مشاركة عبر

استخدام مصادقة Azure Active Directory المتعددة العوامل

  • مقالة

ينطبق على: Azure SQL Database Azure SQL Managed Instance Azure Synapse Analytics

تدعم قاعدة بيانات Azure SQL ومثيل Azure SQL المُدار وتحليلات Azure Synapse الاتصالات من SQL Server Management Studio (SSMS) باستخدام مصادقة Azure Active Directory - Universal مع MFA. تتناول هذه المقالة الاختلافات بين خيارات المصادقة المختلفة، وكذلك القيود المقترنة باستخدام "المصادقة الشاملة" في Azure Active Directory (المعروف اختصاراً باسم Azure AD) لـ Azure SQL.

⁩تنزيل أحدث SSMS⁧⁩- على جهاز كمبيوتر العميل، قم بتنزيل أحدث إصدار من SSMS، من⁧⁩تحميل SQL Server Management Studio (SSMS)⁧⁩.

ملاحظة

في ديسمبر 2021، لن تتم المصادقة على إصدارات SSMS-Management Studio قبل 18.6 من خلال Azure AD باستخدام مصادقة متعددة العوامل (MFA).

لمواصلة استخدام مصادقة Azure AD مع مصادقة متعددة العوامل (MFA)، تحتاج إلى إصدار SSMS-Management Studio 18.6 أو إصدار أحدث.

بالنسبة لكافة الميزات التي تمت مناقشتها في هذه المقالة، استخدم على الأقل يوليو 2017، الإصدار 17.2. يجب أن يكون مربع الحوار الأحدث اتصالاً مشابهة للصورة التالية:

Screenshot of the Connect to Server dialog in SQL Server Management Studio, showing settings for Server type, Server name, and Authentication.

خيارات المصادقة

هناك نموذجان للمصادقة غير التفاعلية لـ Azure AD، ويمكن استخدامهما في كثير من التطبيقات المختلفة (ADO.NET، وJDCB، وODC، وما إلى ذلك). لا تؤدي هاتان الطريقتان أبدًا إلى ظهور مربعات حوار منبثقة:

  • Azure Active Directory - Password
  • Azure Active Directory - Integrated

الأسلوب التفاعلي الذي يدعم أيضاً مصادقة Azure AD متعددة العوامل (MFA) هو:

  • Azure Active Directory - Universal with MFA

تساعد Azure AD MFA في حماية الوصول إلى البيانات والتطبيقات مع تلبية طلب المستخدم لعملية تسجيل دخول بسيطة. فهو يوفر مصادقة قوية مع مجموعة من خيارات التحقق السهلة (مكالمة هاتفية أو رسالة نصية أو بطاقات ذكية مع رقم التعريف الشخصي أو إشعار تطبيق الجوال)، مما يسمح للمستخدمين باختيار الطريقة التي يفضلونها. يمكن أن يؤدي MFA التفاعلية مع Azure AD إلى مربع حوار منبثق للتحقق من الصحة.

للحصول على وصف للمصادقة متعددة العوامل في Azure AD، راجع المصادقة متعددة العوامل. للحصول على خطوات التكوين، راجع تكوين مصادقة قاعدة بيانات Azure SQL المتعددة العوامل لـ SQL Server Management Studio.

اسم نطاق Azure AD أو معلمة ID للمستأجر

بدءاً منالإصدار 17 من SSMS، يمكن للمستخدمين الذين تم استيرادهم إلى Azure AD الحالي من إصدارات Azure Active Directory الأخرى كمستخدمين ضيوف تقديم اسم مجال Azure AD، أو معرّف المستأجر عند الاتصال. يشمل المستخدمون الضيوف المستخدمين المدعوين من Azure Ads، وحسابات Microsoft مثل outlook.com، hotmail.com، live.com، أو حسابات أخرى مثل gmail.com. هذه المعلومات تسمح لمصادقة Azure Active Directory - Universal with MFAبتحديد سلطة المصادقة الصحيحة. مطلوب هذا الخيار أيضًا لدعم حسابات Microsoft (MSA) مثل حسابات outlook.com أو hotmail.com أو live.com أو حسابات غير MSA.

يجب على جميع المستخدمين الضيوف الذين يرغبون في أن تتم مصادقتهم باستخدام "المصادقة الشاملة" إدخال اسم مجال Azure AD أو معرّف المستأجر الخاص بهم. تمثل هذه المعلمة اسم مجال Azure AD الحالي أو معرف المستأجر الذي يقترن به خادم Azure SQL المنطقي. على سبيل المثال، إذا كان خادم SQL المنطقي مرتبطاً بمجال Azure AD contosotest.onmicrosoft.com، حيث تتم استضافة المستخدم joe@contosodev.onmicrosoft.com كمستخدم مستورد من مجال Azure AD contosodev.onmicrosoft.com، فإن اسم النطاق المطلوب لمصادقة هذا المستخدم هو contosotest.onmicrosoft.com. عندما يكون المستخدم مستخدماً أصليّاً من مستخدمي Azure AD المقترن بخادم SQL المنطقي، وليس حساب MSA، فإن اسم المجال أو معرف المستأجر لا يكونان مطلوبين. لإدخال المعلمة (بدايةً من الإصدار 17.2 من SSMS):

  1. افتح اتصال في SSMS. قم بإدخال اسم الخادم الخاص بك، وحدد مصادقة Azure Active Directory - Universal مع MFA. قم بإضافة اسم المستخدم الذي تريد تسجيل الدخول به.

  2. حدد مربع خيارات، ثم انتقل إلى علامة التبويب خصائص الاتصال. في مربع الحوار الاتصال بقاعدة البيانات، أكمل مربع الحوار الخاص بقاعدة البيانات لديك. تأكد من مربع⁧⁩AD domain name or tenant ID⁧⁩، وتوفير سلطة المصادقة، مثل اسم النطاق (⁧⁩contosotest.onmicrosoft.com⁧⁩) أو GUID لهوية المستأجر.

    Screenshot of the Connection Properties tab highlighting the settings for Connect to database and AD domain name or tenant ID.

إذا كنت تقوم بتشغيل الإصدار 18.x من SSMS أو إصدار أحدث، فإن اسم مجال AD أو معرف المستأجر الخاص به لم يعُد مطلوباً للمستخدمين الضيوف لأن الإصدار 18.x أو الإصدارات الأحدث يتعرف عليهما تلقائيّاً.

Screenshot of the Connection Properties tab in the Connect to Server dialog in S S M S.

أعمال Azure AD لدعم الأعمال

يمكن لمستخدمي Azure AD المعتمدين لسيناريوهات Azure AD B2B بوصفهم مستخدمين ضيوف (راجع ما المقصود بتعاون Azure B2B) الاتصال بقاعدة بيانات SQL وAzure Synapse كمستخدمين فرديين أو أعضاء في مجموعة Azure AD التي تم إنشاؤها في Azure AD المقترن، وتعيينه يدويّا باستخدام عبارة إنشاء مستخدم (Transact-SQL) في قاعدة بيانات معينة.

على سبيل المثال، إذا تمت دعوة steve@gmail.com إلى Azure AD contosotest (مع كون contosotest.onmicrosoft.com يمثل مجال Azure AD)، فيجب إنشاء المستخدم steve@gmail.com لقاعدة بيانات معينة (مثل MyDatabase) بواسطة مسؤول Azure AD SQL أو Azure AD DBO من خلال تنفيذ عبارة Transact-SQL create user [steve@gmail.com] FROM EXTERNAL PROVIDER. إذا كان steve@gmail.com جزءاً من مجموعة Azure AD، مثل usergroup، فإن هذه المجموعة يجب إنشاؤها لقاعدة بيانات معينة (مثل MyDatabase) بواسطة مسؤول Azure AD SQL أو Azure AD DBO من خلال تنفيذ العبارة Transact-SQL create user [usergroup] FROM EXTERNAL PROVIDER.

بعد إنشاء مستخدم قاعدة البيانات أو المجموعة، فيمكن للمستخدم steve@gmail.com تسجيل الدخول إلى MyDatabase باستخدام خيار مصادقة SSMS Azure Active Directory – Universal with MFA. بشكلٍ افتراضي، يمتاز المستخدم أو المجموعة فقط بإذن الاتصال. أي وصول آخر للبيانات يجب أن يتم منحه في قاعدة البيانات من قِبَل مستخدم يتمتع بامتياز كافٍ.

ملاحظة

بالنسبة إلى الإصدار 17.x من SSMS، باستخدام steve@gmail.com كمستخدم ضيف، يجب عليك وضع علامة على مربع اسم مجال AD أو معرف المستأجر وإضافة اسم مجال AD contosotest.onmicrosoft.com في مربع الحوار خاصية الاتصال. يتم دعم خيار اسم مجال AD أو معرف المستأجر فقط لمصادقة Azure Active Directory - Universal مع MFA. وإلا، فستصبح خانة الاختيار رمادية.

قيود المصادقة الشاملة

  • SSMS و SqlPackage.exe هي الأدوات الوحيدة الممكنة حاليًا ل MFA من خلال Active Directory Universal Authentication.
  • يدعم الإصدار 17.2 من SSMS الوصول المتزامن للمستخدمين المتعددين باستخدام المصادقة الشاملة عن طريق MFA. بالنسبة إلى الإصدار 17.0 و17.1 من SSMS، تقيد الأداة تسجيل الدخول لمثيل SSMS باستخدام المصادقة الشاملة لحساب Azure Active Directory الفردي. لتسجيل الدخول كحساب Azure AD آخر، يجب استخدام مثيل آخر لـ SSMS. يقتصر هذا التقييد على "مصادقة Active Directory الشاملة"؛ ويمكنك تسجيل الدخول إلى خادم آخر باستخدام مصادقة Azure Active Directory - Password أو مصادقة Azure Active Directory - Integrated أو SQL Server Authentication.
  • يدعم SSMS الـ Active Directory Universal Authentication لـ Object Explorer وQuery Editor و Query Store visualization.
  • يوفر الإصدار 17.2 SSMS دعم معالج DacFx لقاعدة بيانات تصدير/ استخراج/ نشر البيانات. بمجرد مصادقة مستخدم معين من خلال مربع حوار المصادقة الأولي باستخدام Universal Authentication، يعمل معالج DacFx بنفس الطريقة التي يعمل بها لجميع طرق المصادقة الأخرى.
  • لا يدعم مصمم جدول SSMS المصادقة الشاملة.
  • لا توجد متطلبات برامج إضافية لـ Active Directory Universal Authentication إلا أنه يجب استخدام إصدار معتمد من SSMS.
  • راجع الارتباط التالي للحصول على أحدث إصدار من مكتبة مصادقة Microsoft (MSAL) للمصادقة العامة: نظرة عامة على مكتبة مصادقة Microsoft (MSAL).

الخطوات التالية