Nativní objekty zabezpečení Windows

Platí pro: Azure SQL Managed Instance

Režim metadat ověřování systému Windows je nový režim, který umožňuje uživatelům používat ověřování systému Windows nebo ověřování Microsoft Entra (pomocí metadat objektů zabezpečení Windows) se službou Azure SQL Managed Instance. Tento režim je k dispozici pouze pro spravovanou instanci SQL. Režim metadat ověřování systému Windows není pro Azure SQL Database dostupný.

Pokud je vaše prostředí synchronizováno mezi službou Active Directory (AD) a Microsoft Entra ID, uživatelské účty Systému Windows v AD se synchronizují s uživatelskými účty Microsoft Entra v Microsoft Entra ID.

Ověřování pro službu SQL Managed Instance a SQL Server je založené na metadatech, která jsou svázaná s přihlášeními. Pro přihlášení k ověřování systému Windows se metadata vytvoří při vytvoření přihlášení z CREATE LOGIN FROM WINDOWS příkazu. Pro přihlášení Microsoft Entra se metadata vytvoří při vytvoření přihlášení z CREATE LOGIN FROM EXTERNAL PROVIDER příkazu. Pro přihlášení k ověřování SQL se metadata vytvoří při CREATE LOGIN WITH PASSWORD spuštění příkazu. Proces ověřování je úzce propojený s metadaty uloženými ve službě SQL Managed Instance nebo SQL Server.

Poznámka:

Použití nativních objektů zabezpečení Systému Windows s režimem metadat ověřování systému Windows ve službě SQL Managed Instance je aktuálně ve verzi Preview.

Režimy metadat ověřování

Pro službu SQL Managed Instance jsou k dispozici následující režimy metadat ověřování a různé režimy určují, která metadata ověřování se používají k ověřování, a způsob vytvoření přihlášení:

• Microsoft Entra (výchozí): Tento režim umožňuje ověřování uživatelů Microsoft Entra pomocí metadat uživatelů Microsoft Entra. Pokud chcete použít ověřování systému Windows v tomto režimu, přečtěte si téma Ověřování systému Windows pro objekty zabezpečení Microsoft Entra ve službě Azure SQL Managed Instance.
• Spárované (výchozí nastavení SQL Serveru): Výchozí režim pro ověřování SQL Serveru.
• Windows (nový režim): Tento režim umožňuje ověřovat uživatele Microsoft Entra pomocí metadat uživatelů systému Windows ve službě SQL Managed Instance.

Syntaxi CREATE LOGIN FROM WINDOWS a CREATE USER FROM WINDOWS lze ji použít k vytvoření přihlášení nebo uživatele ve službě SQL Managed Instance, v uvedeném pořadí pro objekt zabezpečení systému Windows v režimu metadat ověřování systému Windows . Instanční objekt Windows může být uživatel Windows nebo skupina Windows.

Aby bylo možné používat režim metadat ověřování systému Windows , musí uživatelské prostředí synchronizovat službu Active Directory (AD) s Microsoft Entra ID.

Konfigurace režimů metadat ověřování

1. Přejděte na web Azure Portal a přejděte k prostředku služby SQL Managed Instance.
2. Přejděte na Nastavení > Microsoft Entra ID.
3. V rozevíracím seznamu vyberte upřednostňovaný režim metadat ověřování.
4. Vyberte Uložit konfiguraci metadat ověřování.

Řešení problémů s migrací pomocí režimu metadat ověřování Systému Windows

Režim metadat ověřování systému Windows pomáhá modernizovat ověřování aplikací a odblokuje problémy s migrací do služby SQL Managed Instance. Tady je několik běžných scénářů, kdy je možné použít režim metadat ověřování systému Windows k řešení problémů zákazníků:

• Složitost nastavení ověřování systému Windows pro spravovanou instanci Azure SQL pomocí Microsoft Entra ID a Kerberosu
• Převzetí služeb při selhání repliky jen pro čtení v odkazu na spravovanou instanci
• Synchronizace ověřování Microsoft Entra pro SQL Server

Ověřování systému Windows pro objekty zabezpečení Microsoft Entra

Pokud je prostředí synchronizováno mezi AD a Microsoft Entra ID, lze režim metadat ověřování systému Windows použít k ověřování uživatelů ve službě SQL Managed Instance pomocí přihlášení systému Windows nebo přihlášení Microsoft Entra, pokud je toto přihlášení vytvořené z objektu zabezpečení systému Windows (CREATE LOGIN FROM WINDOWS).

Tato funkce je zvlášť užitečná pro zákazníky, kteří mají aplikace, které používají ověřování systému Windows a migrují do služby SQL Managed Instance. Režim metadat ověřování systému Windows umožňuje zákazníkům pokračovat v používání ověřování systému Windows pro své aplikace, aniž by museli provádět změny kódu aplikace. Například aplikace jako BizTalk server, který spouští CREATE LOGIN FROM WINDOWS a CREATE USER FROM WINDOWS příkazy, můžou při migraci na spravovanou instanci SQL dál fungovat bez jakýchkoli změn. Jiní uživatelé můžou k ověření ve službě SQL Managed Instance použít přihlášení Microsoft Entra, které je synchronizované s AD.

Managed Instance Link

I když propojení spravované instance umožňuje replikaci dat téměř v reálném čase mezi SQL Serverem a službou SQL Managed Instance, replika jen pro čtení v cloudu brání vytváření objektů zabezpečení Microsoft Entra. Režim metadat ověřování systému Windows umožňuje zákazníkům použít existující přihlášení k Windows k ověření repliky, pokud dojde k převzetí služeb při selhání.

Ověřování Microsoft Entra pro SQL Server 2022 a novější

SQL Server 2022 zavádí podporu ověřování Microsoft Entra. Mnoho uživatelů chce omezit režimy ověřování tak, aby využívaly pouze moderní ověřování, a migrovat všechny objekty zabezpečení Systému Windows na Microsoft Entra ID. Existují však scénáře, ve kterých se stále vyžaduje ověřování systému Windows, například kód aplikace svázaný s objekty zabezpečení systému Windows. Režim metadat ověřování systému Windows umožňuje zákazníkům pokračovat v používání objektů zabezpečení systému Windows pro autorizaci v rámci SQL Serveru při použití objektů zabezpečení Microsoft Entra, které jsou synchronizovány pro ověřování.

SQL Server nerozumí synchronizaci mezi službou Active Directory a ID Microsoft Entra. I když se uživatelé a skupiny synchronizují mezi AD a ID Microsoft Entra, museli jste stále vytvořit přihlášení pomocí syntaxe CREATE LOGIN FROM EXTERNAL PROVIDER a přidat oprávnění k přihlášení. Režim metadat ověřování systému Windows snižuje potřebu ruční migrace přihlášení do Microsoft Entra ID.

Porovnání režimu metadat ověřování

Tady je vývojový diagram, který vysvětluje, jak funguje režim metadat ověřování se službou SQL Managed Instance:

Dříve zákazníci, kteří synchronizují uživatele mezi AD a ID Microsoft Entra, nemohli ověřit pomocí přihlášení vytvořeného z objektu zabezpečení Systému Windows, ať už použili ověřování systému Windows nebo ověřování Microsoft Entra synchronizované z AD. V režimu metadat ověřování systému Windows se teď můžou zákazníci ověřovat pomocí přihlášení vytvořeného z objektu zabezpečení systému Windows pomocí ověřování systému Windows nebo synchronizovaného objektu zabezpečení Microsoft Entra.

U synchronizovaných uživatelů ověřování proběhne úspěšně nebo selže na základě následujících konfigurací a typu přihlášení:

Režim metadat ověřování	Z WINDOWS	OD EXTERNÍHO POSKYTOVATELE
Režim Windows
Ověřování Microsoft Entra	Následuje	Selhává
Ověřování systému Windows	Následuje	Selhává
Režim ID Microsoft Entra
Ověřování Microsoft Entra	Selhává	Následuje
Ověřování systému Windows	Selhává	Následuje
Spárovaný režim
Ověřování Microsoft Entra	Selhává	Následuje
Ověřování systému Windows	Následuje	Selhává

Související obsah

Další informace o implementaci ověřování systému Windows pro objekty zabezpečení Microsoft Entra ve službě SQL Managed Instance:

• Co je Integrované ověřování Windows pro objekty zabezpečení Microsoft Entra ve službě Azure SQL Managed Instance?
• Způsob implementace ověřování systému Windows pro spravovanou instanci Azure SQL s využitím Microsoft Entra ID a Kerberosu
• Jak nastavit ověřování systému Windows pro Microsoft Entra ID pomocí moderního interaktivního toku.
• Jak nastavit ověřování systému Windows pro ID Microsoft Entra s příchozím tokem založeným na důvěryhodnosti.
• Nakonfigurujte službu Azure SQL Managed Instance pro ověřování systému Windows pro ID Microsoft Entra.