Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
La autenticación de Microsoft Entra es un mecanismo para conectarse al servidor flexible de Azure Database for MySQL mediante identidades definidas en el identificador de Microsoft Entra. Con la autenticación de Microsoft Entra, puede administrar identidades de usuario de base de datos y otros servicios de Microsoft en una ubicación central, lo que simplifica la administración de permisos.
Ventajas de la autenticación Entra
- Autenticación de usuarios en los servicios de Azure de manera uniforme.
- Administración de directivas de contraseñas y rotación de contraseñas en un solo lugar.
- Microsoft Entra ID admite varias formas de autenticación, lo que puede eliminar la necesidad de almacenar contraseñas.
- Los clientes pueden administrar los permisos de la base de datos con grupos externos (Microsoft Entra ID).
- La autenticación de Microsoft Entra usa usuarios de base de datos MySQL para autenticar identidades en el nivel de base de datos
- Compatibilidad con la autenticación basada en tokens para aplicaciones que se conectan al servidor flexible de Azure Database for MySQL
Configuración y uso de la autenticación de Microsoft Entra
Seleccione el método de autenticación preferido para acceder al servidor flexible.
- De forma predeterminada, la autenticación seleccionada solo se establece en Autenticación mySQL.
- Para habilitar la autenticación de Microsoft Entra, debe cambiar el método de autenticación:
Microsoft Entra authentication only- o bien
MySQL and Microsoft Entra authentication
Seleccione la identidad administrada asignada por el usuario (UAMI) con los siguientes privilegios:
- User.Read.All: permite acceder a la información de usuarios de Microsoft Entra.
- GroupMember.Read.All: permite acceder a la información de grupos de Microsoft Entra.
- Application.Read.ALL: permite acceder a la información (de aplicaciones) de las entidades de servicio de Microsoft Entra.
Agregue Microsoft Entra Admin. Puede ser usuarios o grupos de Microsoft Entra, que tiene acceso a un servidor flexible.
Crear usuarios en su base de datos asociados con identidades de Microsoft Entra.
Conéctese a la base de datos recuperando un token para una identidad de Microsoft Entra e inicie sesión.
Nota:
Para obtener instrucciones detalladas y paso a paso sobre cómo configurar la autenticación de Microsoft Entra con el servidor flexible de Azure Database for MySQL, consulte Configuración de la autenticación de Microsoft Entra para Azure Database for MySQL: servidor flexible.
Architecture
Las identidades administradas por el usuario son necesarias para la autenticación de Microsoft Entra. Cuando una Identidad Asignada por el Usuario está vinculada al Servidor Flexible, el Managed Identity Resource Provider (MSRP) emite un certificado internamente a esa identidad. Cuando se elimina la identidad administrada, el principal de servicio correspondiente se elimina automáticamente.
A continuación, el servicio usa la identidad administrada para solicitar tokens de acceso para los servicios que admiten la autenticación de Microsoft Entra. Actualmente, Azure Database solo admite una identidad administrada asignada por el usuario (UMI) para el servidor flexible de Azure Database for MySQL. Para más información, consulte Tipos de identidad administrada en Azure.
En el diagrama de alto nivel siguiente se resume cómo funciona la autenticación mediante la autenticación de Microsoft Entra con el servidor flexible de Azure Database for MySQL. Las flechas indican las rutas de comunicación.
- La aplicación puede solicitar un token desde el punto de conexión de identidad de Azure Instance Metadata Service.
- Cuando se usa el identificador de cliente y el certificado, se realiza una llamada a Microsoft Entra para solicitar un token de acceso.
- Microsoft Entra devuelve un token de acceso JSON Web Token (JWT). La aplicación envía el token de acceso en llamadas al servidor.
- El servidor valida el token con Microsoft Entra.
Estructura de administrador
Hay dos cuentas de administrador para el servidor flexible de Azure Database for MySQL al usar la autenticación de Microsoft Entra: el administrador original de MySQL y el administrador de Microsoft Entra.
Solo el administrador que utiliza una cuenta de Microsoft Entra puede crear el primer usuario de la base de datos con ID de Microsoft Entra en una base de datos de usuario. El inicio de sesión del administrador de Microsoft Entra puede ser un usuario de Microsoft Entra o un grupo de Microsoft Entra. Cuando el administrador es una cuenta de grupo, cualquier miembro del grupo es un administrador del servidor de bases de datos. La cuenta de grupo mejora la capacidad de administración mediante la adición y eliminación centralizada de miembros del grupo en Microsoft Entra sin cambiar los usuarios ni los permisos en el servidor de bases de datos.
Importante
Solo se puede configurar un administrador de Microsoft Entra (un usuario o grupo) a la vez.
Los métodos de autenticación para acceder al servidor flexible incluyen:
- Solo autenticación de MySQL: la opción predeterminada solo permite la autenticación nativa de MySQL mediante el inicio de sesión y la contraseña de MySQL.
- Autenticación de Microsoft Entra: la autenticación nativa de MySQL está deshabilitada y los usuarios y las aplicaciones deben autenticarse con Microsoft Entra. Para habilitar este modo, el parámetro
aad_auth_onlyde servidor se establece enON. - Autenticación con MySQL e id. de Microsoft Entra: tanto la autenticación nativa de MySQL como la autenticación de Microsoft Entra están disponibles. Para habilitar este modo, el parámetro
aad_auth_onlyde servidor se establece enOFF.
Permissions
Se requieren los siguientes permisos para permitir que el UMI lea desde Microsoft Graph como identidad del servidor. Como alternativa, asigne a la identidad administrada asignada por el usuario el rol Lectores de directorio.
Importante
Solo un usuario con al menos el rol Administrador de roles con privilegios puede conceder estos permisos.
- User.Read.All: permite acceder a la información de usuarios de Microsoft Entra.
- GroupMember.Read.All: permite acceder a la información de grupos de Microsoft Entra.
- Application.Read.ALL: permite acceder a la información (de aplicaciones) de las entidades de servicio de Microsoft Entra.
Para obtener instrucciones sobre cómo conceder y usar los permisos, consulte Introducción a los permisos de Microsoft Graph.
Después de conceder los permisos al UMI, están habilitados para todos los servidores creados con el UMI asignado como identidad de servidor.
Validación de tokens
La autenticación de Microsoft Entra en el servidor flexible de Azure Database for MySQL garantiza que el usuario existe en el servidor MySQL y comprueba la validez del token validando el contenido del token. Se realizan los siguientes pasos de validación de tokens:
- El token está firmado por Microsoft Entra.
- Microsoft Entra emite el token para el inquilino asociado al servidor.
- El token no ha expirado.
- El token es para la instancia de servidor flexible (y no para otro recurso de Azure).
Conexión mediante identidades de Microsoft Entra
La autenticación de Microsoft Entra admite los siguientes métodos de conexión a una base de datos mediante identidades de Microsoft Entra:
- Contraseña de Microsoft Entra
- Microsoft Entra integrado
- Microsoft Entra universal con MFA
- Uso de certificados de aplicación de Active Directory o secretos de cliente
- Identidad administrada
Una vez autenticado en Active Directory, se recupera un token. Este token es la contraseña para iniciar sesión.
Nota:
Esa operación de administración, como agregar nuevos usuarios, solo se admite para los roles de usuario de Microsoft Entra.
Nota:
Para más información sobre cómo conectarse con un token de Active Directory, consulte Configuración de la autenticación de Microsoft Entra para Azure Database for MySQL: servidor flexible.
Otras consideraciones
Solo puede configurar un administrador de Microsoft Entra por servidor flexible en cualquier momento.
Si un usuario se elimina de Microsoft Entra, ese usuario ya no se puede autenticar con Entra. Por lo tanto, la adquisición de un token de acceso para ese usuario ya no es posible. Aunque el usuario coincidente todavía está en la base de datos, no es posible conectarse al servidor con ese usuario.
Nota:
El inicio de sesión con el usuario eliminado de Microsoft Entra todavía puede realizarse hasta que expire el token (hasta 60 minutos a partir de la emisión del token). Si quita el usuario del servidor flexible de Azure Database for MySQL, este acceso se revoca inmediatamente.
Si el administrador de Microsoft Entra se quita del servidor, el servidor ya no está asociado a un inquilino de Microsoft Entra y, por tanto, todos los inicios de sesión de Microsoft Entra están deshabilitados para el servidor. Al agregar un nuevo administrador de Microsoft Entra desde el mismo inquilino, se vuelven a habilitar los inicios de sesión de Microsoft Entra.
Un servidor flexible asocia los tokens de acceso al identificador único de Entra del usuario en vez de al nombre de usuario. Por lo tanto, si se elimina un usuario de Microsoft Entra y, a continuación, se agrega un nuevo usuario con el mismo nombre, el nuevo usuario no hereda los permisos anteriores.
Para habilitar la autenticación de Entra en un servidor réplica, debe aplicar los mismos pasos de configuración que se usan en el servidor principal en todos los servidores réplica.
Nota:
Las suscripciones de un servidor flexible con la autenticación de Microsoft Entra habilitada no se pueden transferir a otro inquilino o directorio.