Eventos
31 mar, 23 - 2 abr, 23
Evento de aprendizaje de SQL, Fabric y Power BI más grande. 31 de marzo – 2 de abril. Use el código FABINSIDER para ahorrar $400.
Regístrate hoyEste explorador ya no se admite.
Actualice a Microsoft Edge para aprovechar las características y actualizaciones de seguridad más recientes, y disponer de soporte técnico.
Se aplica a: SQL Server 2022 (16.x)
SQL Server 2022 (16.x) presenta compatibilidad con la autenticación de Microsoft Entra ID (anteriormente, Azure Active Directory), tanto en Windows como en Linux en el entorno local y SQL Server en máquinas virtuales de Windows Azure.
Use Microsoft Entra ID con instancias independientes de SQL Server o grupos de disponibilidad AlwaysOn. Actualmente, las instancias de clúster de conmutación por error de SQL Server no admiten la autenticación de Microsoft Entra.
Ahora puedes conectarte a SQL Server mediante la autenticación de Microsoft Entra:
Los modos de autenticación actuales, como la autenticación SQL y la autenticación de Windows, permanecen inalterados.
Microsoft Entra ID es un servicio de Azure de administración de acceso e identidad basado en la nube. Microsoft Entra ID es conceptualmente similar a Active Directory, ya que proporciona un repositorio centralizado para administrar el acceso a los recursos de la organización. Las identidades son objetos en el identificador de Microsoft Entra que representan usuarios, grupos o aplicaciones. Se pueden asignar permisos a través del control de acceso basado en roles y utilizarse para la autenticación en los recursos de Azure. Se admite la autenticación Microsoft Entra para lo siguiente:
Para obtener más información, consulta Uso de la autenticación de Microsoft Entra con Azure SQL y Configuración y administración de la autenticación de Microsoft Entra con Azure SQL.
Si tu instancia de Windows Server Active Directory está federada con Microsoft Entra ID, los usuarios podrán autenticarse con SQL Server con sus credenciales de Windows, ya sea como inicios de sesión de Windows o inicios de sesión de Microsoft Entra. Sin embargo, Microsoft Entra ID no admite todas las características de AD compatibles con Windows Service Active Directory, como las cuentas de servicio o la compleja arquitectura de bosques de red. Hay otras funcionalidades de Microsoft Entra ID, como la autenticación multifactor, que no están disponibles con Active Directory. Comparar Microsoft Entra ID con Active Directory para obtener más información.
Para que SQL Server se comunique con Azure, tanto SQL Server como el host de Windows o Linux en el que se ejecuta deben registrarse con Azure Arc. Para habilitar la comunicación de SQL Server con Azure, deberás instalar el agente de Azure Arc y la extensión de Azure para SQL Server.
Para obtener una introducción, vea Conexión de la instancia de SQL Server a Azure Arc.
Nota
Si ejecutas SQL Server en una máquina virtual de Azure, no es necesario registrar la máquina virtual con Azure Arc; en su lugar, debes registrar la máquina virtual con la extensión Agente de IaaS de SQL. Una vez registrada la máquina virtual, consulta Habilitar la autenticación de Azure AD para SQL Server en máquinas virtuales para obtener más información.
La opción de autenticación predeterminada con Microsoft Entra ID que habilita la autenticación a través de mecanismos sin contraseña y no interactivos, como identidades administradas, Visual Studio, Visual Studio Code, la CLI de Azure, etc.
Permite especificar el nombre de usuario y la contraseña en el cliente y el controlador. El nombre de usuario y el método de contraseña se suelen deshabilitar en muchos inquilinos por motivos de seguridad. Aunque las conexiones están cifradas, se recomienda evitar el uso de nombres de usuario y contraseñas siempre que sea posible, ya que esto requiere el envío de contraseñas a través de la red.
Con Autenticación integrada de Windows (IWA), Microsoft Entra ID proporciona una solución a las organizaciones con infraestructuras locales y en la nube. Los dominios en el entorno local de Active Directory se pueden sincronizar con Microsoft Entra ID mediante federación, lo que permite controlar la administración y el control de acceso dentro de Microsoft Entra ID, mientras que la autenticación de usuario permanece en el entorno local. Con IWA, las credenciales de Windows del usuario se autentican en Active Directory y, tras una autenticación correcta, el token de autenticación del usuario de Microsoft Entra ID se devuelve a SQL.
Este es el método interactivo estándar con la opción de autenticación multifactor para las cuentas de Microsoft Entra. Funciona en la mayoría de los escenarios.
Una entidad de servicio es una identidad que se puede crear para su uso con herramientas, trabajos y aplicaciones automatizados. Con el método de autenticación de la entidad de servicio, puedes conectarte a la instancia de SQL mediante el identificador de cliente y el secreto de una identidad de entidad de servicio.
Las identidades administradas son tipos especiales de entidades de servicio. Hay dos tipos de identidades administradas: asignadas por el sistema y asignadas por el usuario. Las identidades administradas asignadas por el sistema se habilitan directamente en un recurso de Azure, mientras que las identidades administradas asignadas por el usuario son un recurso independiente que se puede asignar a uno o varios recursos de Azure.
Nota
Para usar una identidad administrada para conectarse a un recurso de SQL a través de clientes de GUI como SSMS y ADS, la máquina que ejecuta la aplicación cliente debe tener una aplicación cliente de Microsoft Entra que se ejecute con el certificado de la identidad almacenado en él. Esto se logra normalmente a través de una máquina virtual de Azure, ya que la identidad se puede asignar fácilmente a la máquina a través del panel del portal de la máquina virtual.
Para herramientas que usan bibliotecas de identidades de Azure, como SQL Server Management Studio (SSMS), al conectarse con una identidad administrada, debes usar el GUID para el inicio de sesión, como abcd1234-abcd-1234-abcd-abcd1234abcd1234
. Para obtener más información, consulta ManagedIdentityCredential. Si pasas incorrectamente el nombre de usuario, se produce un error como el siguiente:
ManagedIdentityCredential authentication unavailable. The requested identity has not been assigned to this resource.
Status: 400 (Bad Request)
Content:
{"error":"invalid_request","error_description":"Identity not found"}
Algunos clientes que no son de GUI, como Invoke-sqlcmd, permiten proporcionar un token de acceso. El ámbito o la audiencia del token de acceso debe ser https://database.windows.net/
.
Eventos
31 mar, 23 - 2 abr, 23
Evento de aprendizaje de SQL, Fabric y Power BI más grande. 31 de marzo – 2 de abril. Use el código FABINSIDER para ahorrar $400.
Regístrate hoyCursos
Módulo
Configuración de la autenticación y la autorización - Training
Configuración de la autenticación y la autorización
Certificación
Microsoft Certified: Identity and Access Administrator Associate - Certifications
Muestre las características de Microsoft Entra ID para modernizar las soluciones de identidad, implementar soluciones híbridas e implementar la gobernanza de identidades.
Documentación
Configuración de la autenticación de Microsoft Entra para SQL Server - SQL Server
Tutorial sobre cómo configurar la autenticación de Microsoft Entra para SQL Server
Habilitar la autenticación de Microsoft Entra - SQL Server on Azure VMs
En este artículo, se explica cómo configurar la autenticación de Microsoft Entra para SQL Server en la máquina virtual de Azure.
Tutorial sobre cómo configurar la autenticación de Microsoft Entra que crea automáticamente un certificado y aplicación de Microsoft Entra que sirven para la autenticación con SQL Server