Usare l'ID Microsoft Entra per l'autenticazione con MySQL
SI APPLICA A: 
Database di Azure per MySQL - Server singolo
Importante
Il server singolo del Database di Azure per MySQL è in fase di ritiro. È consigliabile eseguire l'aggiornamento al server flessibile del Database di Azure per MySQL. Per altre informazioni sulla migrazione a Database di Azure per MySQL - Server flessibile, vedere Cosa succede a Database di Azure per MySQL - Server singolo?
L'autenticazione di Microsoft Entra è un meccanismo di connessione a Database di Azure per MySQL tramite identità definite in Microsoft Entra ID. Con l'autenticazione di Microsoft Entra, è possibile gestire le identità utente del database e altre servizi Microsoft in una posizione centrale, semplificando la gestione delle autorizzazioni.
I vantaggi dell'uso di Microsoft Entra ID includono:
- Autenticazione degli utenti nei servizi di Azure in modo uniforme
- Gestione dei criteri delle password e della rotazione delle password in un'unica posizione
- Più forme di autenticazione supportate da Microsoft Entra ID eliminando la necessità di archiviare le password
- I clienti possono gestire le autorizzazioni del database usando gruppi esterni (Microsoft Entra ID).
- L'autenticazione di Microsoft Entra usa gli utenti del database MySQL per autenticare le identità a livello di database
- Supporto dell'autenticazione basata su token per le applicazioni che si connettono al database di Azure per MySQL
Per configurare e usare l'autenticazione di Microsoft Entra, utilizzare il processo seguente:
- Creare e popolare l'ID Microsoft Entra con le identità utente in base alle esigenze.
- Associare o modificare facoltativamente l'istanza di Active Directory attualmente associata alla sottoscrizione di Azure.
- Creare un amministratore di Microsoft Entra per il server Database di Azure per MySQL.
- Creare utenti di database nel database mappati alle identità di Microsoft Entra.
- Connettersi al database recuperando un token per un'identità di Microsoft Entra e accedendo.
Nota
Per informazioni su come creare e popolare Microsoft Entra ID e quindi configurare Microsoft Entra ID con Database di Azure per MySQL, vedere Configurare e accedere con Microsoft Entra ID per Database di Azure per MySQL.
Architettura
Il diagramma generale seguente riepiloga il funzionamento dell'autenticazione usando l'autenticazione di Microsoft Entra con Database di Azure per MySQL. Le frecce indicano i percorsi di comunicazione.
Struttura dell'account amministratore
Quando si usa l'autenticazione Di Microsoft Entra, sono disponibili due account di amministratore per il server MySQL; amministratore mySQL originale e amministratore di Microsoft Entra. Solo l'amministratore basato su un account Microsoft Entra può creare il primo utente di database indipendente di Microsoft Entra ID in un database utente. L'account di accesso amministratore di Microsoft Entra può essere un utente di Microsoft Entra o un gruppo di Microsoft Entra. Quando l'amministratore è un account di gruppo, può essere usato da qualsiasi membro del gruppo, abilitando più amministratori di Microsoft Entra per il server MySQL. L'uso di un account di gruppo come amministratore migliora la gestibilità consentendo di aggiungere e rimuovere centralmente i membri del gruppo in Microsoft Entra ID senza modificare gli utenti o le autorizzazioni nel server MySQL. È possibile configurare un solo amministratore di Microsoft Entra (utente o gruppo) alla volta.
Autorizzazioni
Per creare nuovi utenti che possono eseguire l'autenticazione con Microsoft Entra ID, è necessario essere l'amministratore designato di Microsoft Entra. Questo utente viene assegnato configurando l'account amministratore di Microsoft Entra per un server di Database di Azure per MySQL specifico.
Per creare un nuovo utente del database Microsoft Entra, è necessario connettersi come amministratore di Microsoft Entra. Questo è illustrato in Configurare e accedere con Microsoft Entra ID per Database di Azure per MySQL.
Qualsiasi autenticazione di Microsoft Entra è possibile solo se l'amministratore di Microsoft Entra è stato creato per Database di Azure per MySQL. Se l'amministratore di Microsoft Entra è stato rimosso dal server, gli utenti esistenti di Microsoft Entra creati in precedenza non possono più connettersi al database usando le credenziali di Microsoft Entra.
Connessione con le identità di Microsoft Entra
L'autenticazione di Microsoft Entra supporta i metodi seguenti per la connessione a un database con le identità di Microsoft Entra:
- Password di Microsoft Entra
- Integrato in Microsoft Entra
- Autenticazione universale di Microsoft Entra con MFA
- Uso di certificati dell'applicazione o segreti client di Active Directory
- Identità gestita
Dopo avere eseguito l'autenticazione con Active Directory, è possibile recuperare un token. Questo token è la password per l'accesso.
Si noti che le operazioni di gestione, ad esempio l'aggiunta di nuovi utenti, sono supportate solo per i ruoli utente di Microsoft Entra a questo punto.
Nota
Per altre informazioni su come connettersi con un token di Active Directory, vedere Configurare e accedere con Microsoft Entra ID for Database di Azure per MySQL.
Considerazioni aggiuntive
- L'autenticazione Di Microsoft Entra è disponibile solo per MySQL 5.7 e versioni successive.
- È possibile configurare un solo amministratore di Microsoft Entra per un server Database di Azure per MySQL in qualsiasi momento.
- Solo un amministratore di Microsoft Entra per MySQL può inizialmente connettersi al Database di Azure per MySQL usando un account Microsoft Entra. L'amministratore di Active Directory può configurare gli utenti del database di Microsoft Entra successivi.
- Se un utente viene eliminato dall'ID Microsoft Entra, tale utente non sarà più in grado di eseguire l'autenticazione con Microsoft Entra ID e pertanto non sarà più possibile acquisire un token di accesso per tale utente. In questo caso, anche se l'utente corrispondente sarà ancora nel database, non sarà possibile connettersi al server con tale utente.
Nota
L'accesso con l'utente Microsoft Entra eliminato può comunque essere eseguito fino alla scadenza del token (fino a 60 minuti dall'emissione del token). Se si rimuove l'utente anche dal database di Azure per MySQL, questo accesso verrà revocato immediatamente.
- Se l'amministratore di Microsoft Entra viene rimosso dal server, il server non sarà più associato a un tenant di Microsoft Entra e pertanto tutti gli account di accesso di Microsoft Entra verranno disabilitati per il server. L'aggiunta di un nuovo amministratore di Microsoft Entra dallo stesso tenant riabiliterà gli account di accesso di Microsoft Entra.
- Database di Azure per MySQL corrisponde ai token di accesso all'utente Database di Azure per MySQL usando l'ID utente Microsoft Entra univoco dell'utente, anziché usare il nome utente. Ciò significa che se un utente di Microsoft Entra viene eliminato in Microsoft Entra ID e un nuovo utente creato con lo stesso nome, Database di Azure per MySQL considera che un utente diverso. Pertanto, se un utente viene eliminato da Microsoft Entra ID e quindi un nuovo utente con lo stesso nome aggiunto, il nuovo utente non sarà in grado di connettersi con l'utente esistente.
Nota
Le sottoscrizioni di un'istanza di Azure MySQL con l'autenticazione Microsoft Entra abilitata non possono essere trasferite a un altro tenant o a un'altra directory.
Passaggi successivi
- Per informazioni su come creare e popolare Microsoft Entra ID e quindi configurare Microsoft Entra ID con Database di Azure per MySQL, vedere Configurare e accedere con Microsoft Entra ID per Database di Azure per MySQL.
- Per una panoramica degli account di accesso e degli utenti di database per Database di Azure per MySQL, vedere creare utenti in Database di Azure per MySQL.