Použití vícefaktorového ověřování Microsoft Entra s využitím Synapse SQL (podpora SSMS pro MFA)

Tip

Microsoft Fabric Data Warehouse je relační sklad v podnikovém měřítku na základu datového jezera s architekturou připravenou pro budoucnost, integrovanou AI a novými funkcemi. Pokud s datovými sklady začínáte, začněte pracovat s Fabric Data Warehouse. Stávající úlohy fondu dedikované SQL můžou upgradovat na Fabric a získat tak přístup k novým funkcím napříč datovou vědou, analýzou v reálném čase a reportováním.

• Začněte bezplatnou zkušební verzi Fabric.
• Asistent pro migraci pro Fabric Data Warehouse.

Synapse SQL podporuje připojení z aplikace SQL Server Management Studio (SSMS) pomocí univerzálního ověřování služby služba Active Directory.

Tento článek popisuje rozdíly mezi různými možnostmi ověřování a také omezeními souvisejícími s používáním univerzálního ověřování.

Stáhněte si nejnovější SSMS – na klientském počítači stáhněte nejnovější verzi aplikace SSMS ze služby Download SQL Server Management Studio (SSMS).

Pro všechny funkce probírané v tomto článku použijte alespoň červenec 2017 verze 17.2. Dialogové okno posledního připojení by mělo vypadat podobně jako na následujícím obrázku:

Pět možností ověřování

Univerzální ověřování služby služba Active Directory podporuje dvě neinteraktivní metody ověřování: – služba Active Directory - Password ověřování – služba Active Directory - Integrated ověřování

Existují i dva neinteraktivní modely ověřování, které je možné použít v mnoha různých aplikacích (ADO.NET, JDBC, ODC atd.). Tyto dvě metody nikdy nezpůsobí automaticky otevírané dialogová okna:

• Active Directory - Password
• Active Directory - Integrated

Interaktivní metoda podporuje také vícefaktorové ověřování Microsoft Entra (MFA):

• Active Directory - Universal with MFA

Vícefaktorové ověřování Microsoft Entra pomáhá chránit přístup k datům a aplikacím a současně splňuje požadavky uživatelů na jednoduchý proces přihlašování. Poskytuje silné ověřování s celou řadou možností snadného ověření (telefonní hovor, textová zpráva, čipové karty s pin kódem nebo oznámením mobilní aplikace), což uživatelům umožňuje zvolit způsob, který preferují. Použití interaktivního vícefaktorového ověřování s Microsoft Entra může vést k zobrazení automaticky otevíraného okna pro ověření.

Popis vícefaktorového ověřování najdete v tématu vícefaktorové ověřování.

Parametr názvu domény Microsoft Entra nebo ID tenanta

Od aplikace SSMS verze 17 můžou uživatelé importovaní do aktuální služby služba Active Directory z jiných adresářů Azure služba Active Directory jako uživatelé typu host zadat název domény Microsoft Entra nebo ID tenanta, když se připojí.

Uživatelé typu host zahrnují uživatele pozvané z jiných adresářů Azure AD, jako jsou účty Microsoft, například outlook.com, hotmail.com, live.com, nebo jiné účty, jako gmail.com. Tyto informace umožňují službě služba Active Directory Universal s vícefaktorovým ověřováním identifikovat správnou ověřovací autoritu. Tato možnost se také vyžaduje pro podporu účtů Microsoft (MSA), jako jsou outlook.com, hotmail.com, live.com nebo účty jiných účtů než MSA.

Všichni tito uživatelé, kteří chtějí být ověřeni pomocí univerzálního ověřování, musí zadat název domény Microsoft Entra nebo ID tenanta. Tento parametr představuje aktuální ID domény nebo tenanta Microsoft Entra, se kterým je Azure Server propojený.

Pokud je například Azure Server přidružený k doméně contosotest.onmicrosoft.com Microsoft Entra, kde je uživatel joe@contosodev.onmicrosoft.com hostovaný jako importovaný uživatel z domény contosodev.onmicrosoft.comMicrosoft Entra , název domény vyžadovaný k ověření tohoto uživatele je contosotest.onmicrosoft.com.

Pokud je uživatel nativním uživatelem ID Microsoft Entra propojeného s Azure Serverem a nejedná se o účet MSA, nevyžaduje se název domény ani ID tenanta.

Pokud chcete zadat parametr (počínaje SSMS verze 17.2), v dialogovém okně Připojit k databázi vyplňte dialogové okno, vyberte služba Active Directory – Univerzální s ověřováním MFA , vyberte Možnosti, vyplňte pole Uživatelské jméno a pak vyberte kartu Vlastnosti připojení.

Zkontrolujte název domény AD nebo ID tenanta a zadejte ověřovací autoritu, například název domény (contosotest.onmicrosoft.com) nebo identifikátor GUID ID tenanta.

Pokud používáte SSMS 18.x nebo novější, název domény AD nebo ID tenanta už není pro uživatele typu host potřeba, protože 18.x nebo novější ho automaticky rozpozná.

Microsoft Entra obchodní podpora

Uživatelé Microsoft Entra, kteří jsou podporováni pro scénáře Azure B2B spolupráce jako uživatelé typu host (viz Co je Azure B2B spolupráce), se mohou připojit k Synapse SQL pouze jako členy skupiny vytvořené v aktuálním Microsoft Entra ID a které jsou manuálně namapované pomocí příkazu Transact-SQL CREATE USER v dané databázi.

Pokud je steve@gmail.com například pozván do Azure AD contosotest (s doménou Microsoft Entra contosotest.onmicrosoft.com), je třeba vytvořit skupinu Microsoft Entra, jako je například usergroup, v Microsoft Entra ID, který obsahuje člena steve@gmail.com. Pak musí být tato skupina vytvořena pro konkrétní databázi (tj. MyDatabase) správcem Microsoft Entra SQL nebo Microsoft Entra DBO spuštěním příkazu Transact-SQL CREATE USER [usergroup] FROM EXTERNAL PROVIDER .

Po vytvoření uživatele databáze se uživatel steve@gmail.com může přihlásit k MyDatabase pomocí služba Active Directory – Universal with MFA support ověřování SSMS.

Skupina uživatelů má ve výchozím nastavení pouze oprávnění pro připojení a veškerý další přístup k datům, který bude potřeba udělit běžným způsobem.

Jako uživatel steve@gmail.com typu host musí toto políčko zaškrtnout a přidat název contosotest.onmicrosoft.com domény AD v dialogovém okně Vlastnosti připojení SSMS. Možnost název domény AD nebo ID tenanta se podporuje pouze pro možnosti univerzálního připojení s MFA, jinak je neaktivní.

Omezení univerzálního ověřování pro Synapse SQL

• SSMS a SqlPackage.exe jsou jedinými nástroji aktuálně povolenými vícefaktorovým ověřováním prostřednictvím univerzálního ověřování služba Active Directory.
• SSMS verze 17.2 podporuje souběžný přístup s více uživateli pomocí univerzálního ověřování s MFA. Verze 17.0 a 17.1 omezila přihlášení pro instanci SSMS pomocí univerzálního ověřování na jeden účet Microsoft Entra. Pokud se chcete přihlásit jako jiný účet Microsoft Entra, musíte použít jinou instanci aplikace SSMS. (Toto omezení je omezené na univerzální ověřování služby služba Active Directory. Můžete se přihlásit k různým serverům pomocí ověřování hesel služby služba Active Directory, integrovaného ověřování služby služba Active Directory nebo ověřování SYSTÉMU SQL Server).
• SSMS podporuje univerzální ověřování služby služba Active Directory pro Průzkumník objektů, Editor dotazů a vizualizaci úložiště dotazů.
• SSMS verze 17.2 poskytuje podporu Průvodce DacFx pro databázi exportu, extrakce a nasazení dat. Jakmile se konkrétní uživatel ověří pomocí dialogového okna počátečního ověřování pomocí univerzálního ověřování, průvodce DacFx funguje stejně jako u všech ostatních metod ověřování.
• Návrhář tabulky SSMS nepodporuje univerzální ověřování.
• Pro univerzální ověřování služby služba Active Directory neexistují žádné další požadavky na software s tím rozdílem, že je nutné použít podporovanou verzi aplikace SSMS.
• Verze ADAL (služba Active Directory Authentication Library) pro univerzální ověřování byla aktualizována na nejnovější verzi ADAL.dll 3.13.9, která je k dispozici. Viz služba Active Directory Authentication Library 3.14.1.

Další kroky

Další informace najdete v článku Připojení k Synapse SQL pomocí aplikace SQL Server Management Studio .