This page documents AlloyDB Omni version 16.8.0 using the containers deployment option. Choose a different deployment option.

Se usó la API de Cloud Translation para traducir esta página.

Integrar la compatibilidad con grupos de Active Directory en AlloyDB Omni

Selecciona una versión de la documentación:

Vista previa — AlloyDB Omni

Esta función está sujeta(s) a las “Condiciones de la Oferta de la Fase Previa a la DG” en la sección Condiciones del Servicio Generales de las Condiciones Específicas del Servicio. Puedes tratar datos personales para esta función como se describe en el Anexo de Tratamiento de Datos de Cloud, sujeto a las obligaciones y restricciones que se describen en el acuerdo en virtud del cual accedes a Google Cloud. Las funciones de la fase previa a la DG están disponibles "sin modificaciones" y pueden tener asistencia limitada. Para obtener más información, consulta las descripciones de la etapa de lanzamiento.

En esta página, se describe cómo configurar y administrar la autenticación y autorización basadas en grupos de Active Directory en AlloyDB Omni. La compatibilidad basada en grupos de Active Directory automatiza la administración de las membresías de roles de PostgreSQL según las membresías de grupos de un usuario en tu Active Directory, lo que optimiza la administración de usuarios y garantiza que los permisos estén sincronizados.

Para obtener más información, consulta Descripción general de Active Directory.

Flujo de trabajo de integración de Active Directory

La integración de Active Directory se implementa con una extensión de PostgreSQL (google_pg_auth), como se muestra en el siguiente flujo de trabajo:

Acceso del usuario: Un usuario se autentica en AlloyDB Omni con sus credenciales estándar de Active Directory a través de GSSAPI.
Creación automática de roles: Si no existe un rol de PostgreSQL correspondiente para el usuario, el sistema crea uno automáticamente, por ejemplo, CREATE ROLE "user@REALM" WITH LOGIN;.
Verificación de grupos de LDAP: El sistema se conecta de forma segura a tu Active Directory a través de LDAP para recuperar las membresías de grupo actuales del usuario.
Sincronización de membresías: El sistema compara los grupos de Active Directory del usuario con las asignaciones que configuraste.
- Si el usuario pertenece a un grupo de Active Directory asignado, pero no al grupo de PostgreSQL correspondiente, se le otorga la membresía.
- Si el usuario no pertenece a un grupo de Active Directory asignado, pero sí al grupo de PostgreSQL correspondiente, se revoca su membresía.
Acceso completado: Se finaliza la conexión del usuario y se accede a la base de datos. Los permisos del usuario se determinan según los roles de PostgreSQL a los que pertenece, que están sincronizados con el estado de su grupo de Active Directory.

Esta sincronización se realiza automáticamente cada vez que un usuario accede, lo que garantiza que los derechos de acceso a PostgreSQL reflejen el estado actual de tu directorio activo.

Antes de comenzar

Antes de integrar la compatibilidad con grupos de Active Directory en AlloyDB Omni, asegúrate de cumplir con los siguientes requisitos.

Autenticación de GSSAPI: La autenticación basada en GSSAPI debe estar configurada y operativa para tu instancia de AlloyDB Omni. Para obtener más información, consulta Integra Active Directory en AlloyDB Omni.
Roles de grupo de PostgreSQL: Debes crear manualmente los roles de grupo de PostgreSQL que deseas asignar a los grupos de Active Directory, como se muestra en el siguiente ejemplo:
```
CREATE ROLE 'postgres_developers';
CREATE ROLE 'postgres_read_only';
```
Permisos: Debes asignar manualmente los permisos de la base de datos (por ejemplo, SELECT y INSERT) a estos roles de grupo de PostgreSQL. La integración solo administra la membresía, pero no los privilegios de los grupos en sí, como se muestra en el siguiente ejemplo:
```
GRANT SELECT ON ALL TABLES IN SCHEMA sales TO postgres_read_only;
GRANT USAGE ON SCHEMA finance TO postgres_developers;
GRANT USAGE ON SCHEMA sales TO postgres_read_only;
GRANT SELECT, INSERT ON finance.transactions TO postgres_developers;
```

Configura la compatibilidad con grupos de Active Directory

Para configurar la compatibilidad con grupos de Active Directory en AlloyDB Omni, debes habilitar la extensión google_pg_auth, proporcionar los detalles de tu Active Directory en el archivo postgresql.conf y controlar las credenciales de forma segura.

Proporciona la contraseña de LDAP.

Debes proporcionar la contraseña de la cuenta de servicio ldap_bind_dn al contenedor de AlloyDB Omni con la variable de entorno AD_LDAP_PASSWORD, como se muestra en el siguiente ejemplo:

docker run -d --name CONTAINER_NAME \
          -e POSTGRES_PASSWORD=NEW_PASSWORD \
          -e AD_LDAP_PASSWORD=AD_LDAP_PASSWORD \
          -vDATA_DIR:/var/lib/postgresql/data \
          -p HOST_PORT:5432 \
          --restart=always \
          google/alloydbomni:IMAGE_TAG

Habilita la extensión google_pg_auth.
1. En tu archivo postgresql.conf, agrega o modifica los siguientes parámetros para habilitar la extensión y configurar la conexión LDAP. El archivo postgresql.conf se encuentra en el directorio de datos que montaste cuando iniciaste la imagen de AlloyDB Omni.
```
# ---------------------------------------------------------------------------
# ALLOYDB ACTIVE DIRECTORY INTEGRATION SETTINGS
# ---------------------------------------------------------------------------

google_pg_auth.enable_auth = on
google_pg_auth.ldap_uri = "AD_LDAP_SERVER_HOST"
google_pg_auth.ldap_base_dn = AD_LDAP_BASE_DN
google_pg_auth.ldap_bind_dn = AD_LDAP_BIND_DN
google_pg_auth.auth_cache_ttl_sec = 3600
```
  Realiza los siguientes reemplazos:
  - AD_LDAP_SERVER_HOST: Es el URI de tu servidor LDAP de Active Directory, por ejemplo, ldap://ad-controller.example.com.
  - AD_LDAP_BASE_DN: Es el nombre distinguido (DN) base para realizar búsquedas de LDAP, por ejemplo, DC=example,DC=com.
  - AD_LDAP_BIND_DN: Es el nombre distintivo (DN) de la cuenta de usuario de Active Directory que AlloyDB Omni usa para conectarse y realizar búsquedas de LDAP, por ejemplo, setupadmin@ad-example.com.
  - auth_cache_ttl_sec es el tiempo transcurrido hasta que AlloyDB Omni almacena en caché los datos por usuario antes de que AlloyDB Omni intente comunicarse con el servidor LDAP nuevamente. El valor de auth_cache_ttl_sec puede variar entre un mínimo de 60 segundos y un máximo de 86,400 segundos (24 horas).
2. Agrega google_pg_auth al parámetro shared_preload_libraries en postgresql.conf.
3. Agrega la siguiente línea a tu archivo postgresql.conf:
```
shared_preload_libraries='google_pg_auth,google_columnar_engine,google_job_scheduler,google_storage'
```
4. Reinicia la base de datos.
```
docker restart CONTAINER_NAME
```
Configura el certificado LDAPS.

Para garantizar una conexión segura a tu servidor de Active Directory a través de LDAPS, necesitas un certificado de CA.

Coloca el archivo de certificado de LDAPS en la siguiente ubicación predefinida en la imagen de AlloyDB Omni: /etc/ldap/ldap.crt.

Administra las asignaciones de grupos

Puedes crear y administrar asignaciones entre grupos de Active Directory y roles de PostgreSQL con funciones SQL.

docker exec -it CONTAINER_NAME psql -h localhost -U postgres
postgres=# CREATE EXTENSION google_pg_auth;
CREATE EXTENSION

Crea una asignación de grupo

Para asignar un grupo de Active Directory a un rol de grupo de PostgreSQL que ya creaste, usa la función map_ad_group():

SELECT google_pg_auth.map_ad_group(ad_group_name TEXT, ad_group_sid TEXT, pg_role_name TEXT);

Por ejemplo, para asignar el grupo de Active Directory ad-developers al rol de PostgreSQL pg-developers, usa el siguiente comando:

SELECT google_pg_auth.map_ad_group('ad-developers', 'S-1-5-21-.....', 'postgres_read_only');

Para recuperar el SID de un grupo en particular en Active Directory, usa el siguiente comando en tu servidor de Active Directory:

C:\Users\Admin> Get-ADGroup -Identity ad-developers | select SID

             SID
-----------------------------------------------
S-1-5-21-3168537779-1985441202-1799118680-1612

Cómo quitar una asignación de grupo

Para quitar una asignación existente, usa la función unmap_ad_group(). Esta función detiene la sincronización para ese grupo, pero no quita a los usuarios del grupo de PostgreSQL si ya son miembros.

SELECT google_pg_auth.unmap_ad_group(ad_group_sid TEXT, pg_role_name TEXT);

Consulta el siguiente ejemplo:

SELECT google_pg_auth.unmap_ad_group('quinn@google.com', 'postgres_read_only');

Conéctate a la base de datos de AlloyDB Omni

Accede a la base de datos de AlloyDB Omni con el usuario de Active Directory. Debes habilitar kinit en el cliente al que te conectas.

En el siguiente ejemplo, el Pod postgres-client tiene instalados kinit y psql, y está configurado para conectarse al clúster de AlloyDB Omni con el cliente psql.

root@postgres-client:/# kinit AD_USER_NAME
Password for user1REALM:

root@postgres-client:/# psql -h ALLOYDB_SERVER_HOST_NAME -U AD_USER_NAME@REALM -d postgres
psql (16.6 (Ubuntu 16.6-0ubuntu0.24.04.1), server 16.3)
GSSAPI-encrypted connection
Type "help" for help.

user1=#

Tu acceso a la base de datos de AlloyDB Omni se determina automáticamente según lo siguiente:

Tu membresía actual en grupos de Active Directory
Las asignaciones que define el administrador entre esos grupos de Active Directory y los roles de PostgreSQL
Son los permisos que el administrador otorga a esos roles de PostgreSQL.

Si es la primera vez que te conectas, tu rol de usuario de PostgreSQL (your_ad_user@YOURDOMAIN.COM) se crea automáticamente.

Cada vez que accedes, el sistema verifica tus membresías actuales en grupos de Active Directory y actualiza tus membresías correspondientes en roles de PostgreSQL para que coincidan. No es necesario que realices ninguna acción específica para que se produzca esta sincronización.

Ejemplo de conexión a la base de datos

Por ejemplo, supongamos que un usuario, Quinn, forma parte de un grupo de Active Directory llamado ad_developers. El administrador asignó ad_developers a un rol de Postgres llamado pg_read_only. Este rol tiene acceso de lectura a una tabla llamada sales. Cuando el usuario accede, puede acceder a la tabla.

root@postgres-client:/# kinit quinn@REALM
Password for quinn@YOUR.REALM:

root@postgres-client:/# psql -h ALLOYDB_SERVER_HOST_NAME -U quinn@REALM -d postgres
psql (16.6 (Ubuntu 16.6-0ubuntu0.24.04.1), server 16.3)
GSSAPI-encrypted connection
Type "help" for help.

postgres=# select * from sales;
// Query will be run successfully

En el siguiente ejemplo, se quita a Quinn del grupo ad_developers en Active Directory:

root@postgres-client:/# kinit quinn@REALM
Password for quinn@YOUR.REALM:

root@postgres-client:/# psql -h ALLOYDB_SERVER_HOST_NAME -U quinn@REALM -d postgres
psql (16.6 (Ubuntu 16.6-0ubuntu0.24.04.1), server 16.3)
GSSAPI-encrypted connection
Type "help" for help.

postgres=# select * from sales;
// Query will fail

Limitaciones

Administración manual de grupos y permisos: Esta función solo automatiza la membresía de los usuarios en los grupos de PostgreSQL existentes. La creación de esos grupos y el otorgamiento de sus permisos siguen siendo tareas administrativas manuales.
Latencia de sincronización: La membresía solo se sincroniza cuando un usuario accede a su cuenta. Los cambios que se realicen en la membresía de un usuario en un grupo de Active Directory solo se reflejarán en AlloyDB Omni en la próxima sesión de acceso del usuario.
Rendimiento: La búsqueda de LDAP agrega una pequeña cantidad de latencia al proceso inicial de acceso del usuario. El almacenamiento en caché ayuda a mitigar esta latencia para los inicios de sesión posteriores dentro de la duración del tiempo de actividad configurado (auth_cache_ttl_sec).
Control de errores: Si no se puede acceder al servidor LDAP o si se producen otros errores durante el proceso de sincronización, AlloyDB Omni registra el error. Sin embargo, el acceso del usuario se realizará correctamente, ya que la autenticación de GSSAPI se completó correctamente. Solo fallará la sincronización de la membresía del grupo para esa sesión.