استخدام مصادقة Azure Active Directory المتعددة العوامل
ينطبق على: Azure SQL Database
Azure SQL Managed Instance
Azure Synapse Analytics
تدعم قاعدة بيانات Azure SQL ومثيل Azure SQL المُدار وتحليلات Azure Synapse الاتصالات من SQL Server Management Studio (SSMS) باستخدام مصادقة Azure Active Directory - Universal مع MFA. تتناول هذه المقالة الاختلافات بين خيارات المصادقة المختلفة، وكذلك القيود المقترنة باستخدام "المصادقة الشاملة" في Azure Active Directory (المعروف اختصاراً باسم Azure AD) لـ Azure SQL.
تنزيل أحدث SSMS- على جهاز كمبيوتر العميل، قم بتنزيل أحدث إصدار من SSMS، منتحميل SQL Server Management Studio (SSMS).
ملاحظة
في ديسمبر 2021، لن تتم المصادقة على إصدارات SSMS-Management Studio قبل 18.6 من خلال Azure AD باستخدام مصادقة متعددة العوامل (MFA).
لمواصلة استخدام مصادقة Azure AD مع مصادقة متعددة العوامل (MFA)، تحتاج إلى إصدار SSMS-Management Studio 18.6 أو إصدار أحدث.
بالنسبة لكافة الميزات التي تمت مناقشتها في هذه المقالة، استخدم على الأقل يوليو 2017، الإصدار 17.2. يجب أن يكون مربع الحوار الأحدث اتصالاً مشابهة للصورة التالية:
خيارات المصادقة
هناك نموذجان للمصادقة غير التفاعلية لـ Azure AD، ويمكن استخدامهما في كثير من التطبيقات المختلفة (ADO.NET، وJDCB، وODC، وما إلى ذلك). لا تؤدي هاتان الطريقتان أبدًا إلى ظهور مربعات حوار منبثقة:
Azure Active Directory - Password
Azure Active Directory - Integrated
الأسلوب التفاعلي الذي يدعم أيضاً مصادقة Azure AD متعددة العوامل (MFA) هو:
Azure Active Directory - Universal with MFA
تساعد Azure AD MFA في حماية الوصول إلى البيانات والتطبيقات مع تلبية طلب المستخدم لعملية تسجيل دخول بسيطة. فهو يوفر مصادقة قوية مع مجموعة من خيارات التحقق السهلة (مكالمة هاتفية أو رسالة نصية أو بطاقات ذكية مع رقم التعريف الشخصي أو إشعار تطبيق الجوال)، مما يسمح للمستخدمين باختيار الطريقة التي يفضلونها. يمكن أن يؤدي MFA التفاعلية مع Azure AD إلى مربع حوار منبثق للتحقق من الصحة.
للحصول على وصف للمصادقة متعددة العوامل في Azure AD، راجع المصادقة متعددة العوامل. للحصول على خطوات التكوين، راجع تكوين مصادقة قاعدة بيانات Azure SQL المتعددة العوامل لـ SQL Server Management Studio.
اسم نطاق Azure AD أو معلمة ID للمستأجر
بدءاً منالإصدار 17 من SSMS، يمكن للمستخدمين الذين تم استيرادهم إلى Azure AD الحالي من إصدارات Azure Active Directory الأخرى كمستخدمين ضيوف تقديم اسم مجال Azure AD، أو معرّف المستأجر عند الاتصال. يشمل المستخدمون الضيوف المستخدمين المدعوين من Azure Ads، وحسابات Microsoft مثل outlook.com، hotmail.com، live.com، أو حسابات أخرى مثل gmail.com. هذه المعلومات تسمح لمصادقة Azure Active Directory - Universal with MFA
بتحديد سلطة المصادقة الصحيحة. مطلوب هذا الخيار أيضًا لدعم حسابات Microsoft (MSA) مثل حسابات outlook.com أو hotmail.com أو live.com أو حسابات غير MSA.
يجب على جميع المستخدمين الضيوف الذين يرغبون في أن تتم مصادقتهم باستخدام "المصادقة الشاملة" إدخال اسم مجال Azure AD أو معرّف المستأجر الخاص بهم. تمثل هذه المعلمة اسم مجال Azure AD الحالي أو معرف المستأجر الذي يقترن به خادم Azure SQL المنطقي. على سبيل المثال، إذا كان خادم SQL المنطقي مرتبطاً بمجال Azure AD contosotest.onmicrosoft.com
، حيث تتم استضافة المستخدم joe@contosodev.onmicrosoft.com
كمستخدم مستورد من مجال Azure AD contosodev.onmicrosoft.com
، فإن اسم النطاق المطلوب لمصادقة هذا المستخدم هو contosotest.onmicrosoft.com
. عندما يكون المستخدم مستخدماً أصليّاً من مستخدمي Azure AD المقترن بخادم SQL المنطقي، وليس حساب MSA، فإن اسم المجال أو معرف المستأجر لا يكونان مطلوبين. لإدخال المعلمة (بدايةً من الإصدار 17.2 من SSMS):
افتح اتصال في SSMS. قم بإدخال اسم الخادم الخاص بك، وحدد مصادقة Azure Active Directory - Universal مع MFA. قم بإضافة اسم المستخدم الذي تريد تسجيل الدخول به.
حدد مربع خيارات، ثم انتقل إلى علامة التبويب خصائص الاتصال. في مربع الحوار الاتصال بقاعدة البيانات، أكمل مربع الحوار الخاص بقاعدة البيانات لديك. تأكد من مربعAD domain name or tenant ID، وتوفير سلطة المصادقة، مثل اسم النطاق (contosotest.onmicrosoft.com) أو GUID لهوية المستأجر.
إذا كنت تقوم بتشغيل الإصدار 18.x من SSMS أو إصدار أحدث، فإن اسم مجال AD أو معرف المستأجر الخاص به لم يعُد مطلوباً للمستخدمين الضيوف لأن الإصدار 18.x أو الإصدارات الأحدث يتعرف عليهما تلقائيّاً.
أعمال Azure AD لدعم الأعمال
يمكن لمستخدمي Azure AD المعتمدين لسيناريوهات Azure AD B2B بوصفهم مستخدمين ضيوف (راجع ما المقصود بتعاون Azure B2B) الاتصال بقاعدة بيانات SQL وAzure Synapse كمستخدمين فرديين أو أعضاء في مجموعة Azure AD التي تم إنشاؤها في Azure AD المقترن، وتعيينه يدويّا باستخدام عبارة إنشاء مستخدم (Transact-SQL) في قاعدة بيانات معينة.
على سبيل المثال، إذا تمت دعوة steve@gmail.com
إلى Azure AD contosotest
(مع كون contosotest.onmicrosoft.com
يمثل مجال Azure AD)، فيجب إنشاء المستخدم steve@gmail.com
لقاعدة بيانات معينة (مثل MyDatabase) بواسطة مسؤول Azure AD SQL أو Azure AD DBO من خلال تنفيذ عبارة Transact-SQL create user [steve@gmail.com] FROM EXTERNAL PROVIDER
. إذا كان steve@gmail.com
جزءاً من مجموعة Azure AD، مثل usergroup
، فإن هذه المجموعة يجب إنشاؤها لقاعدة بيانات معينة (مثل MyDatabase) بواسطة مسؤول Azure AD SQL أو Azure AD DBO من خلال تنفيذ العبارة Transact-SQL create user [usergroup] FROM EXTERNAL PROVIDER
.
بعد إنشاء مستخدم قاعدة البيانات أو المجموعة، فيمكن للمستخدم steve@gmail.com
تسجيل الدخول إلى MyDatabase
باستخدام خيار مصادقة SSMS Azure Active Directory – Universal with MFA
. بشكلٍ افتراضي، يمتاز المستخدم أو المجموعة فقط بإذن الاتصال. أي وصول آخر للبيانات يجب أن يتم منحه في قاعدة البيانات من قِبَل مستخدم يتمتع بامتياز كافٍ.
ملاحظة
بالنسبة إلى الإصدار 17.x من SSMS، باستخدام steve@gmail.com
كمستخدم ضيف، يجب عليك وضع علامة على مربع اسم مجال AD أو معرف المستأجر وإضافة اسم مجال AD contosotest.onmicrosoft.com
في مربع الحوار خاصية الاتصال. يتم دعم خيار اسم مجال AD أو معرف المستأجر فقط لمصادقة Azure Active Directory - Universal مع MFA. وإلا، فستصبح خانة الاختيار رمادية.
قيود المصادقة الشاملة
- SSMS و SqlPackage.exe هي الأدوات الوحيدة الممكنة حاليًا ل MFA من خلال Active Directory Universal Authentication.
- يدعم الإصدار 17.2 من SSMS الوصول المتزامن للمستخدمين المتعددين باستخدام المصادقة الشاملة عن طريق MFA. بالنسبة إلى الإصدار 17.0 و17.1 من SSMS، تقيد الأداة تسجيل الدخول لمثيل SSMS باستخدام المصادقة الشاملة لحساب Azure Active Directory الفردي. لتسجيل الدخول كحساب Azure AD آخر، يجب استخدام مثيل آخر لـ SSMS. يقتصر هذا التقييد على "مصادقة Active Directory الشاملة"؛ ويمكنك تسجيل الدخول إلى خادم آخر باستخدام مصادقة
Azure Active Directory - Password
أو مصادقةAzure Active Directory - Integrated
أوSQL Server Authentication
. - يدعم SSMS الـ Active Directory Universal Authentication لـ Object Explorer وQuery Editor و Query Store visualization.
- يوفر الإصدار 17.2 SSMS دعم معالج DacFx لقاعدة بيانات تصدير/ استخراج/ نشر البيانات. بمجرد مصادقة مستخدم معين من خلال مربع حوار المصادقة الأولي باستخدام Universal Authentication، يعمل معالج DacFx بنفس الطريقة التي يعمل بها لجميع طرق المصادقة الأخرى.
- لا يدعم مصمم جدول SSMS المصادقة الشاملة.
- لا توجد متطلبات برامج إضافية لـ Active Directory Universal Authentication إلا أنه يجب استخدام إصدار معتمد من SSMS.
- راجع الارتباط التالي للحصول على أحدث إصدار من مكتبة مصادقة Microsoft (MSAL) للمصادقة العامة: نظرة عامة على مكتبة مصادقة Microsoft (MSAL).
الخطوات التالية
- للحصول على خطوات التكوين، راجع تكوين مصادقة قاعدة بيانات Azure SQL المتعددة العوامل لـ SQL Server Management Studio.
- امنح الآخرين إمكانية الوصول إلى قاعدة بيانات الخاصة بك: مصادقة وتخويل قاعدة بيانات SQL: منح إمكانية الوصول
- تأكد من إمكانية اتصال الآخرين عبر جدار الحماية: تكوين قاعدة جدار حماية على مستوى الخادم باستخدام مدخل Azure
- تكوين وإدارة مصادقة Azure Active Directory باستخدام قاعدة بيانات SQL أو Azure Synapse
- إنشاء مستخدمي ضيوف Azure AD وتعيينهم كمسؤولي Azure AD
- Microsoft SQL Server Data-Tier Application Framework (17.0.0 GA)
- SQLPackage.exe
- استيراد ملف BACPAC إلى قاعدة بيانات جديدة
- تصدير قاعدة بيانات إلى ملف BACPAC
- C# interface IUniversalAuthProvider Interface
الملاحظات
https://aka.ms/ContentUserFeedback.
قريبًا: خلال عام 2024، سنتخلص تدريجيًا من GitHub Issues بوصفها آلية إرسال ملاحظات للمحتوى ونستبدلها بنظام ملاحظات جديد. لمزيد من المعلومات، راجعإرسال الملاحظات وعرضها المتعلقة بـ