Tilrettelegg for bare AD-innlogging til database

[Ceredron]

Beskrivelse

Vi tillater idag både Postgres login (for adminuser) og AD innlogging i databasen (brukes for app). Gjør om pipeline, og migrering, til å bruke en AD-token istedet (https://learn.microsoft.com/en-us/azure/postgresql/flexible-server/how-to-configure-sign-in-azure-ad-authentication).

Opprett Azure AD-roller for prod-tilgang som vi kan bruke Privileged Identity Management (å "pimme") for å skaffe tilgang til i tidsavgrensede perioder. Denne AD-rollen bør være knyttet til en rolle i Postgres, og alle spørringer eksekvert av noen med denne rollen må logges.

Deretter kan vi slå av Postgres-innlogging til databasen.

• Skriv om migrering til å bruke AD-autentisering
• Opprett AD-gruppe som svarer til en rolle i Postgres med monitorert tilgang til prod
• Skriv om pipeline/bicep til å slå av adminuser-tilgang til produksjon.