Authentifizierung mit Microsoft Entra ID in sqlcmd

Gilt für:SQL ServerAzure SQL DatabaseAzure SQL Managed InstanceAzure Synapse AnalyticsAnalytics Platform System (PDW)SQL-Datenbank in Microsoft Fabric

sqlcmd unterstützt eine Vielzahl von Azure Active Directory (Azure AD)-Authentifizierungsmodellen, je nachdem, welche Version Sie installiert haben.

Note

Während Microsoft Entra-ID der neue Name für Azure Active Directory (Azure AD) ist, bleibt Azure AD in einigen fest kodierten Elementen wie Benutzeroberfläche-Feldern, Verbindungsanbietern, Fehlercodes und Cmdlets erhalten, um Störungen in bestehenden Umgebungen zu vermeiden. In diesem Artikel sind die beiden Namen austauschbar.

Informationen dazu, welche Variante und Version von sqlcmd auf Ihrem System installiert ist, finden Sie unter Überprüfen der installierten Version des sqlcmd-Hilfsprogramms. Informationen zum Abrufen von sqlcmd finden Sie unter Herunterladen und Installieren des sqlcmd-Hilfsprogramms.

sqlcmd (Go)

sqlcmd (Go) unterstützt mehr Azure AD-Authentifizierungsmodelle basierend auf dem Azidentity-Paket. Die Implementierung basiert auf einem Microsoft Entra-Connector im go-sqlcmd-Treiber.

Befehlszeilenargumente

Wenn Sie die Microsoft Entra-Authentifizierung verwenden möchten, können Sie eine von zwei Befehlszeileoptionen verwenden.

-G ist (hauptsächlich) mit der Verwendung in sqlcmd (ODBC) kompatibel. Wenn ein Benutzername und ein Kennwort angegeben werden, erfolgt die Authentifizierung über die Microsoft Entra-Kennwortauthentifizierung. Wenn ein Benutzername angegeben wird, verwendet er die interaktive Microsoft Entra-Authentifizierung, die einen Webbrowser anzeigen kann. Wenn kein Benutzername oder Passwort angegeben wird, wird eine DefaultAzureCredential verwendet, die versucht, sich durch verschiedene Mechanismen zu authentifizieren.

Mit --authentication-method= kann einer der folgenden Authentifizierungstypen angegeben werden.

ActiveDirectoryDefault

• Eine Übersicht über die Authentifizierungstypen, die dieser Modus verwendet, finden Sie unter Azure-Standardanmeldeinformationen.
• Wählen Sie diese Methode aus, wenn Ihre Datenbankautomatisierungsskripts sowohl in lokalen Entwicklungsumgebungen als auch in einer Produktionsbereitstellung in Azure ausgeführt werden sollen. In Ihrer Entwicklungsumgebung können Sie einen geheimen Clientschlüssel oder eine Azure CLI-Anmeldung verwenden. Ohne das Skript der Entwicklungsumgebung zu ändern, können Sie eine verwaltete Identität oder ein Client-Geheimnis in Ihrer Produktionsbereitstellung verwenden.
• Sie müssen die Umgebungsvariablen AZURE_TENANT_ID und AZURE_CLIENT_ID festlegen, damit DefaultAzureCredential mit der Überprüfung der Umgebungskonfiguration beginnt und nach einer der folgenden zusätzlichen Umgebungsvariablen für die Authentifizierung sucht:
  • Wenn Sie die Umgebungsvariable AZURE_CLIENT_SECRET festlegen, wird DefaultAzureCredential so konfiguriert, dass ClientSecretCredential ausgewählt wird.
  • Wenn Sie die Umgebungsvariable AZURE_CLIENT_CERTIFICATE_PATH festlegen, wird DefaultAzureCredential so konfiguriert, dass ClientCertificateCredential ausgewählt wird, wenn AZURE_CLIENT_SECRET nicht festgelegt ist.
• Wenn Sie die Umgebungsvariable „AZURE_USERNAME“ festlegen, wird DefaultAzureCredential so konfiguriert, dass UsernamePasswordCredential ausgewählt wird, wenn AZURE_CLIENT_SECRET und AZURE_CLIENT_CERTIFICATE_PATH nicht festgelegt sind.

ActiveDirectoryIntegrated

Diese Methode ist derzeit nicht implementiert, sodass ActiveDirectoryDefault verwendet wird.

ActiveDirectoryPassword

• Bei dieser Methode erfolgt die Authentifizierung mit einem Benutzernamen und einem Kennwort. Die Methode funktioniert nicht, wenn MFA erforderlich ist.

• Sie geben den Benutzernamen und das Kennwort mit den üblichen Befehlszeilenoptionen oder SQLCMD-Umgebungsvariablen an.

• Legen Sie die Umgebungsvariable AZURE_TENANT_ID auf die Mandanten-ID des Servers fest, wenn nicht der Standardmandant des Benutzers verwendet wird.

ActiveDirectoryInteractive

Bei dieser Methode wird Webbrowser zur Authentifizierung der Benutzer*innen gestartet.

ActiveDirectoryManagedIdentity

Verwenden Sie diese Methode, wenn Sie sqlcmd (Go) auf einer Azure-VM ausführen, die entweder über eine systemseitig oder benutzerseitig zugewiesene verwaltete Identität verfügt. Legen Sie den Benutzernamen bei Verwendung einer benutzerseitig zugewiesenen verwalteten Identität auf die Client-ID der verwalteten Identität fest. Lassen Sie den Benutzernamen bei Verwendung einer systemzugewiesenen Identität leer.

In diesem Beispiel wird gezeigt, wie Sie eine Verbindung über eine serviceseitig zugewiesene verwaltete Identität (Service Assigned Managed Identity, SAMI) herstellen:

sqlcmd -S testsrv.database.windows.net -d Target_DB_or_DW --authentication-method ActiveDirectoryManagedIdentity

In diesem Beispiel wird gezeigt, wie Sie eine Verbindung über eine benutzerseitig zugewiesene verwaltete Identität (User Assigned Managed Identity, UAMI) herstellen, indem Sie die Client-ID der benutzerseitig zugewiesenen verwalteten Identität hinzufügen:

sqlcmd -S testsrv.database.windows.net -d Target_DB_or_DW --authentication-method ActiveDirectoryManagedIdentity -U <user-assigned-managed-identity-client-id>

ActiveDirectoryServicePrincipal

Bei dieser Methode erfolgt die Authentifizierung mit dem angegebenen Benutzernamen als Dienstprinzipal-ID und dem Kennwort als geheimer Clientschlüssel für den Dienstprinzipal. Geben Sie einen Benutzernamen in der Form <application (client) ID>an. Legen Sie die SQLCMDPASSWORD-Variable auf den geheimen Clientschlüssel fest. Legen Sie die AZURE_CLIENT_CERTIFICATE_PATH-Umgebungsvariable auf den Pfad der Zertifikatdatei fest, wenn Sie ein Zertifikat anstelle eines geheimen Clientschlüssels verwenden.

sqlcmd -S testsrv.database.windows.net -d Target_DB_or_DW --authentication-method ActiveDirectoryServicePrincipal -U <Application (client) ID> -P <client secret>

Umgebungsvariablen für die Authentifizierung mit Microsoft Entra

Einige Einstellungen der Microsoft Entra-Authentifizierung haben keine Befehlszeileneingaben, und einige Umgebungsvariablen werden direkt von dem Paket genutzt, das von azidentity (Go) verwendet wird.

Diese Umgebungsvariablen können festgelegt werden, um einige Aspekte der Azure AD-Authentifizierung zu konfigurieren und Standardverhalten zu umgehen. Zusätzlich zu den zuvor aufgeführten Variablen sind die folgenden Variablen sqlcmd-spezifisch und gelten für mehrere Methoden.

SQLCMDCLIENTID

Legen Sie diese Umgebungsvariable auf den Bezeichner einer Anwendung fest, die in Microsoft Entra registriert und berechtigt ist, sich bei der Azure SQL-Datenbank zu authentifizieren. Gilt für ActiveDirectoryInteractive- und ActiveDirectoryPassword-Methoden.

sqlcmd (ODBC)

Die Option -G wird von sqlcmd (ODBC) beim Herstellen einer Verbindung mit Azure SQL-Datenbank oder Azure Synapse Analytics verwendet, um anzugeben, dass die Benutzer*innen mithilfe der Azure AD-Authentifizierung authentifiziert werden sollen. Durch diese Option wird die sqlcmd-Skriptvariable SQLCMDUSEAAD=true festgelegt.

• Für die -G-Option ist mindestens die sqlcmd-Version 13.1 erforderlich. Die interaktive Microsoft Entra-Authentifizierung erfordert sqlcmd (ODBC) Version 15.0.1000.34 und spätere Versionen sowie ODBC Version 17.2 und spätere Versionen.

• Die integrierte Microsoft Entra-Authentifizierung erfordert Microsoft ODBC-Treiber für SQL Server , Version 17.6.1 und höher, und eine ordnungsgemäß konfigurierte Kerberos-Umgebung.

• Die Option -G gilt nur für Azure SQL-Datenbank und Azure Synapse Analytics.

• Die interaktive Microsoft Entra-Authentifizierung wird unter Linux und macOS derzeit nicht unterstützt.

Um die Version zu bestimmen, führen Sie sqlcmd "-?"aus. Weitere Informationen finden Sie unter Microsoft Entra-Authentifizierung für Azure SQL. Die -A-Option wird mit der -G-Option nicht unterstützt.

Microsoft Entra-Authentifizierung mit Benutzername und Kennwort

Wenn Sie einen Microsoft Entra-Benutzernamen und das zugehörige Kennwort verwenden möchten, können Sie die Option -G mit dem Benutzernamen und Kennwort angeben, indem Sie die Optionen -U und -P verwenden.

sqlcmd -S testsrv.database.windows.net -d Target_DB_or_DW -U bob@contoso.com -P MyAzureADPassword -G

Der Parameter -G generiert die folgende Verbindungszeichenfolge im Back-End:

SERVER = Target_DB_or_DW.testsrv.database.windows.net;UID=bob@contoso.com;PWD=MyAzureADPassword;AUTHENTICATION=ActiveDirectoryPassword;

Integrierte Microsoft Entra-Authentifizierung

Wenn Sie die integrierte Azure AD-Authentifizierung verwenden möchten, geben Sie die Option -G ohne Benutzername und Kennwort an.

sqlcmd -S Target_DB_or_DW.testsrv.database.windows.net -G

Mit diesem Befehl wird folgende Verbindungszeichenfolge im Back-End generiert:

SERVER = Target_DB_or_DW.testsrv.database.windows.net;Authentication=ActiveDirectoryIntegrated;Trusted_Connection=NO;

Note

Die -E Option (Trusted_Connection) kann nicht zusammen mit der -G Option verwendet werden.

Interaktive Microsoft Entra-Authentifizierung

Die interaktive Authentifizierung von Microsoft Entra für Azure SQL Database und Azure Synapse Analytics ermöglicht Ihnen die Verwendung einer interaktiven Methode, die eine mehrstufige Authentifizierung unterstützt. Weitere Informationen finden Sie unter Interaktive Active Directory-Authentifizierung.

Geben Sie zum Aktivieren der interaktiven Authentifizierung die -G-Option nur mit dem Benutzernamen (-U) und ohne ein Kennwort an.

Im folgenden Beispiel werden Daten mithilfe des interaktiven Azure AD-Modus exportiert. Hierbei wird ein Benutzername angegeben, der ein Azure AD-Konto darstellt. Dies ist das gleiche Beispiel, das im vorherigen Abschnitt verwendet wurde: Azure Active Directory-Benutzername und -Kennwort.

Im interaktiven Modus muss ein Kennwort manuell eingegeben werden. Bei Konten mit aktivierter Multi-Faktor-Authentifizierung müssen Sie Ihre konfigurierte MFA-Authentifizierungsmethode vervollständigen.

sqlcmd -S testsrv.database.windows.net -d Target_DB_or_DW -G -U alice@aadtest.onmicrosoft.com

Der vorherige Befehl generiert die folgende Verbindungszeichenfolge im Back-End:

SERVER = Target_DB_or_DW.testsrv.database.windows.net;UID=alice@aadtest.onmicrosoft.com;AUTHENTICATION=ActiveDirectoryInteractive

Für den Fall, dass Azure AD-Benutzer*innen auch Benutzer*innen eines Domänenverbunds sind und ein Windows-Konto verwenden, enthält der in der Befehlszeile erforderliche Benutzername deren Domänenkonto (z. B. joe@contoso.com):

sqlcmd -S testsrv.database.windows.net -d Target_DB_or_DW -G -U joe@contoso.com

Der Alias von Gastbenutzer*innen wird verwendet (z. B. ), wenn Gastbenutzer*innen in einem bestimmten Microsoft Entra-Mandanten vorhanden sind und zu einer Gruppe gehören, die in der Azure SQL-Datenbank vorhanden ist und über Datenbankberechtigungen zum Ausführen des keith0@adventureworks.com-Befehls verfügt.

Important

Beim Verwenden der -G und -U Optionen mit sqlcmd (ODBC) ist ein bekanntes Problem aufgetreten, bei dem das Platzieren der -U Option vor der -G Option zu einem Fehler bei der Authentifizierung führen kann. Verwenden Sie die Option -G immer vor der Option -U.

Verwandte Inhalte

• sqlcmd-Hilfsprogramm
• Starten des Hilfsprogramms „sqlcmd“
• Verwenden von sqlcmd