وصف المصادقة والهويات

  • 5 دقائق

تدعم كل من تثبيتات SQL Server المحلية وتثبيتات SQL Server داخل الأجهزة الظاهرية Azure وضعين من المصادقة: مصادقة SQL Server ومصادقة Windows. عند استخدام مصادقة SQL Server، يتم تخزين معلومات اسم تسجيل الدخول وكلمة المرور الخاصة بـ SQL Server داخل SQL Server، إما في قاعدة البيانات الرئيسية، أو في حالة المستخدمين المتضمنين، داخل قاعدة بيانات المستخدم. باستخدام مصادقة Windows، يقوم المستخدمون بالاتصال بـ SQL Server باستخدام نفس حساب Active Directory الذي يستخدمونه لتسجيل الدخول إلى الكمبيوتر (بالإضافة إلى الوصول إلى مشاركات الملفات والتطبيقات).

تعتبر مصادقة Active Directory أكثر أمانًا لأن مصادقة SQL Server تسمح برؤية معلومات تسجيل الدخول بنص عادي في أثناء تمريرها عبر الشبكة. بالإضافة إلى ذلك، تسهل مصادقة Active Directory إدارة معدل دوران المستخدمين. إذا غادر أحد المستخدمين الشركة واستخدمت مصادقة Windows، فسيتعين على المسؤول فقط قفل حساب Windows الفردي لهذا المستخدم، بدلاً من تحديد كل تكرار لتسجيل الدخول إلى SQL.

تدعم قاعدة بيانات Azure SQL بالمثل وضعين مختلفين للمصادقة، مصادقة SQL Server ومصادقة Microsoft Entra. مصادقة SQL Server هي نفس أسلوب المصادقة التي تم اعتمادها في SQL Server منذ أن تم تقديمها لأول مرة، حيث يتم تخزين بيانات اعتماد المستخدم داخل قاعدة البيانات الرئيسية أو قاعدة بيانات المستخدم. تسمح المصادقة عبر معرف Microsoft Entra للمستخدم بإدخال نفس اسم المستخدم وكلمة المرور، والتي تستخدم للوصول إلى موارد أخرى مثل مدخل Microsoft Azure أو Microsoft 365.

كما ذكر أعلاه، يمكن تكوين معرف Microsoft Entra للمزامنة مع Active Directory محلي. يسمح هذا الخيار للمستخدمين بالحصول على نفس أسماء المستخدمين وكلمات المرور للوصول إلى الموارد المحلية بالإضافة إلى موارد Azure. يضيف معرف Microsoft Entra مقاييس أمان إضافية من خلال السماح للمسؤول بتكوين المصادقة متعددة العوامل (MFA) بسهولة.

مع تمكين MFA على الحساب، بعد توفير اسم المستخدم وكلمة المرور الصحيحين، يلزم مستوى ثانٍ من المصادقة. بشكل افتراضي، يمكن تكوين MFA لاستخدام تطبيق Windows Authenticator، الذي سيقوم بإرسال إعلام منبثق إلى الهاتف. تتضمن الخيارات الإضافية لإجراء MFA الافتراضي إرسال رسالة نصية للمستلم تحتوي على رمز وصول، أو مطالبة المستخدم بإدخال رمز وصول تم إنشاؤه باستخدام تطبيق Microsoft Authenticator. إذا تم تمكين MFA لدى المستخدم، فإنه ينبغي عليه استخدام خيار المصادقة العالمية مع MFA في Azure Data Studio وSQL Server Management Studio.

Universal Authentication in SQL Server Management Studio

يدعم كل من قاعدة بيانات Azure SQL ل SQL Server وقاعدة بيانات Azure ل PostgreSQL تكوين الخادم الذي يستضيف قاعدة البيانات لاستخدام مصادقة Microsoft Entra.

Microsoft Entra Admin Configuration for Azure SQL server

يسمح تسجيل الدخول هذا المسؤول بالوصول إلى كافة قواعد البيانات في الخادم. من أفضل الممارسات جعل هذا الحساب مجموعة Microsoft Entra، لذلك لا يعتمد الوصول على تسجيل دخول واحد. في الصورة أعلاه، تمت تسمية تلك المجموعة بفريق DBA. يمنح حساب Microsoft Entra مسؤول أذونات خاصة ويسمح للحساب أو المجموعة التي تحتفظ بهذا الإذن بالحصول على مسؤول النظام مثل الوصول إلى الخادم وجميع قواعد البيانات داخل الخادم. يتم تعيين حساب المسؤول باستخدام Azure Resource Manager فقط وليس على مستوى قاعدة البيانات. لتغيير الحساب أو المجموعة، يجب استخدام مدخل Microsoft Azure أو PowerShell أو CLI.