Autenticação do Microsoft Entra para o Banco de Dados do Azure para MySQL – Servidor Flexível

A autenticação do Microsoft Entra é um mecanismo de conexão ao Servidor Flexível do Banco de Dados do Azure para MySQL usando identidades definidas na ID do Microsoft Entra. Com a autenticação do Microsoft Entra, você pode gerenciar identidades de usuário de banco de dados e outros serviços da Microsoft em um local central, simplificando o gerenciamento de permissões.

Benefícios da autenticação do Entra

• Autenticação de usuários em Serviços do Azure de forma uniforme
• Gerenciamento de políticas de senha e rotação de senhas em um único local
• Várias formas de autenticação com suporte do Microsoft Entra ID, o que pode eliminar a necessidade de armazenar senhas
• Os clientes podem gerenciar permissões de banco de dados usando grupos externos (Microsoft Entra ID).
• A autenticação do Microsoft Entra usa usuários do banco de dados MySQL para autenticar identidades no nível do banco de dados
• Suporte à autenticação baseada em token para aplicativos que se conectam ao Servidor Flexível do Banco de Dados do Azure para MySQL

Configurar e usar a autenticação do Microsoft Entra

1. Selecione seu método de autenticação preferencial para acessar o Servidor Flexível.

   • Por padrão, a autenticação selecionada é definida apenas como autenticação MySQL.
   • Para habilitar a autenticação do Microsoft Entra, você precisa alterar o método de autenticação:
     • Microsoft Entra authentication only
     • ou MySQL and Microsoft Entra authentication

2. Selecione a UAMI (identidade gerenciada) atribuída pelo usuário com os seguintes privilégios:

   • User.Read.All: Permite o acesso às informações do usuário do Microsoft Entra.
   • GroupMember.Read.All: Permite o acesso às informações do grupo Microsoft Entra.
   • Application.Read.ALL: Permite o acesso às informações da entidade de serviço (aplicativo) do Microsoft Entra.

3. Adicione o Microsoft Entra Admin. Pode ser usuários ou grupos do Microsoft Entra, que tem acesso a um Servidor Flexível.

4. Crie usuários de banco de dados no seu banco de dados mapeados para as identidades do Microsoft Entra.

5. Conecte-se ao banco de dados recuperando um token para uma identidade do Microsoft Entra e fazendo logon.

Architecture

As identidades gerenciadas pelo usuário são necessárias para a autenticação do Microsoft Entra. Quando uma Identidade Atribuída pelo Usuário é vinculada ao Servidor Flexível, o Provedor de Recursos de Identidade Gerenciada (MSRP) emite um certificado internamente para essa identidade. Quando a identidade gerenciada é excluída, a entidade de serviço correspondente é removida automaticamente.

Em seguida, o serviço usa a identidade gerenciada para solicitar tokens de acesso para serviços que dão suporte à autenticação do Microsoft Entra. Atualmente, o Banco de Dados do Azure dá suporte apenas a uma UMI (Identidade Gerenciada) atribuída pelo usuário para o Servidor Flexível do Banco de Dados do Azure para MySQL. Para saber mais, confira Tipos de identidade gerenciada.

O diagrama de alto nível a seguir resume como funciona a autenticação usando a autenticação do Microsoft Entra com o Servidor Flexível do Banco de Dados do Azure para MySQL. As setas indicam caminhos para comunicação.

1. Seu aplicativo pode solicitar um token do ponto de extremidade de identidade do Serviço de Metadados de Instância do Azure.
2. Quando você usa a ID do cliente e o certificado, uma chamada é feita ao Microsoft Entra para solicitar um token de acesso.
3. O Microsoft Entra retorna um token de acesso JWT (Token Web JSON). Seu aplicativo envia o token de acesso em chamadas para o servidor.
4. O servidor valida o token com o Microsoft Entra.

Estrutura de administrador

Há duas contas de administrador para o Servidor Flexível do Banco de Dados do Azure para MySQL ao usar a autenticação do Microsoft Entra: o administrador original do MySQL e o administrador do Microsoft Entra.

Somente o administrador com base em uma conta do Microsoft Entra pode criar o primeiro usuário de banco de dados independente do Microsoft Entra ID em um banco de dados de usuário. O login do administrador do Microsoft Entra pode ser feito por um usuário do Microsoft Entra ou por um grupo do Microsoft Entra. Quando o administrador é uma conta de grupo, qualquer membro do grupo é um administrador de servidor de banco de dados. A conta de grupo aprimora a capacidade de gerenciamento, adicionando e removendo membros do grupo centralmente no Microsoft Entra sem alterar os usuários ou as permissões no servidor de banco de dados.

Os métodos de autenticação para acessar o Servidor Flexível incluem:

• Somente autenticação MySQL – a opção padrão permite a autenticação nativa do MySQL usando apenas a entrada e a senha do MySQL.
• Somente a autenticação do Microsoft Entra – a autenticação nativa do MySQL está desabilitada e os usuários e aplicativos devem se autenticar usando o Microsoft Entra. Para habilitar esse modo, o parâmetro aad_auth_only do servidor é definido como ON.
• A autenticação com MySQL e a ID do Microsoft Entra – mySQL nativa e autenticação do Microsoft Entra estão disponíveis. Para habilitar esse modo, o parâmetro aad_auth_only do servidor é definido como OFF.

Permissions

As permissões a seguir são necessárias para permitir que a UMI leia do Microsoft Graph como identidade do servidor. Como alternativa, forneça à identidade gerida atribuída pelo usuário a função Leitores de Diretório.

• User.Read.All: Permite o acesso às informações do usuário do Microsoft Entra.
• GroupMember.Read.All: Permite o acesso às informações do grupo Microsoft Entra.
• Application.Read.ALL: Permite o acesso às informações da entidade de serviço (aplicativo) do Microsoft Entra.

Para obter diretrizes sobre como conceder e usar as permissões, consulte a Visão geral das permissões do Microsoft Graph

Depois de conceder as permissões à UMI, elas serão habilitadas para todos os servidores criados com a UMI atribuída como uma identidade de servidor.

Validação de token

A autenticação do Microsoft Entra no servidor flexível do Banco de Dados do Azure para MySQL garante que o usuário exista no servidor MySQL e verifica a validade do token, validando seu conteúdo. As seguintes etapas de validação de token são executadas:

• O token é assinado pelo Microsoft Entra.
• O token é emitido pelo Microsoft Entra para o locatário associado ao servidor.
• O token não expirou.
• O token é para a instância do Servidor Flexível (e não outro recurso do Azure).

Conectar-se usando identidades do Microsoft Entra

A autenticação do Microsoft Entra dá suporte aos seguintes métodos de conexão a um banco de dados usando identidades do Microsoft Entra:

• Senha do Microsoft Entra
• Microsoft Entra integrado
• Microsoft Entra Universal com MFA
• Usando certificados de aplicativo do Active Directory ou segredos do cliente
• Identidade Gerenciada

Depois de autenticar no Active Directory, você recupera um token. Esse token é sua senha para entrar.

Outras considerações

• Você só pode configurar um administrador do Microsoft Entra por Servidor Flexível a qualquer momento.

• Se um usuário for excluído do Microsoft Entra, esse usuário não poderá mais se autenticar com o Entra. Portanto, a aquisição de um token de acesso para esse usuário não é mais possível. Embora o usuário correspondente ainda esteja no banco de dados, a conexão com o servidor com esse usuário não é possível.

  Observação

  O logon com o usuário excluído do Microsoft Entra ainda pode ser feito até que o token expire (até 60 minutos após a emissão de token). Se você remover o usuário do Servidor Flexível do Banco de Dados do Azure para MySQL, esse acesso será revogado imediatamente.

• Se o administrador do Microsoft Entra for removido do servidor, o servidor não estará mais associado a um locatário do Microsoft Entra e, portanto, todos os logons do Microsoft Entra serão desabilitados para o servidor. A adição de um novo administrador do Microsoft Entra do mesmo inquilino reativa os logons do Microsoft Entra.

• Um Servidor Flexível associa tokens de acesso ao ID exclusivo do usuário no Entra, em vez do nome de usuário. Portanto, se um usuário for excluído do Microsoft Entra e um novo usuário com o mesmo nome for adicionado, o novo usuário não herdará as permissões anteriores.

• Para habilitar a autenticação do Entra em um servidor de réplica, você precisa aplicar as mesmas etapas de configuração usadas no servidor primário em todos os parceiros de réplica.

Próxima etapa