通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

使用 Azure Cosmos DB for MongoDB vCore 进行的 Microsoft Entra ID 身份验证

  • 适用于: ✅ MongoDB (vCore)

Azure Cosmos DB for MongoDB vCore 支持与 Microsoft Entra ID 集成,并提供 DocumentDB 原生身份验证。 每个用于 MongoDB vCore 的 Azure Cosmos DB 群集在创建时都会启用本机 DocumentDB 身份验证,并配备一个内置的管理用户。

可以在群集上启用 Microsoft Entra ID 身份验证,这可以与本机 DocumentDB 身份验证方法一起使用,或替代该方法。 可以在每个 Azure Cosmos DB for MongoDB vCore 群集上单独配置身份验证方法。 如果需要更改身份验证方法,可以在群集预配完成后随时执行此操作。 更改身份验证方法不需要重启群集。

Microsoft Entra ID 身份验证

Microsoft Entra ID 身份验证是使用 Microsoft Entra ID 中定义的标识连接到 Azure Cosmos DB for MongoDB vCore 的机制。 使用 Microsoft Entra ID 身份验证,可以在中心位置管理数据库用户标识和其他Microsoft服务,从而简化权限管理和标识服务合规性实施。

使用 Microsoft Entra ID 进行身份验证的好处包括:

  • 以统一的方式在 Azure 服务中对用户进行身份验证

  • 在统一的位置管理密码策略和密码轮换

  • Microsoft Entra ID 支持多种形式的身份验证,无需存储密码

  • 对连接到 Azure Cosmos DB for MongoDB vCore 群集的应用程序支持基于令牌的身份验证

通过 Microsoft Entra ID 中的 OpenID Connect(OIDC)支持,提供与 MongoDB 驱动程序的互操作性。 OIDC 是基于用于授权的 OAuth2 协议的身份验证协议。 OIDC 使用来自 OAuth2 的标准化消息流来提供标识服务。 需要通过 Microsoft Entra ID 向 Azure Cosmos DB for MongoDB vCore 群集进行身份验证时,请使用 OIDC 标识提供 Microsoft Entra ID 安全令牌。

Microsoft Entra ID 主体的管理和非管理访问权限

Microsoft在 Azure Cosmos DB for MongoDB vCore 群集上启用 Entra ID 身份验证时,可以将一个或多个 Microsoft Entra ID 主体作为 管理员用户 添加到该群集。 Microsoft Entra ID 管理员可以是 Microsoft Entra ID 用户、服务主体或托管标识。 可以随时配置多个Microsoft Entra ID 管理员。

此外,一旦启用 Entra ID 身份验证,可以随时将一个或多个非管理Microsoft Entra ID 用户添加到 Microsoft群集。 非管理员用户通常用于不需要管理权限的持续生产任务。

注意事项

  • 群集必须启用本机身份验证,或同时启用本机身份验证和Microsoft Entra ID。 Microsoft Entra ID 不能是群集上唯一启用的身份验证方法。

  • 可以随时将多个 Microsoft Entra ID 主体配置为 Azure Cosmos DB for MongoDB vCore 群集的 Microsoft Entra ID 管理员。 例如,可以配置以下类型的标识,使它们全部同时成为群集中的管理员:

    • 人类身份
    • 用户分配的托管标识
    • 系统分配的托管标识

    小窍门

    Microsoft Entra ID 中提供了许多其他类型的标识。 有关详细信息,请参阅身份基础知识

  • Microsoft Entra ID 主体是永久性的。 如果从 Microsoft Entra ID 服务中删除了 Microsoft Entra ID 主体,它仍然会作为群集中的用户存在,但将不能再获取新的访问令牌。 在这种情况下,尽管群集上仍然存在匹配角色,但无法向群集节点进行身份验证。 数据库管理员需要手动转让所有权并删除此类角色。

    注释

    在令牌过期(令牌生存期最长为 90 分钟,从颁发令牌起计算)之前,仍然可以使用已删除的主体登录。 如果还从 Azure Cosmos DB for MongoDB vCore 群集中删除用户,则会立即撤销此访问权限。

局限性

Microsoft Entra ID 身份验证功能具有以下当前限制:

  • 副本群集不支持此功能。

  • 还原的群集不支持此功能。

  • Mongo shell (mongosh) 或 MongoDB Compass 不支持此功能。

相关内容