Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Azure Cosmos DB for MongoDB vCore 支持与 Microsoft Entra ID 集成,并提供 DocumentDB 原生身份验证。 每个用于 MongoDB vCore 的 Azure Cosmos DB 群集在创建时都会启用本机 DocumentDB 身份验证,并配备一个内置的管理用户。
可以在群集上启用 Microsoft Entra ID 身份验证,这可以与本机 DocumentDB 身份验证方法一起使用,或替代该方法。 可以在每个 Azure Cosmos DB for MongoDB vCore 群集上单独配置身份验证方法。 如果需要更改身份验证方法,可以在群集预配完成后随时执行此操作。 更改身份验证方法不需要重启群集。
Microsoft Entra ID 身份验证
Microsoft Entra ID 身份验证是使用 Microsoft Entra ID 中定义的标识连接到 Azure Cosmos DB for MongoDB vCore 的机制。 使用 Microsoft Entra ID 身份验证,可以在中心位置管理数据库用户标识和其他Microsoft服务,从而简化权限管理和标识服务合规性实施。
使用 Microsoft Entra ID 进行身份验证的好处包括:
以统一的方式在 Azure 服务中对用户进行身份验证
在统一的位置管理密码策略和密码轮换
Microsoft Entra ID 支持多种形式的身份验证,无需存储密码
对连接到 Azure Cosmos DB for MongoDB vCore 群集的应用程序支持基于令牌的身份验证
通过 Microsoft Entra ID 中的 OpenID Connect (OIDC) 支持,与 MongoDB 驱动程序的互操作性得以实现。 OIDC 是基于用于授权的 OAuth2 协议的身份验证协议。 OIDC 使用来自 OAuth2 的标准化消息流来提供标识服务。 需要通过 Microsoft Entra ID 向 Azure Cosmos DB for MongoDB vCore 群集进行身份验证时,请使用 OIDC 标识提供 Microsoft Entra ID 安全令牌。
Microsoft Entra ID 主体的管理和非管理访问权限
Microsoft在 Azure Cosmos DB for MongoDB vCore 群集上启用 Entra ID 身份验证时,可以将一个或多个 Microsoft Entra ID 主体作为 管理员用户 添加到该群集。 Microsoft Entra ID 管理员可以是 Microsoft Entra ID 用户、服务主体或托管标识。 可以随时配置多个Microsoft Entra ID 管理员。
Entra ID 管理用户在 Microsoft.DocumentDB/mongoClusters/users 下作为 Azure 实体创建,并复制到数据库。
此外,一旦启用 Entra ID 身份验证,可以随时将一个或多个非管理Microsoft Entra ID 用户添加到 Microsoft群集。 非管理员用户通常用于不需要管理权限的持续生产任务。
注意事项
群集必须启用身份验证方法。 它可以是本机身份验证和Microsoft Entra ID 或其中一种方法。
重要
创建群集时,必须启用本机 DocumentDB 身份验证方法并指定本机管理用户凭据。 新群集完成预配后,您可以禁用本机 DocumentDB 身份验证方法。
主群集和副本群集上的身份验证方法 是独立管理的。
可以随时将多个 Microsoft Entra ID 主体配置为 Azure Cosmos DB for MongoDB vCore 群集的 Microsoft Entra ID 管理员。 例如,可以配置以下类型的标识,使它们全部同时成为群集中的管理员:
- 人的身份
- 用户分配的托管标识
- 系统分配的托管标识
小窍门
Microsoft Entra ID 中提供了许多其他类型的标识。 有关详细信息,请参阅身份基础知识。
Microsoft Entra ID 主体是永久性的。 如果从 Microsoft Entra ID 服务中删除了 Microsoft Entra ID 主体,它仍然会作为群集中的用户存在,但将不能再获取新的访问令牌。 在这种情况下,尽管群集上仍然存在匹配角色,但无法向群集节点进行身份验证。 数据库管理员需要手动转让所有权并删除此类角色。
注释
使用已删除的主体进行登录仍可能发生,直到令牌过期为止(自令牌颁发起最多 90 分钟)。 如果还从 Azure Cosmos DB for MongoDB vCore 群集中删除用户,则会 立即撤销此访问权限。
相关内容
- 使用 Microsoft Entra ID 身份验证开发控制台应用
- 部署 已启用 entra 的 Microsoft Web 应用程序模板
- 了解如何启用 Microsoft Entra ID 并管理群集上的 Entra ID 用户
- 检查 Azure Cosmos DB for MongoDB vCore 中 Microsoft Entra ID 的局限性
- 查看Microsoft Entra ID 基础知识
- 查看 Microsoft Entra ID 中的 Open ID Connect (OIDC) 支持