Autenticação do Microsoft Entra com o Banco de Dados do Azure para PostgreSQL

A autenticação do Microsoft Entra é um mecanismo para conectar-se ao Banco de Dados do Azure para PostgreSQL usando identidades definidas no Microsoft Entra ID. Com a autenticação do Microsoft Entra, você pode gerenciar as identidades de usuários do banco de dados e outros serviços da Microsoft em uma só localização central, o que simplifica o gerenciamento de permissões.

Entre os benefícios do uso do Microsoft Entra ID estão:

• Autenticação de usuários nos diversos Serviços do Azure de maneira uniforme.
• Gerenciamento de políticas de senha e rotação de senhas em um único local.
• Suporte para várias formas de autenticação, podendo eliminar a necessidade de armazenar senhas.
• A capacidade dos clientes de gerenciar permissões de banco de dados usando grupos externos (Microsoft Entra ID).
• O uso de funções de banco de dados PostgreSQL para autenticar identidades no nível de banco de dados.
• Suporte à autenticação baseada em token para aplicativos que se conectam à instância de servidor flexível do Banco de Dados do Azure para PostgreSQL.

Como o Microsoft Entra ID funciona no Banco de Dados do Azure para PostgreSQL

O diagrama a seguir, em nível geral, resume como a autenticação funciona quando você usa a autenticação do Microsoft Entra com o Banco de Dados do Azure para PostgreSQL. As setas indicam caminhos para comunicação.

1. Seu aplicativo pode solicitar um token ao ponto de extremidade de identidade do Serviço de Metadados de instância de servidor flexível do Azure.
2. Ao usar a ID do cliente e o certificado, uma chamada é feita ao Microsoft Entra ID solicitando um token de acesso.
3. O Microsoft Entra ID retorna um Token de acesso token Web JSON (JWT). Seu aplicativo envia o token de acesso em uma chamada para sua instância de servidor flexível.
4. A instância do servidor flexível valida o token com o Microsoft Entra ID.

Para obter as etapas para configurar a ID do Microsoft Entra com o Banco de Dados do Azure para PostgreSQL, consulte Usar a ID do Microsoft Entra para autenticação com o Banco de Dados do Azure para PostgreSQL.

Diferenças entre um administrador do PostgreSQL e um administrador do Microsoft Entra

Quando você ativa a autenticação do Microsoft Entra para sua entidade de segurança do Microsoft Entra como administrador do Microsoft Entra, a conta:

• Obtém os mesmos privilégios que o administrador original do PostgreSQL.
• Pode gerenciar outras funções do Microsoft Entra no servidor.

O administrador do PostgreSQL pode criar apenas usuários locais baseados em senha, mas o administrador do Microsoft Entra tem autoridade para gerenciar tanto os usuários do Microsoft Entra quanto os usuários locais baseados em senha.

O administrador do Microsoft Entra pode ser um usuário do Microsoft Entra, um grupo do Microsoft Entra, uma entidade de serviço ou uma identidade gerenciada. Usar uma conta de grupo como um administrador aprimora a gerenciabilidade. Ele permite a adição centralizada e a remoção de membros do grupo na ID do Microsoft Entra sem alterar os usuários ou as permissões dentro da instância de servidor flexível do Banco de Dados do Azure para PostgreSQL.

Você pode configurar vários administradores do Microsoft Entra simultaneamente. Você pode desativar a autenticação de senha em uma instância de servidor flexível do Banco de Dados do Azure para PostgreSQL para requisitos avançados de auditoria e conformidade.

Os administradores do Microsoft Entra que você cria por meio do portal do Azure, de uma API ou do SQL têm as mesmas permissões que o usuário administrador comum que você criou durante o provisionamento do servidor. Você gerencia as permissões de banco de dados para funções do Microsoft Entra que não são de administrador da mesma forma que para funções regulares.

Conexão por meio de identidades do Microsoft Entra

A autenticação do Microsoft Entra dá suporte aos seguintes métodos de conexão a um banco de dados usando identidades do Microsoft Entra:

• Autenticação por senha do Microsoft Entra
• Autenticação integrada do Microsoft Entra
• Microsoft Entra universal com autenticação multifator
• Certificados ou segredos de cliente de aplicativos do Active Directory
• Identidade gerenciada

Depois de se autenticar no Active Directory, você recupera um token. Esse token é sua senha para entrar.

Para obter as etapas para configurar a ID do Microsoft Entra com o Banco de Dados do Azure para PostgreSQL, consulte Usar a ID do Microsoft Entra para autenticação com o Banco de Dados do Azure para PostgreSQL.

Limitações e considerações

Ao usar a autenticação do Microsoft Entra com o Banco de Dados do Azure para PostgreSQL, tenha em mente os seguintes pontos:

• Para que os principais do Microsoft Entra assumam o controle dos bancos de dados dos usuários em qualquer procedimento de implantação, adicione dependências explícitas no seu módulo de implantação (Terraform ou Azure Resource Manager) para garantir que a autenticação do Microsoft Entra esteja ativada antes de criar qualquer banco de dados de usuário.

• É possível configurar várias entidades de segurança do Microsoft Entra (usuário, grupo, entidade de serviço ou identidade gerenciada) como administradores do Microsoft Entra para uma instância de servidor flexível do Banco de Dados do Azure para PostgreSQL a qualquer momento.

• Somente um administrador do Microsoft Entra para PostgreSQL pode inicialmente se conectar à instância de servidor flexível do Banco de Dados do Azure para PostgreSQL usando uma conta do Microsoft Entra. O administrador do Active Directory pode configurar os próximos usuários do banco de dados do Microsoft Entra.

• Se você excluir uma entidade de segurança do Microsoft Entra no Microsoft Entra ID, ela permanecerá como uma função do PostgreSQL, mas não poderá mais obter um novo token de acesso. Nesse caso, embora ainda exista no banco de dados, a função correspondente não poderá se autenticar no servidor. Administradores de banco de dados precisam transferir a propriedade e remover as funções manualmente.

  Observação

  O usuário excluído do Microsoft Entra ainda poderá fazer login até que o token expire (até 60 minutos após a emissão do token). Se você também remover o usuário do Banco de Dados do Azure para PostgreSQL, esse acesso será revogado imediatamente.

• O Banco de Dados do Azure para PostgreSQL associa tokens de acesso à função de banco de dados usando o ID exclusivo do usuário do Microsoft Entra, em vez do nome de usuário. Se você excluir um usuário do Microsoft Entra e criar outro com o mesmo nome, o Banco de Dados do Azure para PostgreSQL o considerará um usuário diferente. Portanto, se você excluir um usuário do Microsoft Entra ID e adicionar outro com o mesmo nome, o novo usuário não poderá se conectar com a função existente.

Perguntas frequentes

• Quais são os modos de autenticação disponíveis no Banco de Dados do Azure para PostgreSQL?

  O Banco de Dados do Azure para PostgreSQL oferece suporte a três modos de autenticação: apenas autenticação do PostgreSQL, apenas autenticação do Microsoft Entra e autenticação combinada do PostgreSQL e do Microsoft Entra.

• Posso configurar vários administradores do Microsoft Entra na minha instância de servidor flexível?

  Sim. Você pode configurar vários administradores do Microsoft Entra em sua instância de servidor flexível. Durante o provisionamento, você pode definir apenas um único administrador do Microsoft Entra. Mas depois que o servidor for criado, você poderá definir quantos administradores do Microsoft Entra desejar acessando o painel Autenticação .

• Um administrador do Microsoft Entra é apenas um usuário do Microsoft Entra?

  Não. Um administrador do Microsoft Entra pode ser um usuário, um grupo, uma entidade de serviço ou uma identidade gerenciada.

• Um administrador do Microsoft Entra pode criar usuários locais baseados em senha?

  Um administrador do Microsoft Entra tem autoridade para gerenciar usuários do Microsoft Entra e usuários locais baseados em senha.

• O que acontece quando eu habilito a autenticação Microsoft Entra na instância de servidor flexível do Azure Database for PostgreSQL?

  Quando você define a autenticação do Microsoft Entra no nível do servidor, a extensão PGAadAuth é habilitada e o servidor é reiniciado.

• Como faço para entrar usando a autenticação do Microsoft Entra?

  Você pode usar ferramentas de cliente como psql ou pgAdmin para entrar em sua instância de servidor flexível. Use sua ID de usuário do Microsoft Entra como o nome de usuário e o token do Microsoft Entra como sua senha.

• Como faço para gerar o meu token?

  Você gera o token usando az login. Para obter mais informações, confira Recuperar o token de acesso do Microsoft Entra.

• Qual é a diferença entre o logon do grupo e o logon individual?

  A única diferença entre entrar como membro de um grupo do Microsoft Entra e entrar como um usuário individual do Microsoft Entra está no nome de usuário. Entrar como um usuário individual requer uma ID de usuário individual do Microsoft Entra. Entrar como um membro do grupo requer o nome do grupo. Em ambos os cenários, você usa o mesmo token individual do Microsoft Entra como senha.

• Qual é a diferença entre autenticação de grupo e autenticação individual?

  A única diferença entre entrar como membro de um grupo do Microsoft Entra e entrar como um usuário individual do Microsoft Entra está no nome de usuário. Entrar como um usuário individual requer uma ID de usuário individual do Microsoft Entra. Entrar como um membro do grupo requer o nome do grupo. Em ambos os cenários, você usa o mesmo token individual do Microsoft Entra como senha.

Qual é o tempo de vida do token?

Os tokens de usuário são válidos por até 1 hora. Os tokens para identidades gerenciadas atribuídas pelo sistema são válidos por até 24 horas.

Conteúdo relacionado

• Usar o Microsoft Entra ID no Banco de Dados do Azure para PostgreSQL
• Gerenciar funções do Microsoft Entra no Banco de Dados do Azure para PostgreSQL