Autenticación con Microsoft Entra ID en sqlcmd

Se aplica a:SQL ServerAzure SQL DatabaseAzure SQL Managed InstanceAzure Synapse AnalyticsAnalytics Platform System (PDW)

sqlcmd admite una variedad de modelos de autenticación de Microsoft Entra, en función de la versión que haya instalado.

Nota:

Aunque Microsoft Entra ID es el nuevo nombre de Azure Active Directory (Azure AD), para evitar interrumpir los entornos existentes, Azure AD sigue estando en algunos elementos codificados de forma rígida como campos de interfaz de usuario, proveedores de conexiones, códigos de error y cmdlets. En este artículo, los dos nombres son intercambiables.

Para obtener más información sobre la diferencia entre las versiones de sqlcmd , vea utilidad sqlcmd.

sqlcmd (Go)

sqlcmd (Go) admite más modelos de autenticación de Microsoft Entra, en función del paquete azidentity. La implementación se basa en un conector de Microsoft Entra del controlador go-sqlcmd.

Argumentos de línea de comandos

Para usar la autenticación con Microsoft Entra, puede usar uno de los dos modificadores de línea de comandos.

-G es (principalmente) compatible con su uso en sqlcmd (ODBC). Si se proporciona un nombre de usuario y una contraseña, se autenticará mediante la autenticación de contraseña de Microsoft Entra. Si se proporciona un nombre de usuario, usa la autenticación interactiva de Microsoft Entra, que puede mostrar un navegador web. Si no se proporciona ningún nombre de usuario o contraseña, usa un valor DefaultAzureCredential, que intenta autenticarse a través de varios mecanismos.

--authentication-method= se puede usar para especificar uno de los siguientes tipos de autenticación.

ActiveDirectoryDefault

• Para obtener información general sobre los tipos de autenticación que usará este modo, consulte Credencial de Azure predeterminada.
• Elija este método si los scripts de automatización de bases de datos están diseñados para ejecutarse en entornos de desarrollo locales y en una implementación de producción en Azure. En el entorno de desarrollo, puede usar un secreto de cliente o un inicio de sesión de la CLI de Azure. Sin cambiar el script del entorno de desarrollo, podrá usar una identidad administrada o un secreto de cliente en la implementación de producción.
• La configuración de las variables de entorno AZURE_TENANT_ID y AZURE_CLIENT_ID es necesaria para que DefaultAzureCredential empiece a comprobar la configuración del entorno y busque una de las siguientes variables de entorno adicionales para autenticarse:
  • Al establecer la variable de entorno AZURE_CLIENT_SECRET, se configura DefaultAzureCredential para elegir ClientSecretCredential.
  • Al establecer la variable de entorno AZURE_CLIENT_CERTIFICATE_PATH, se configura DefaultAzureCredential para elegir ClientCertificateCredential. si AZURE_CLIENT_SECRET no está establecido.
• Al establecer la variable de entorno AZURE_USERNAME, se configura DefaultAzureCredential para elegir UsernamePasswordCredential si AZURE_CLIENT_SECRET y AZURE_CLIENT_CERTIFICATE_PATH no están establecidos.

ActiveDirectoryIntegrated

Este método no está implementado actualmente y volverá a ActiveDirectoryDefault.

ActiveDirectoryPassword

• Este método se autenticará mediante un nombre de usuario y una contraseña. No funciona si se requiere MFA.

• Debe proporcionar el nombre de usuario y la contraseña mediante los modificadores de línea de comandos habituales o las variables de entorno SQLCMD.

• Establezca la variable de entorno AZURE_TENANT_ID en el identificador de inquilino del servidor si no usa el inquilino predeterminado del usuario.

ActiveDirectoryInteractive

Este método inicia un explorador web para autenticar al usuario.

ActiveDirectoryManagedIdentity

Use este método al ejecutar sqlcmd (Go) en una máquina virtual de Azure que tenga una identidad administrada asignada por el sistema o por el usuario. Si usa una identidad administrada asignada por el usuario, establezca el nombre de usuario en el identificador de la identidad administrada. Si usa una identidad asignada por el sistema, deje el nombre de usuario vacío.

ActiveDirectoryServicePrincipal

Este método autentica el nombre de usuario proporcionado como identificador de entidad de servicio y la contraseña como secreto de cliente para la entidad de servicio. Proporcione un nombre de usuario con el formato <service principal id>@<tenant id>. Establezca la variable SQLCMDPASSWORD en el secreto de cliente. Si usa un certificado en lugar de un secreto de cliente, establezca la variable de entorno AZURE_CLIENT_CERTIFICATE_PATH en la ruta de acceso del archivo de certificado.

Variables de entorno para la autenticación de Microsoft Entra.

Algunas opciones de la autenticación de Microsoft Entra no tienen entradas de línea de comandos, y algunas variables de entorno se consumen directamente por el paquete azidentity usado por sqlcmd (Go).

Estas variables de entorno se pueden establecer para configurar algunos aspectos de la autenticación con Microsoft Entra y omitir los comportamientos predeterminados. Además de las variables mencionadas, las siguientes son específicas de sqlcmd (Go) y se aplican a varios métodos.

SQLCMDCLIENTID

Establezca esta variable de entorno en el identificador de una aplicación registrada en Microsoft Entra, que está autorizada para autenticarse en Azure SQL Database. Se aplica a los métodos ActiveDirectoryInteractive y ActiveDirectoryPassword.

sqlcmd (ODBC)

La opción -G es utilizada por sqlcmd (ODBC) al conectarse a la base de datos de Azure SQL o Azure Synapse Analytics, para especificar que el usuario se autentica mediante la autenticación de Microsoft Entra. Esta opción establece la variable de scripting de sqlcmdSQLCMDUSEAAD=true.

• La opción -G requiere al menos sqlcmd versión 13.1. La autenticación interactiva de Microsoft Entra requiere sqlcmd (ODBC) versión 15.0.1000.34 y versiones posteriores, así como la versión ODBC 17.2 y posteriores.

• La autenticación integrada de Microsoft Entra requiere la versión 17.6.1 o superiores de Microsoft ODBC Driver 17 for SQL Server y un entorno de Kerberos configurado correctamente.

• La opción -G solo se aplica a Azure SQL Database y a Azure Synapse Analytics.

• La autenticación interactiva de Microsoft Entra no se admite actualmente ni en Linux ni en macOS.

Para determinar su versión, ejecute sqlcmd "-?". Para más información, vea Conexión a SQL Database o a Azure Synapse Analytics mediante autenticación de Azure Active Directory. La opción -A no se admite con la opción -G.

Nombre de usuario y contraseña de Microsoft Entra

Si desea utilizar un nombre de usuario y una contraseña de Microsoft Entra, puede proporcionar la opción -G con el nombre de usuario y la contraseña mediante el uso de las opciones -U y -P.

sqlcmd -S testsrv.database.windows.net -d Target_DB_or_DW -U bob@contoso.com -P MyAzureADPassword -G

El parámetro -G genera la siguiente cadena de conexión en el back-end:

SERVER = Target_DB_or_DW.testsrv.database.windows.net;UID=bob@contoso.com;PWD=MyAzureADPassword;AUTHENTICATION=ActiveDirectoryPassword;

Autenticación integrada de Microsoft Entra

Para autenticación integrada de Microsoft Entra, proporcione la opción -G sin un nombre de usuario o contraseña.

sqlcmd -S Target_DB_or_DW.testsrv.database.windows.net -G

Este comando genera la siguiente cadena de conexión en el back-end:

SERVER = Target_DB_or_DW.testsrv.database.windows.net;Authentication=ActiveDirectoryIntegrated;Trusted_Connection=NO;

Nota:

La opción -E (Trusted_Connection) no sepuede usar junto con la opción -G.

Autenticación interactiva de Microsoft Entra

La autenticación interactiva de Microsoft Entra para Azure SQL Database y Azure Synapse Analytics permite usar un método interactivo que admite la autenticación multifactor. Para obtener más información, vea Autenticación interactiva de Active Directory.

Para habilitar la autenticación interactiva, indique la opción -G solo con el nombre de usuario (-U), sin contraseña.

En el siguiente ejemplo se exportan datos mediante el modo interactivo de Microsoft Entra que indica el nombre de usuario, donde el usuario representa una cuenta de Microsoft Entra. Este es el mismo ejemplo que se utilizó en la sección anterior, Nombre de usuario y contraseña de Microsoft Entra.

El modo interactivo requiere que se especifique una contraseña manualmente, o en el caso de las cuentas que tengan la autenticación multifactor habilitada, complete el método de autenticación MFA configurado.

sqlcmd -S testsrv.database.windows.net -d Target_DB_or_DW -G -U alice@aadtest.onmicrosoft.com

El comando anterior genera la siguiente cadena de conexión en el back-end:

SERVER = Target_DB_or_DW.testsrv.database.windows.net;UID=alice@aadtest.onmicrosoft.com;AUTHENTICATION=ActiveDirectoryInteractive

En caso de que un usuario de Microsoft Entra sea un usuario federado de dominio con una cuenta de Windows, el nombre de usuario que se requiera en la línea de comandos contendrá su cuenta de dominio (por ejemplo, joe@contoso.com):

sqlcmd -S testsrv.database.windows.net -d Target_DB_or_DW -G -U joe@contoso.com

Si los usuarios invitados ya se encuentran en un inquilino Microsoft Entra específico y forman parte de un grupo que existe en Azure SQL Database que tiene permisos de base de datos para ejecutar el comando sqlcmd, se usa su alias de usuario invitado (por ejemplo, keith0@adventureworks.com).

Importante

Existe un problema conocido cuando se usa la opción -G y -U con sqlcmd (ODBC), en el que, si se coloca la opción -U antes de la opción -G, se puede provocar un error de autenticación. Comience siempre con la opción -G, seguida de la opción -U.

Contenido relacionado

• Utilidad sqlcmd
• sqlcmd: inicio de la utilidad
• sqlcmd: usar la utilidad