fallet kan den matchande rollen fortfarande finns i databasen inte autentisera till servern. Databasadministratörer måste överföra ägarskap och ta bort roller manuellt.

    Anmärkning

    Den borttagna Microsoft Entra-användaren kan fortfarande logga in tills token upphör att gälla (upp till 60 minuter från att token utfärdas). Om du också tar bort användaren från Azure Database for PostgreSQL återkallas den här åtkomsten omedelbart.

  • Azure Database for PostgreSQL matchar åtkomsttoken till databasrollen med hjälp av användarens unika Microsoft Entra-användar-ID, i stället för att använda användarnamnet. Om du tar bort en Microsoft Entra-användare och skapar en ny användare med samma namn anser Azure Database for PostgreSQL att en annan användare. Om du tar bort en användare från Microsoft Entra-ID och lägger till en ny användare med samma namn kan den nya användaren därför inte ansluta till den befintliga rollen.

Vanliga frågor

  • Vilka är de tillgängliga autentiseringslägena i Azure Database for PostgreSQL?

    Azure Database for PostgreSQL stöder tre autentiseringslägen: Endast PostgreSQL-autentisering, Endast Microsoft Entra-autentisering och både PostgreSQL- och Microsoft Entra-autentisering.

  • Kan jag konfigurera flera Microsoft Entra-administratörer på min flexibla serverinstans?

    Ja. Du kan konfigurera flera Microsoft Entra-administratörer på din flexibla serverinstans. Under etableringen kan du bara ange en enda Microsoft Entra-administratör. Men när servern har skapats kan du ange så många Microsoft Entra-administratörer som du vill genom att gå till fönstret Autentisering .

  • Är en Microsoft Entra-administratör bara en Microsoft Entra-användare?

    Nej. En Microsoft Entra-administratör kan vara en användare, grupp, tjänstens huvudnamn eller hanterad identitet.

  • Kan en Microsoft Entra-administratör skapa lokala lösenordsbaserade användare?

    En Microsoft Entra-administratör har behörighet att hantera både Microsoft Entra-användare och lokala lösenordsbaserade användare.

  • Vad händer när jag aktiverar Microsoft Entra-autentisering på min flexibla Azure Database for PostgreSQL-serverinstans?

    När du ställer in Microsoft Entra-autentisering på servernivå aktiveras PGAadAuth-tillägget och servern startas om.

  • Hur loggar jag in med Microsoft Entra-autentisering?

    Du kan använda klientverktyg som psql eller pgAdmin för att logga in på din flexibla serverinstans. Använd ditt Microsoft Entra-användar-ID som användarnamn och Din Microsoft Entra-token som lösenord.

  • Hur genererar jag min token?

    Du genererar token med hjälp az loginav . Mer information finns i Hämta Microsoft Entra-åtkomsttoken.

  • Vad är skillnaden mellan gruppinloggning och individuell inloggning?

    Den enda skillnaden mellan att logga in som microsoft entra-gruppmedlem och logga in som en enskild Microsoft Entra-användare ligger i användarnamnet. För att logga in som enskild användare krävs ett enskilt Microsoft Entra-användar-ID. För att logga in som gruppmedlem krävs gruppnamnet. I båda scenarierna använder du samma enskilda Microsoft Entra-token som lösenordet.

  • Vad är skillnaden mellan gruppautentisering och individuell autentisering?

    Den enda skillnaden mellan att logga in som microsoft entra-gruppmedlem och logga in som en enskild Microsoft Entra-användare ligger i användarnamnet. För att logga in som enskild användare krävs ett enskilt Microsoft Entra-användar-ID. För att logga in som gruppmedlem krävs gruppnamnet. I båda scenarierna använder du samma enskilda Microsoft Entra-token som lösenordet.

Vad är tokens livslängd?

Användartoken är giltiga i upp till 1 timme. Token för systemtilldelade hanterade identiteter är giltiga i upp till 24 timmar.

Relaterat innehåll