Microsoft Entra ID ومصادقة PostgreSQL مع Azure Cosmos DB ل PostgreSQL
ينطبق على: 
Azure Cosmos DB ل PostgreSQL (مدعوم بملحق قاعدة بيانات Citus إلى PostgreSQL)
يدعم Azure Cosmos DB ل PostgreSQL مصادقة PostgreSQL والتكامل مع معرف Microsoft Entra. يتم إنشاء كل Azure Cosmos DB لنظام مجموعة PostgreSQL مع تمكين مصادقة PostgreSQL الأصلية ودور PostgreSQL مضمن واحد يسمى citus. يمكنك إضافة المزيد من أدوار PostgreSQL الأصلية بعد اكتمال توفير نظام المجموعة.
يمكنك أيضا تمكين مصادقة معرف Microsoft Entra (المعروف سابقا ب Azure Active Directory) على نظام مجموعة بالإضافة إلى أسلوب مصادقة PostgreSQL أو بدلا منه. يمكنك تكوين أساليب المصادقة على كل Azure Cosmos DB لنظام مجموعة PostgreSQL بشكل مستقل. إذا كنت بحاجة إلى تغيير أسلوب المصادقة، يمكنك القيام بذلك في أي وقت بعد اكتمال توفير نظام المجموعة. لا يتطلب تغيير أساليب المصادقة إعادة تشغيل نظام المجموعة.
مصادقة PostgreSQL
يستخدم محرك PostgreSQL الأدوار للتحكم في الوصول إلى كائنات قاعدة البيانات. يأتي Azure Cosmos DB الذي تم إنشاؤه حديثا لنظام مجموعة PostgreSQL مع العديد من الأدوار المحددة مسبقا:
- أدوار PostgreSQL الافتراضية
postgrescitus
نظرا لأن Azure Cosmos DB ل PostgreSQL هي خدمة PaaS مدارة، يمكن فقط ل Microsoft تسجيل الدخول باستخدام postgres دور المستخدم الفائق. للوصول الإداري المحدود، يوفر citus Azure Cosmos DB ل PostgreSQL الدور.
تحتاج الخدمة المدارة إلى نسخ جميع أدوار PostgreSQL نسخا متماثلا إلى جميع العقد في نظام مجموعة. لتسهيل هذا المطلب، يجب إنشاء جميع أدوار PostgreSQL الأخرى باستخدام Azure Cosmos DB لقدرات إدارة PostgreSQL.
دور Citus
أذونات الدورcitus:
- اقرأ جميع متغيرات التكوين، حتى المتغيرات المرئية عادة فقط للمستخدمين الفائقين.
- اقرأ جميع طرق عرض pg_stat_* واستخدم ملحقات مختلفة متعلقة بالإحصائيات - حتى طرق العرض أو الملحقات المرئية عادة فقط للمستخدمين الفائقين.
- تنفيذ وظائف المراقبة التي قد تأخذ تأمين ACCESS SHARE على الجداول، ربما لفترة طويلة.
- إنشاء ملحقات PostgreSQL.
وبشكل ملحوظ، يحتوي الدورcitusعلى بعض القيود:
- ليس من الممكن إنشاء أدوار
- لا يمكن إنشاء قواعد البيانات
citus لا يمكن حذف الدور ولكن سيتم تعطيله إذا تم تحديد أسلوب مصادقة "Microsoft Entra ID authentication only" على نظام المجموعة.
مصادقة معرف Microsoft Entra
مصادقة معرف Microsoft Entra (المعروف سابقا ب Azure Active Directory) هي آلية للاتصال ب Azure Cosmos DB ل PostgreSQL باستخدام الهويات المعرفة في معرف Microsoft Entra. باستخدام مصادقة معرف Microsoft Entra، يمكنك إدارة هويات مستخدمي قاعدة البيانات خدمات Microsoft الأخرى في موقع مركزي، ما يبسط إدارة الأذونات.
تشمل فوائد استخدام معرف Microsoft Entra ما يلي:
- مصادقة المستخدمين عبر خدمات Azure بطريقة موحدة
- إدارة نهج كلمة المرور ودوران كلمة المرور في مكان واحد
- نماذج متعددة من المصادقة التي يدعمها معرف Microsoft Entra، والتي يمكن أن تلغي الحاجة إلى تخزين كلمات المرور
- تستخدم مصادقة معرف Microsoft Entra أدوار قاعدة بيانات PostgreSQL لمصادقة الهويات على مستوى قاعدة البيانات
- دعم المصادقة المستندة إلى الرمز المميز للتطبيقات المتصلة ب Azure Cosmos DB ل PostgreSQL
إدارة وصول PostgreSQL لكيانات معرف Microsoft Entra
عند تمكين مصادقة معرف Microsoft Entra وإضافة أساس معرف Microsoft Entra كمسؤول معرف Microsoft Entra، يحصل الحساب على نفس امتيازات citus الدور. يمكن أن يكون تسجيل دخول مسؤول Microsoft Entra ID مستخدم معرف Microsoft Entra أو كيان الخدمة أو الهوية المدارة. يمكن تكوين العديد من مسؤولي معرف Microsoft Entra في أي وقت ويمكنك تعطيل مصادقة PostgreSQL (كلمة المرور) اختياريا إلى Azure Cosmos DB لنظام مجموعة PostgreSQL للحصول على احتياجات أفضل للتدقيق والتوافق.
بالإضافة إلى ذلك، يمكن إضافة أي عدد من أدوار معرف Microsoft Entra غيرmin إلى نظام مجموعة في أي وقت بمجرد تمكين مصادقة معرف Microsoft Entra. تتم إدارة أذونات قاعدة البيانات لأدوار معرف Microsoft Entra غير مسؤول مشابهة للأدوار العادية.
الاتصال باستخدام هويات معرف Microsoft Entra
تدعم مصادقة معرف Microsoft Entra الطرق التالية للاتصال بقاعدة بيانات باستخدام هويات معرف Microsoft Entra:
- كلمة مرور معرف Microsoft Entra
- Microsoft Entra ID المتكامل
- Microsoft Entra ID Universal مع MFA
- استخدام شهادات تطبيق معرف Microsoft Entra أو أسرار العميل
- الهوية المُدارة
بمجرد المصادقة مقابل معرف Microsoft Entra، يمكنك استرداد رمز مميز. هذا الرمز المميز هو كلمة المرور الخاصة بك لتسجيل الدخول.
اعتبارات أخرى
- يمكن تكوين أساسيات معرف Microsoft Entra المتعددة (مستخدم أو كيان خدمة أو هوية مدارة) كمسؤول معرف Microsoft Entra لنظام مجموعة Azure Cosmos DB ل PostgreSQL في أي وقت.
- إذا تم حذف أساس معرف Microsoft Entra من خدمة معرف Microsoft Entra، فإنه يظل كدور PostgreSQL على نظام المجموعة، ولكنه لم يعد قادرا على الحصول على رمز وصول جديد. في هذه الحالة، على الرغم من أن دور المطابقة لا يزال موجودا في قاعدة بيانات Postgres، فإنه غير قادر على المصادقة على عقد نظام المجموعة. يحتاج مسؤولو قاعدة البيانات إلى نقل الملكية وإسقاط مثل هذه الأدوار يدويا.
إشعار
لا يزال من الممكن تسجيل الدخول باستخدام مستخدم Microsoft Entra ID المحذوف حتى تنتهي صلاحية الرمز المميز (حتى 90 دقيقة من إصدار الرمز المميز). إذا قمت أيضا بإزالة المستخدم من Azure Cosmos DB لنظام مجموعة PostgreSQL، إبطال هذا الوصول على الفور.
- يطابق Azure Cosmos DB ل PostgreSQL رموز الوصول المميزة لدور قاعدة البيانات باستخدام معرف مستخدم Microsoft Entra الفريد للمستخدم، بدلا من استخدام اسم المستخدم. إذا تم حذف مستخدم معرف Microsoft Entra وتم إنشاء مستخدم جديد بنفس الاسم، فإن Azure Cosmos DB ل PostgreSQL يعتبر أن مستخدما مختلفا. لذلك، إذا تم حذف مستخدم من معرف Microsoft Entra وأضيف مستخدم جديد بنفس الاسم، فلن يتمكن المستخدم الجديد من الاتصال بالدور الحالي.
الخطوات التالية
- تحقق من حدود وقيود معرف Microsoft Entra في Azure Cosmos DB ل PostgreSQL
- تعرف على كيفية تكوين المصادقة ل Azure Cosmos DB لمجموعات PostgreSQL
- إعداد وصول شبكة خاصة إلى عقد نظام المجموعة، راجع إدارة الوصول الخاص
- إعداد الوصول إلى الشبكة العامة إلى عقد نظام المجموعة، راجع إدارة الوصول العام