Konfigurace spravované identity pro propojené servery

Platí pro: Platí pro: SQL Server 2025 (17.x)

SQL Server 2025 zavádí podporu spravované identity pro propojené servery, což umožňuje zabezpečené ověřování bez přihlašovacích údajů mezi instancemi SQL Serveru. Tato funkce je k dispozici pro SQL Server na virtuálních počítačích Azure i PRO SQL Server, které podporuje Azure Arc. Pomocí ověřování spravovaných identit můžete navázat propojená připojení k serveru, aniž byste museli spravovat hesla nebo ukládat přihlašovací údaje, zlepšit stav zabezpečení a zjednodušit správu přihlašovacích údajů.

V tomto článku se dozvíte, jak nastavit připojení k propojenému serveru pomocí ověřování spravované identity. Nakonfigurujete zdrojový server tak, aby inicioval připojení a cílový server tak, aby přijímal ověřování na základě spravované identity.

Požadavky

Než začnete, ujistěte se, že máte následující:

• SQL Server 2025 spuštěný buď na:
  • Virtuální počítač Azure s nainstalovaným rozšířením agenta SQL Server IaaS nebo
  • Místní nebo virtuální počítač s povolenou službou Azure Arc
• Ověřování Microsoft Entra nakonfigurované na zdrojovém i cílovém serveru
• Připojení k síti mezi zdrojovými a cílovými servery s odpovídajícími pravidly brány firewall
• Odpovídající oprávnění k vytváření přihlášení a konfiguraci propojených serverů v obou instancích
• Pro virtuální počítače Azure: Povolená rozšíření SqlIaasExtension i AADLogin
• Pro instance s podporou Služby Azure Arc: Nainstalovaný a nakonfigurovaný agent Azure Arc

Požadavky na virtuální počítač Azure

Při použití SQL Serveru na virtuálních počítačích Azure:

• Ověřte, že jsou nainstalovaná rozšíření SqlIaasExtension a AADLogin . Tato rozšíření jsou ve výchozím nastavení zahrnuta při nasazování ze šablony SQL Serveru Azure Marketplace.
• Nakonfigurujte ověřování Microsoft Entra podle pokynů v tématu Povolení ověřování Microsoft Entra pro SQL Server na virtuálních počítačích Azure.
• Ujistěte se, že oba virtuální počítače umožňují příchozí i odchozí síťový provoz pro komunikaci s SQL Serverem.
• Nakonfigurujte pravidla brány firewall na každém virtuálním počítači tak, aby povolovali provoz SQL Serveru.

Požadavky s podporou Služby Azure Arc

Při použití SQL Serveru povoleného službou Azure Arc:

1. Nainstalujte a nakonfigurujte Azure Arc v instancích SQL Serveru 2025 podle požadavků pro SQL Server, který povoluje Azure Arc.
2. Nastavte ověřování Microsoft Entra pomocí pokynů v části Nastavení ověřování Microsoft Entra s registrací aplikace.
3. Ověřte síťové připojení mezi zdrojovými a cílovými servery.

Vytvoření přihlášení na cílovém serveru

Cílový server musí mít přihlašovací jméno, které odpovídá názvu zdrojového serveru. Když se zdrojový server připojí pomocí spravované identity, ověří se pomocí spravované identity počítače. Cílový server ověří tuto identitu tak, že ji spáruje s přihlášením vytvořeným z externího zprostředkovatele.

1. Připojte se k cílové instanci SQL Serveru.

2. Vytvořte přihlášení pomocí názvu zdrojového serveru:

   USE [master];
   GO
   
   CREATE LOGIN [AzureSQLVMSource]
   FROM EXTERNAL PROVIDER
   WITH DEFAULT_DATABASE = [master],
        DEFAULT_LANGUAGE = [us_english];
   GO
   

3. Udělte přihlašovacímu uživateli příslušná oprávnění na úrovni serveru. Pokud chcete například přiřadit roli sysadmin,

   ALTER SERVER ROLE [sysadmin] ADD MEMBER [AzureSQLVMSource];
   GO
   

   Návod

   Použijte zásadu nejnižších oprávnění tím, že udělíte pouze oprávnění požadovaná pro váš konkrétní případ použití místo použití sysadmin.

Konfigurace propojeného serveru na zdrojovém serveru

Po vytvoření přihlášení na cílovém serveru nakonfigurujte připojení propojeného serveru na zdrojovém serveru. Tato konfigurace používá zprostředkovatele MSOLEDBSQL s ověřováním spravované identity.

1. Připojte se ke zdrojové instanci SQL Serveru.

2. Vytvoření propojeného serveru pomocí sp_addlinkedserver:

   USE [master];
   GO
   
   EXEC master.dbo.sp_addlinkedserver
       @server = N'AzureSQLVMDestination',
       @srvproduct = N'',
       @provider = N'MSOLEDBSQL',
       @datasrc = N'AzureSQLVMDestination',
       @provstr = N'Authentication=ActiveDirectoryMSI;';
   GO
   

   Parametr @provstr určuje ActiveDirectoryMSI ověřování, které dává propojenému serveru pokyn, aby používal spravovanou identitu.

3. Konfigurujte mapování přihlášení na propojený server:

   EXEC master.dbo.sp_addlinkedsrvlogin
       @rmtsrvname = N'AzureSQLVMDestination',
       @useself = N'False',
       @locallogin = NULL,
       @rmtuser = NULL,
       @rmtpassword = NULL;
   GO
   

   Tato konfigurace nastaví propojený server tak, aby používal spravovanou identitu bez nutnosti explicitních přihlašovacích údajů uživatele.

Otestování připojení k propojenému serveru

Po konfiguraci ověřte, že připojení k propojenému serveru funguje správně.

1. Otestujte připojení pomocí sp_testlinkedserver:

   EXECUTE master.dbo.sp_testlinkedserver AzureSQLVMDestination;
   GO
   

2. Pokud je test úspěšný, můžete se na vzdálený server dotazovat. Například:

   SELECT * FROM [AzureSQLVMDestination].[master].[sys].[databases];
   GO
   

Pokud test selže, ověřte:

• Ověřování Microsoft Entra je správně nakonfigurované na obou serverech.
• Přihlášení na cílovém serveru přesně odpovídá názvu zdrojového serveru.
• Mezi servery existuje síťové připojení.
• Pravidla brány firewall povolují provoz SQL Serveru
• Pro virtuální počítače Azure jsou povolená požadovaná rozšíření (SqlIaasExtension a AADLogin).

Související obsah

• Propojené servery (Databázový stroj)
• Vytvoření propojených serverů (SQL Server Database Engine)
• sp_addlinkedserver (Transact-SQL)
• Povolení ověřování Microsoft Entra pro SQL Server na virtuálních počítačích Azure
• Kurz: Nastavení ověřování Microsoft Entra pro SQL Server s povolenou službou Azure Arc
• Požadavky – SQL Server povolený službou Azure Arc