مشاركة عبر

كيفية تنفيذ مصادقة Windows لـ Azure SQL Managed Instance باستخدام Azure Active Directory وKerberos (معاينة)

  • مقالة

تمكن مصادقة Windows لمديري Azure AD على Azure SQL Managed Instance العملاء من نقل الخدمات الحالية إلى السحابة مع الحفاظ على تجربة مستخدم سلسة وتوفر الأساس لتحديث البنية التحتية للأمان. لتمكين مصادقة Windows لمديري Azure Active Directory (Azure AD)، ستقوم بتحويل مستأجر Azure AD إلى عالم Kerberos مستقل وإنشاء ثقة واردة في مجال العميل.

يسمح هذا التكوين للمستخدمين في مجال العميل بالوصول إلى الموارد الموجودة في مستأجر Azure AD. ولن يسمح للمستخدمين في مستأجر Azure AD بالوصول إلى الموارد في مجال العميل.

يقدم الرسم التخطيطي التالي نظرة عامة حول كيفية تنفيذ مصادقة Windows لمثيل مدار باستخدام Azure AD وKerberos:

An overview of authentication: a client submits an encrypted Kerberos ticket as part of an authentication request to a managed instance. The managed instance submits the encrypted Kerberos ticket to Azure AD, who exchanges it for an Azure AD token that is returned the managed instance. The managed instance uses this token to authenticate the user.

كيف يوفر Azure AD مصادقة Kerberos

لإنشاء عالم Kerberos مستقل لمستأجر Azure AD، يقوم العملاء بتثبيت وحدة PowerShell لإدارة المصادقة المختلطة لـ Azure AD على أي خادم Windows وتشغيل cmdlet لإنشاء كائن Azure AD Kerberos في السحابة وActive Directory الخاص بهم. تمكن الثقة التي تم إنشاؤها بهذه الطريقة عملاء Windows الحاليين من الوصول إلى Azure AD باستخدام Kerberos.

تم توضيح الوضع التفاعلي لعملاء Windows 10 21H1 وما فوق ولا يحتاجون إلى تكوين لتدفقات تسجيل الدخول التفاعلية للعمل. يمكن تكوين العملاء الذين يقومون بتشغيل الإصدارات السابقة من Windows لاستخدام الخوادم الوكيلة لمركز توزيع مفاتيح Kerberos (KDC) لاستخدام مصادقة Kerberos.

تمكن مصادقة Kerberos في Azure AD:

  • نقل التطبيقات المحلية التقليدية إلى السحابة دون تغيير نظام المصادقة الأساسي الخاص بها.

  • تتم مصادقة التطبيقات التي تعمل على العملاء المستنيرين باستخدام Azure AD مباشرة.

كيف يعمل Azure SQL Managed Instance مع Azure AD وKerberos

يستخدم العملاء مدخل Azure لتمكين مدير خدمة معين للنظام على كل مثيل مدار. يسمح مدير الخدمة لمستخدمي المثيلات المدارة بالمصادقة باستخدام بروتوكول Kerberos.

الخطوات التالية

تعرف على المزيد حول تمكين مصادقة Windows لمديري Azure AD على Azure SQL Managed Instance: