Autenticação Microsoft Entra para Azure Database for MySQL - Servidor Flexível

A autenticação Microsoft Entra é um mecanismo de ligação ao Azure Database para o MySQL Flexible Server utilizando identidades definidas no Microsoft Entra ID. Com a autenticação Microsoft Entra, pode gerir as identidades dos utilizadores da base de dados e outros serviços Microsoft numa localização central, simplificando a gestão de permissões.

Benefícios da autenticação Entra

• Autenticação de usuários nos Serviços do Azure de maneira uniforme
• Gerenciamento de políticas de senhas e rotação de senhas em um único lugar
• Várias formas de autenticação suportadas pelo Microsoft Entra ID, que podem eliminar a necessidade de armazenar senhas
• Os clientes podem gerenciar permissões de banco de dados usando grupos externos (Microsoft Entra ID).
• A autenticação Microsoft Entra utiliza utilizadores de bases de dados MySQL para autenticar identidades ao nível da base de dados
• Suporte à autenticação baseada em tokens para aplicações que se ligam ao Azure Database para o MySQL Flexible Server

Configure e utilize a autenticação Microsoft Entra

1. Selecione o seu método de autenticação preferido para aceder ao Servidor Flexível.

   • Por defeito, a autenticação selecionada está definida apenas para autenticação MySQL.
   • Para ativar a autenticação Microsoft Entra, é necessário alterar o método de autenticação:
     • Microsoft Entra authentication only
     • ou MySQL and Microsoft Entra authentication

2. Selecione a identidade gerida atribuída pelo utilizador (UAMI) com os seguintes privilégios:

   • User.Read.All: Permite o acesso às informações do usuário do Microsoft Entra.
   • GroupMember.Read.All: Permite o acesso às informações do grupo Microsoft Entra.
   • Application.Read.ALL: Permite o acesso às informações da entidade de serviço (aplicativo) do Microsoft Entra.

3. Adicionar o Microsoft Entra Admin. Podem ser utilizadores do Microsoft Entra ou Grupos, que têm acesso a um Servidor Flexível.

4. Crie utilizadores mapeados para identidades Microsoft Entra na sua base de dados.

5. Ligue-se à sua base de dados recuperando um token para uma identidade Microsoft Entra e iniciando sessão.

Architecture

Identidades geridas pelo utilizador são necessárias para a autenticação Microsoft Entra. Quando uma Identidade Atribuída ao Utilizador está ligada ao Servidor Flexível, o Fornecedor de Recursos de Identidade Gerida (MSRP) emite internamente um certificado para essa identidade. Quando a identidade gerida é eliminada, o principal de serviço correspondente é automaticamente removido.

O serviço utiliza então a identidade gerida para solicitar tokens de acesso para serviços que suportam autenticação Microsoft Entra. Atualmente, a Azure Database suporta apenas uma Identidade Gerida atribuída pelo Utilizador (UMI) para Azure Database for MySQL Flexible Server. Para obter mais informações, consulte Tipos de identidade gerenciados no Azure.

O diagrama de alto nível a seguir resume como funciona a autenticação através da Microsoft Entra com o Azure Database for MySQL Flexible Server. As setas indicam vias de comunicação.

1. Seu aplicativo pode solicitar um token do ponto de extremidade de identidade do Serviço de Metadados de Instância do Azure.
2. Quando utiliza o ID do cliente e o certificado, é feita uma chamada para a Microsoft Entra para solicitar um token de acesso.
3. A Microsoft Entra devolve um token de acesso no formato JSON Web Token (JWT). A sua aplicação envia o token de acesso nas chamadas para o seu servidor.
4. O servidor valida o token com o Microsoft Entra.

Estrutura administrativa

Existem duas contas de administrador para Azure Database for MySQL Flexible Server quando se utiliza autenticação Microsoft Entra: o administrador MySQL original e o administrador Microsoft Entra.

Apenas o administrador baseado numa conta Microsoft Entra pode criar o primeiro utilizador de base de dados contido com ID Microsoft Entra numa base de dados de utilizadores. O administrador do Microsoft Entra pode ser quer um utilizador Microsoft Entra, quer um grupo Microsoft Entra. Quando o administrador é uma conta de grupo, qualquer membro do grupo é administrador de servidor de base de dados. A conta de grupo melhora a gestão ao adicionar e remover centralmente membros do grupo no Microsoft Entra, sem alterar os utilizadores ou permissões no servidor de base de dados.

Os métodos de autenticação para aceder ao Servidor Flexível incluem:

• Apenas autenticação MySQL - opção padrão permite autenticação MySQL nativa apenas usando login e palavra-passe MySQL.
• Apenas a autenticação Microsoft Entra - A autenticação nativa MySQL está desativada, e os utilizadores e aplicações devem autenticar-se usando o Microsoft Entra. Para ativar este modo, o parâmetro aad_auth_only do servidor é definido como ON.
• Estão disponíveis autenticação com MySQL e Microsoft Entra ID – tanto MySQL nativo como autenticação Microsoft Entra. Para ativar este modo, o parâmetro aad_auth_only do servidor é definido como OFF.

Permissions

São necessárias as seguintes permissões para permitir que a UMI leia do Microsoft Graph como identidade do servidor. Em alternativa, atribua à identidade gerida pelo utilizador a função Leitores de Diretório.

• User.Read.All: Permite o acesso às informações do usuário do Microsoft Entra.
• GroupMember.Read.All: Permite o acesso às informações do grupo Microsoft Entra.
• Application.Read.ALL: Permite o acesso às informações da entidade de serviço (aplicativo) do Microsoft Entra.

Para orientações sobre como conceder e utilizar as permissões, consulte Visão Geral das permissões do Microsoft Graph

Depois de concederes as permissões ao UMI, elas ficam ativadas para todos os servidores criados com o UMI atribuído como identidade de servidor.

Validação de Token

A autenticação Microsoft Entra no Azure Database for MySQL Flexible Server assegura que o utilizador existe no servidor MySQL e verifica a validade do token validando o conteúdo do token. São realizados os seguintes passos de validação de tokens:

• O token é assinado pela Microsoft Entra.
• O token é emitido pela Microsoft Entra para o inquilino associado ao servidor.
• O token não está expirado.
• Token é para a instância Flexible Server (e não para outro recurso Azure).

Ligue-se usando identidades Microsoft Entra

A autenticação Microsoft Entra suporta os seguintes métodos de ligação a uma base de dados usando identidades Microsoft Entra:

• Senha do Microsoft Entra
• Microsoft Entra integrado
• Microsoft Entra Universal com autenticação multifator (MFA)
• Utilização de certificados de aplicação ou segredos de cliente do Active Directory
• Identidade gerenciada

Depois de autenticar contra o Active Directory, recupera um token. Este token é a sua palavra-passe para iniciar sessão.

Outras considerações

• Só pode configurar um administrador Microsoft Entra por servidor flexível em cada momento.

• Se um utilizador for eliminado do Microsoft Entra, esse utilizador já não pode autenticar-se com o Entra. Portanto, adquirir um token de acesso para esse utilizador já não é possível. Embora o utilizador correspondente ainda esteja na base de dados, não é possível ligar-se ao servidor com esse utilizador.

  Observação

  O login com o utilizador eliminado do Microsoft Entra ainda pode ser feito até o token expirar (até 60 minutos após a emissão do token). Se remover o utilizador do Azure Database for MySQL Flexible Server, este acesso é revogado imediatamente.

• Se o administrador do Microsoft Entra for removido do servidor, este deixa de estar associado a um inquilino Microsoft Entra e, por isso, todos os logins do Microsoft Entra ficam desativados para o servidor. Adicionar um novo administrador do Microsoft Entra a partir do mesmo tenant reativa os logins do Microsoft Entra.

• Um Servidor Flexível associa os tokens de acesso ao ID Entra único do utilizador em vez do nome de utilizador. Portanto, se um utilizador for eliminado do Microsoft Entra e depois um novo utilizador com o mesmo nome for adicionado, o novo utilizador não herda as permissões anteriores.

• Para ativar a autenticação Entra num servidor réplica, é necessário aplicar os mesmos passos de configuração usados no servidor principal a todos os parceiros réplica.

Próximo passo