Uwierzytelnianie firmy Microsoft w usłudze Azure Database for PostgreSQL — serwer elastyczny
DOTYCZY: 
Azure Database for PostgreSQL — serwer elastyczny
Uwierzytelnianie entra firmy Microsoft to mechanizm łączenia się z serwerem elastycznym usługi Azure Database for PostgreSQL przy użyciu tożsamości zdefiniowanych w identyfikatorze Entra firmy Microsoft. Dzięki uwierzytelnieniu firmy Microsoft Entra można zarządzać tożsamościami użytkowników bazy danych i innymi usługi firmy Microsoft w centralnej lokalizacji, co upraszcza zarządzanie uprawnieniami.
Zalety korzystania z identyfikatora Entra firmy Microsoft obejmują:
- Uwierzytelnianie użytkowników w usługach platformy Azure w jednolity sposób.
- Zarządzanie zasadami haseł i rotacją haseł w jednym miejscu.
- Obsługa wielu form uwierzytelniania, co może wyeliminować konieczność przechowywania haseł.
- Możliwość zarządzania uprawnieniami bazy danych przez klientów przy użyciu grup zewnętrznych (Microsoft Entra ID).
- Używanie ról bazy danych PostgreSQL do uwierzytelniania tożsamości na poziomie bazy danych.
- Obsługa uwierzytelniania opartego na tokenach dla aplikacji łączących się z serwerem elastycznym usługi Azure Database for PostgreSQL.
Porównanie funkcji i możliwości identyfikatora Entra firmy Microsoft między opcjami wdrażania
Uwierzytelnianie entra firmy Microsoft dla elastycznego serwera usługi Azure Database for PostgreSQL obejmuje nasze środowisko i opinie zebrane z pojedynczego serwera usługi Azure Database for PostgreSQL.
W poniższej tabeli wymieniono ogólne porównania funkcji i możliwości usługi Microsoft Entra ID między pojedynczym serwerem usługi Azure Database for PostgreSQL i serwerem elastycznym usługi Azure Database for PostgreSQL.
| Funkcja/możliwość | Azure Database for PostgreSQL — pojedynczy serwer | Azure Database for PostgreSQL — serwer elastyczny |
|---|---|---|
| Wielu administratorów firmy Microsoft Entra | Nie. | Tak |
| Tożsamości zarządzane (przypisane przez system i użytkownika) | Częściowe | Pełny |
| Obsługa zaproszonych użytkowników | Nie. | Tak |
| Możliwość wyłączenia uwierzytelniania haseł | Niedostępny | Dostępna |
| Zdolność jednostki usługi do działania jako członek grupy | Nie. | Tak |
| Inspekcje logowania w usłudze Microsoft Entra | Nie. | Tak |
| Obsługa narzędzia PgBouncer | Nie. | Tak |
Jak działa identyfikator Entra firmy Microsoft na serwerze elastycznym usługi Azure Database for PostgreSQL
Poniższy diagram wysokiego poziomu zawiera podsumowanie sposobu działania uwierzytelniania w przypadku korzystania z uwierzytelniania entra firmy Microsoft z serwerem elastycznym usługi Azure Database for PostgreSQL. Strzałki wskazują ścieżki komunikacyjne.
Aby uzyskać instrukcje konfigurowania identyfikatora entra firmy Microsoft przy użyciu serwera elastycznego usługi Azure Database for PostgreSQL, zobacz Konfigurowanie i logowanie przy użyciu identyfikatora Entra firmy Microsoft dla usługi Azure Database for PostgreSQL — serwer elastyczny.
Różnice między administratorem postgreSQL i administratorem firmy Microsoft Entra
Po włączeniu uwierzytelniania Microsoft Entra dla serwera elastycznego i dodaniu podmiotu zabezpieczeń firmy Microsoft jako administratora firmy Microsoft Entra konto:
- Pobiera te same uprawnienia co oryginalny administrator postgreSQL.
- Może zarządzać innymi rolami firmy Microsoft Entra na serwerze.
Administrator bazy danych PostgreSQL może tworzyć tylko lokalnych użytkowników opartych na hasłach. Jednak administrator firmy Microsoft Entra ma uprawnienia do zarządzania użytkownikami firmy Microsoft Entra i lokalnymi użytkownikami opartymi na hasłach.
Administrator firmy Microsoft Entra może być użytkownikiem firmy Microsoft Entra, grupą Microsoft Entra, jednostką usługi lub tożsamością zarządzaną. Korzystanie z konta grupy jako administrator zwiększa możliwości zarządzania. Umożliwia scentralizowane dodawanie i usuwanie członków grupy w identyfikatorze Entra firmy Microsoft bez zmieniania użytkowników lub uprawnień w ramach wystąpienia serwera elastycznego usługi Azure Database for PostgreSQL.
Jednocześnie można skonfigurować wielu administratorów firmy Microsoft Entra. Istnieje możliwość dezaktywowania uwierzytelniania haseł w wystąpieniu serwera elastycznego usługi Azure Database for PostgreSQL w celu zwiększenia wymagań dotyczących inspekcji i zgodności.
Uwaga
Jednostka usługi lub tożsamość zarządzana może działać jako w pełni funkcjonalny administrator firmy Microsoft Entra na serwerze elastycznym usługi Azure Database for PostgreSQL. Było to ograniczenie dotyczące pojedynczego serwera usługi Azure Database for PostgreSQL.
Administratorzy usługi Microsoft Entra utworzone za pośrednictwem witryny Azure Portal, interfejsu API lub programu SQL mają takie same uprawnienia jak zwykły użytkownik administracyjny utworzony podczas aprowizacji serwera. Uprawnienia bazy danych dla ról niezwiązanych z administratorem firmy Microsoft są zarządzane podobnie jak w przypadku zwykłych ról.
Połączenie za pośrednictwem tożsamości firmy Microsoft Entra
Uwierzytelnianie firmy Microsoft Entra obsługuje następujące metody nawiązywania połączenia z bazą danych przy użyciu tożsamości firmy Microsoft Entra:
- Microsoft Entra password authentication (Uwierzytelnianie haseł firmy Microsoft w usłudze Entra)
- Zintegrowane uwierzytelnianie firmy Microsoft
- Firma Microsoft Entra universal z uwierzytelnianiem wieloskładnikowymi
- Certyfikaty aplikacji usługi Active Directory lub wpisy tajne klienta
- Tożsamość zarządzana
Po uwierzytelnieniu w usłudze Active Directory należy pobrać token. Ten token to hasło do logowania.
Aby skonfigurować identyfikator entra firmy Microsoft z serwerem elastycznym usługi Azure Database for PostgreSQL, wykonaj kroki opisane w temacie Konfigurowanie i logowanie się przy użyciu identyfikatora Entra firmy Microsoft dla usługi Azure Database for PostgreSQL — serwer elastyczny.
Inne uwagi
Jeśli chcesz, aby podmioty zabezpieczeń firmy Microsoft przyjmiły własność baz danych użytkowników w dowolnej procedurze wdrażania, dodaj jawne zależności w ramach wdrożenia (Terraform lub Azure Resource Manager), aby upewnić się, że uwierzytelnianie microsoft Entra jest włączone przed utworzeniem dowolnych baz danych użytkowników.
Wiele podmiotów zabezpieczeń firmy Microsoft (użytkownika, grupy, jednostki usługi lub tożsamości zarządzanej) można skonfigurować jako administrator usługi Microsoft Entra dla wystąpienia elastycznego serwera usługi Azure Database for PostgreSQL w dowolnym momencie.
Tylko administrator entra firmy Microsoft dla postgreSQL może początkowo łączyć się z wystąpieniem serwera elastycznego usługi Azure Database for PostgreSQL przy użyciu konta Microsoft Entra. Administrator usługi Active Directory może skonfigurować kolejnych użytkowników bazy danych usługi Microsoft Entra.
Jeśli podmiot zabezpieczeń firmy Microsoft Entra zostanie usunięty z identyfikatora Entra firmy Microsoft, pozostanie on rolą PostgreSQL, ale nie może już uzyskać nowego tokenu dostępu. W takim przypadku, mimo że pasujący rola nadal istnieje w bazie danych, nie może uwierzytelnić się na serwerze. Administratorzy bazy danych muszą ręcznie przenieść własność i usunąć role.
Uwaga
Usunięty użytkownik firmy Microsoft Entra może nadal logować się do momentu wygaśnięcia tokenu (do 60 minut od wystawiania tokenu). Jeśli usuniesz również użytkownika z serwera elastycznego usługi Azure Database for PostgreSQL, ten dostęp zostanie natychmiast odwołany.
Serwer elastyczny usługi Azure Database for PostgreSQL dopasuje tokeny dostępu do roli bazy danych przy użyciu unikatowego identyfikatora użytkownika Microsoft Entra, w przeciwieństwie do używania nazwy użytkownika. Jeśli użytkownik firmy Microsoft Entra zostanie usunięty i zostanie utworzony nowy użytkownik o tej samej nazwie, serwer elastyczny usługi Azure Database for PostgreSQL uzna, że inny użytkownik. W związku z tym, jeśli użytkownik zostanie usunięty z identyfikatora Entra firmy Microsoft i zostanie dodany nowy użytkownik o tej samej nazwie, nowy użytkownik nie może nawiązać połączenia z istniejącą rolą.
Często zadawane pytania
Jakie są dostępne tryby uwierzytelniania na serwerze elastycznym usługi Azure Database for PostgreSQL?
Serwer elastyczny usługi Azure Database for PostgreSQL obsługuje trzy tryby uwierzytelniania: tylko uwierzytelnianie PostgreSQL, tylko uwierzytelnianie Entra firmy Microsoft oraz uwierzytelnianie PostgreSQL i Microsoft Entra.
Czy mogę skonfigurować wielu administratorów firmy Microsoft Entra na moim serwerze elastycznym?
Tak. Na serwerze elastycznym można skonfigurować wielu administratorów firmy Microsoft Entra. Podczas aprowizacji można ustawić tylko jednego administratora firmy Microsoft Entra. Jednak po utworzeniu serwera można ustawić dowolną liczbę administratorów firmy Microsoft, przechodząc do okienka Uwierzytelnianie .
Czy administrator firmy Microsoft Entra jest tylko użytkownikiem firmy Microsoft Entra?
L.p. Administrator firmy Microsoft Entra może być użytkownikiem, grupą, jednostką usługi lub tożsamością zarządzaną.
Czy administrator firmy Microsoft Entra może tworzyć lokalnych użytkowników opartych na hasłach?
Administrator firmy Microsoft Entra ma uprawnienia do zarządzania użytkownikami firmy Microsoft Entra i lokalnymi użytkownikami opartymi na hasłach.
Co się stanie po włączeniu uwierzytelniania entra firmy Microsoft na moim serwerze elastycznym?
Po ustawieniu uwierzytelniania Microsoft Entra na poziomie serwera rozszerzenie PGAadAuth jest włączone i serwer zostanie uruchomiony ponownie.
Jak mogę zalogować się przy użyciu uwierzytelniania Microsoft Entra?
Aby zalogować się na serwerze elastycznym, możesz użyć narzędzi klienckich, takich jak psql lub pgAdmin. Użyj identyfikatora użytkownika entra firmy Microsoft jako nazwy użytkownika i tokenu entra firmy Microsoft jako hasła.
Jak mogę wygenerować token?
Token jest generowany przy użyciu polecenia
az login. Aby uzyskać więcej informacji, zobacz Pobieranie tokenu dostępu firmy Microsoft Entra.Jaka jest różnica między logowaniem grupowym a indywidualnym logowaniem?
Jedyną różnicą między logowaniem się jako członek grupy Entra firmy Microsoft i logowaniem się jako indywidualny użytkownik Microsoft Entra leży w nazwie użytkownika. Zalogowanie się jako użytkownik indywidualny wymaga indywidualnego identyfikatora użytkownika firmy Microsoft Entra. Zalogowanie się jako członek grupy wymaga nazwy grupy. W obu scenariuszach używasz tego samego indywidualnego tokenu firmy Microsoft Entra co hasło.
Jaki jest okres istnienia tokenu?
Tokeny użytkownika są ważne przez maksymalnie 1 godzinę. Tokeny dla tożsamości zarządzanych przypisanych przez system są ważne przez maksymalnie 24 godziny.
Następne kroki
- Aby dowiedzieć się, jak utworzyć i wypełnić wystąpienie identyfikatora entra firmy Microsoft, a następnie skonfigurować identyfikator entra firmy Microsoft za pomocą elastycznego serwera usługi Azure Database for PostgreSQL, zobacz Konfigurowanie i logowanie się przy użyciu identyfikatora Entra firmy Microsoft dla usługi Azure Database for PostgreSQL — serwer elastyczny.
- Aby dowiedzieć się, jak zarządzać użytkownikami usługi Microsoft Entra dla serwera elastycznego usługi Azure Database for PostgreSQL, zobacz Zarządzanie rolami firmy Microsoft Entra w usłudze Azure Database for PostgreSQL — serwer elastyczny.