Teilen über


Microsoft Entra-Authentifizierung für SQL Server

Gilt für: SQL Server 2022 (16.x)

SQL Server 2022 (16.x) führt die Unterstützung der Authentifizierung mit Microsoft Entra ID (vormals Azure Active Directory) lokal unter Windows und Linux wie auch für SQL Server auf Azure Windows-VMs ein.

Verwenden Sie Microsoft Entra-ID mit eigenständigen SQL Server-Instanzen oder AlwaysOn-Verfügbarkeitsgruppen. SQL Server-Failoverclusterinstanzen unterstützen derzeit keine Microsoft Entra-Authentifizierung.

Übersicht

Sie können jetzt mithilfe der folgenden Microsoft Entra-Authentifizierungsmethoden eine Verbindung mit SQL Server herstellen:

  • Standardauthentifizierung
  • Benutzername und Kennwort
  • Integriert
  • Universal mit Multi-Faktor-Authentifizierung
  • Dienstprinzipal
  • Verwaltete Identität
  • Zugriffstoken

Die bestehenden Authentifizierungsmodi SQL Authentifizierung und Windows-Authentifizierung bleiben unverändert.

Microsoft Entra ID ist der cloudbasierte Identity & Access Management-Dienst von Azure. Microsoft Entra ID ist vom Konzept her mit Active Directory vergleichbar und verfügt über ein zentrales Repository für die Verwaltung des Zugriffs auf die Ressourcen Ihrer Organisation. Identitäten sind Objekte in Microsoft Entra ID, die Benutzer, Gruppen oder Anwendungen darstellen. Es können ihnen Berechtigungen über die rollenbasierte Zugriffssteuerung zugewiesen werden, und sie können für die Authentifizierung für Azure-Ressourcen verwendet werden. Die Microsoft Entra Authentifizierung wird unterstützt für:

  • Azure SQL-Datenbank
  • Azure SQL Managed Instance
  • SQL Server auf Windows Azure-VMs
  • Azure Synapse Analytics
  • SQL Server

Weitere Informationen finden Sie unter Verwenden der Microsoft Entra-Authentifizierung mit Azure SQL und Konfigurieren und Verwalten der Microsoft Entra-Authentifizierung mit Azure SQL.

Wenn Ihr Windows Server Active Directory in einem Partnerverbund mit Microsoft Entra ID ist, können sich Benutzer entweder per Windows-Anmeldung oder per Microsoft Entra-Anmeldung mit ihren Windows-Anmeldedaten bei SQL Server authentifizieren. Microsoft Entra ID unterstützt nicht alle von Windows Server Active Directory unterstützten AD-Features wie Dienstkonten oder komplexe Netzwerk-Gesamtstrukturarchitektur. Es gibt aber andere Funktionen von Microsoft Entra ID, wie z. B. die Multi-Faktor-Authentifizierung, die in Active Directory nicht zur Verfügung steht. Unter Vergleich von Microsoft Entra ID und Active Directory erfahren Sie mehr darüber.

Herstellen einer Verbindung von SQL Server mit Azure über Microsoft Entra ID

Damit SQL Server mit Azure kommunizieren kann, müssen sowohl SQL Server als auch der Windows- oder Linux-Host, auf dem die Instanz ausgeführt wird, bei Azure Arc registriert werden. Zum Aktivieren der SQL Server-Kommunikation mit Azure müssen Sie den Azure Arc-Agent und die Azure-Erweiterung für SQL Server installieren.

Informationen zu den ersten Schritten finden Sie unter Herstellen einer Verbindung zwischen SQL Server und Azure Arc.

Hinweis

Wenn Sie SQL Server auf einer Azure-VM ausführen, müssen Sie den virtuellen Computer nicht bei Azure Arc, sondern bei der SQL IaaS-Agent-Erweiterung registrieren. Weitere Informationen zur Vorgehensweise nach dem Registrieren des virtuellen Computers finden Sie unter Aktivieren der Azure AD-Authentifizierung für SQL Server auf Azure-VMs.

Standardauthentifizierung

Die Standardauthentifizierungsoption bei Microsoft Entra ID, die die Authentifizierung über kennwortlose und nicht interaktiven Mechanismen ermöglicht, wie verwaltete Identitäten, Visual Studio, Visual Studio Code, Azure CLI und vieles mehr.

Benutzername und Kennwort

Ermöglicht das Angeben des Benutzernamens und des Kennworts für den Client und den Treiber. Die Methode mit Benutzername und Kennwort ist bei vielen Mandanten aus Sicherheitsgründen zumeist deaktiviert. Auch wenn die Verbindungen verschlüsselt sind, empfiehlt es sich, die Verwendung von Benutzername und Kennwort nach Möglichkeit zu vermeiden, weil Kennwörter dafür über das Netzwerk gesendet werden müssen.

Integriert

Mit der integrierten Windows-Authentifizierung (IWA) bietet Microsoft Entra ID eine Lösung für Organisationen, die sowohl lokale als auch cloudbasierte Infrastrukturen haben. Lokale Active Directory-Domänen können über den Partnerverbund mit Microsoft Entra ID synchronisiert werden, sodass die Verwaltung und Zugriffssteuerung innerhalb von Microsoft Entra ID erfolgen kann, während die Benutzerauthentifizierung lokal bleibt. Mit der IWA werden die Windows-Anmeldedaten des Benutzers bei Active Directory authentifiziert, und bei erfolgreicher Authentifizierung wird das Authentifizierungstoken des Benutzers von Microsoft Entra ID an SQL zurückgegeben.

Universal mit Multi-Faktor-Authentifizierung

Dies ist die interaktive Standardmethode mit Multi-Faktor-Authentifizierungsoption für Microsoft Entra-Konten. Sie kann in den meisten Szenarien angewendet werden.

Dienstprinzipal

Ein Dienstprinzipal ist eine -Identität, die für die Verwendung mit automatisierten Tools, Aufträgen und Anwendungen erstellt werden kann. Mit der Methode der Dienstprinzipalauthentifizierung können Sie mithilfe der Client-ID und des geheimen Schlüssels einer Dienstprinzipalidentität eine Verbindung mit Ihrer SQL Server-Instanz herstellen.

Verwaltete Identität

Verwaltete Identitäten sind eine spezielle Art von Dienstprinzipalen. Es gibt zwei Arten von verwalteten Identitäten: systemseitig zugewiesene und benutzerseitig zugewiesene Identitäten. Vom System zugewiesene verwaltete Identitäten werden direkt in einer Azure-Ressource aktiviert, während vom Benutzer zugewiesene verwaltete Identitäten eine eigenständige Ressource sind, die mindestens einer Azure-Ressource zugewiesen werden kann.

Hinweis

Um eine verwaltete Identität zum Herstellen einer Verbindung mit einer SQL-Ressource über GUI-Clients wie SSMS und ADS zu verwenden, muss der Computer, auf dem die Clientanwendung ausgeführt wird, über einen Microsoft Entra-Client verfügen, der mit dem darin gespeicherten Identitätszertifikat ausgeführt wird. Dies wird am häufigsten über einen virtuellen Azure-Computer erreicht, da die Identität über das Portalfenster des virtuellen Computers einfach dem Computer zugewiesen werden kann.

Für Tools, die Azure-Identitätsbibliotheken verwenden, wie SQL Server Management Studio (SSMS), müssen Sie beim Herstellen einer Verbindung mit einer verwalteten Identität die GUID für die Anmeldung verwenden, wie z. B. abcd1234-abcd-1234-abcd-abcd1234abcd1234. Weitere Informationen finden Sie unter ManagedIdentityCredential. Wenn Sie den Benutzernamen falsch übergeben, tritt ein Fehler auf, wie z. B.:

ManagedIdentityCredential authentication unavailable. The requested identity has not been assigned to this resource.
Status: 400 (Bad Request)
Content:
{"error":"invalid_request","error_description":"Identity not found"}

Zugriffstoken

Einige Clients ohne GUI wie Invoke-sqlcmd ermöglichen das Bereitstellen eines Zugriffstokens. Der Umfang oder die Zielgruppe des Zugriffstokens muss https://database.windows.net/ sein.

Hinweise

  • Für die Microsoft Entra-Authentifizierung wird nur SQL Server 2022 (16.x) lokal mit einem unterstützten Windows- oder Linux-Betriebssystem oder SQL Server 2022 auf Windows Azure-VMs unterstützt.
  • Um SQL Server mit Azure Arc zu verbinden, benötigt das Microsoft Entra-Konto die folgenden Berechtigungen:
    • Mitglied der Gruppe Onboarding von Azure Connected Machine oder die Rolle Mitwirkender in der Ressourcengruppe
    • Rolle Ressourcenadministrator von Azure Connected Machine in der Ressourcengruppe
    • Rolle Leser in der Ressourcengruppe
  • Die Microsoft Entra-Authentifizierung wird für SQL Server-Failoverclusterinstanzen nicht unterstützt.