Compartir por


Tutorial: Uso de la automatización para configurar el administrador de Microsoft Entra para SQL Server

Se aplica a: SQL Server 2022 (16.x)

Nota:

Esta característica está disponible en SQL Server 2022 (16.x) o versiones posteriores, y solo se admite para SQL Server hosts locales, para hosts de Windows y Linux, y SQL Server 2022 en máquinas virtuales de Windows Azure.

En este artículo, veremos cómo configurar el administrador de Microsoft Entra para permitir la autenticación de Microsoft Entra ID (anteriormente Azure Active Directory) para SQL Server mediante Azure Portal y API como las siguientes:

  • PowerShell
  • La CLI de Azure
  • Plantilla de ARM

También veremos la funcionalidad actualizada para configurar un administrador de Microsoft Entra para SQL Server en Azure Portal que permitiría la creación automatizada de certificados y el registro de aplicaciones. Anteriormente, la configuración de la autenticación de Microsoft Entra para SQL Server requería la configuración manual del administrador de Microsoft Entra con un certificado de Azure y el registro de aplicaciones.

Nota:

Aunque Microsoft Entra ID es el nuevo nombre de Azure Active Directory (Azure AD), para evitar interrumpir los entornos existentes, Azure AD sigue estando en algunos elementos codificados de forma rígida como campos de interfaz de usuario, proveedores de conexiones, códigos de error y cmdlets. En este artículo, los dos nombres son intercambiables.

Requisitos previos

Preparación antes de establecer el administrador de Microsoft Entra

Los permisos siguientes son necesarios para configurar el administrador de Microsoft Entra en los recursos de SQL Server: Azure Arc y de Key Vault.

Configuración de permisos para Azure Arc

Sigue la guía para asegurarte de que SQL Server está conectado a Azure Arc. El usuario que configura el administrador de Microsoft Entra para el recurso SQL Server: Azure Arc debe tener el rol Colaborador para el servidor.

  1. Vaya a Azure Portal.
  2. Seleccione SQL Server : Azure Arc y seleccione la instancia del host de SQL Server.
  3. Seleccione Control de acceso (IAM).
  4. Selecciona Agregar>Agregar asignación de roles para agregar el rol Colaborador al usuario que configura el administrador de Microsoft Entra.

Configuración de permisos para Azure Key Vault

Cree un Azure Key Vault si aún no tiene uno. El usuario que configura el administrador de Microsoft Entra debe tener el rol Colaborador en tu Azure Key Vault. Para agregar un rol a un usuario en Azure Key Vault:

  1. Vaya a Azure Portal.
  2. Vaya al recurso de Key Vault.
  3. Seleccione control de acceso (IAM).
  4. Selecciona Agregar>Asignación de roles para agregar el rol Colaborador al usuario que configura el administrador de Microsoft Entra.

Establecimiento de directivas de acceso para el host de SQL Server

  1. En Azure Portal, vaya a la instancia de Azure Key Vault y seleccione Directivas de acceso.

  2. Seleccione Agregar directiva de acceso.

  3. Para permisos de clave, usa Firmar.

  4. En Permisos de secretos, seleccione Obtener y enumerar.

  5. Para los permisos de certificado, seleccione Obtener y enumerar.

  6. Seleccione Siguiente.

  7. En la página Entidad de seguridad, busque el nombre de su instancia de Máquina: Azure Arc, que es el nombre de host del host de SQL Server.

    Captura de pantalla del recurso de servidor Azure Arc en el portal.

  8. Omita la página Aplicación (opcional) seleccionando Siguiente dos veces o seleccionando Revisar y crear.

    Captura de pantalla de Azure Portal para revisar y crear una directiva de acceso.

    Compruebe que el "Id. de objeto" de la Entidad de seguridad coincida con el identificador de entidad de seguridad de la identidad administrada asignada a la instancia.

    Captura de pantalla del control del portal de la vista JSON de la definición de la máquina.

    Para confirmarlo, vaya a la página de recursos y seleccione Vista JSON en la parte superior derecha del cuadro Essentials de la página de información general. En identidad, encontrará el valor principalId.

  9. Seleccione Crear.

Debe seleccionar Crear para asegurarse de que se aplican los permisos. Para asegurarse de que los permisos se han almacenado, actualice la ventana del explorador y compruebe que la fila de su instancia de Azure Arc sigue presente.

Establecimiento de directivas de acceso para usuarios de Microsoft Entra

  1. En Azure Portal, vaya a la instancia de Azure Key Vault y seleccione Directivas de acceso.
  2. Seleccione Agregar directiva de acceso.
  3. En Permisos de clave, seleccione Obtener, Enumerar y Crear.
  4. En Permisos secretos, seleccione Obtener, Enumerar y Establecer.
  5. En Permisos de certificado, seleccione Obtener, Enumerar y Crear.
  6. En Seleccionar entidad de seguridad, agrega el usuario de Microsoft Entra que quieres usar para conectarte a SQL Server.
  7. Seleccione Agregar y, luego, seleccione Guardar.

Configurar el administrador de Microsoft Entra para SQL Server

Las nuevas API y la funcionalidad del portal permiten a los usuarios configurar un administrador de Microsoft Entra para SQL Server sin tener que crear por separado un certificado de Azure y una aplicación de Microsoft Entra. Selecciona una pestaña para aprender a configurar un administrador de Microsoft Entra para tu SQL Server conectado a Azure Arc con la creación automática de certificados y aplicaciones.

Nota:

La plantilla de ARM todavía requiere la creación de un certificado de Azure Key Vault y una aplicación de Microsoft Entra antes de configurar un administrador de Microsoft Entra. Para más información sobre este proceso, consulta Tutorial: Configuración de la autenticación de Microsoft Entra para SQL Server.

Usa Azure Portal para configurar un administrador de Microsoft Entra, crea un certificado de Azure Key Vault y una aplicación de Microsoft Entra en el mismo proceso. Esto es necesario para usar la autenticación de Microsoft Entra con SQL Server.

Nota:

Anteriormente, antes de configurar un administrador de Microsoft Entra, se necesitaba un certificado de Azure Key Vault y un registro de aplicaciones de Microsoft Entra. Esto ya no es necesario, pero los usuarios todavía pueden optar por proporcionar su propio certificado y aplicación para configurar el administrador de Microsoft Entra.

Configuración del administrador de Microsoft Entra mediante Azure Portal

  1. Vaya al Azure Portal y seleccione SQL Server : Azure Arc. Seleccione la instancia del host de SQL Server.

  2. Compruebe el estado del recurso SQL Server: Azure Arc y compruebe si está conectado; para ello, vaya al menú Propiedades. Para más información, consulte Validación de los recursos de SQL Server habilitados para Arc.

  3. En el menú del recurso, en Configuración, selecciona Microsoft Entra ID y Purview.

  4. Selecciona Establecer administrador para abrir el panel de Microsoft Entra ID y, a continuación, elige una cuenta que se agregará como inicio de sesión de administrador a SQL Server.

  5. Seleccione Certificado administrado por el servicio.

  6. Seleccione Cambiar almacén de claves y seleccione el recurso de Azure Key Vault existente.

  7. Seleccione Registro de aplicaciones administradas por el servicio.

  8. Seleccione Guardar. Esto envía una solicitud al agente del servidor Arc, que configura la autenticación de Microsoft Entra para esa instancia de SQL Server. La operación puede tardar varios minutos en completarse; espera hasta que el proceso de guardado se confirme con Saved successfully antes de intentar un inicio de sesión de Microsoft Entra.

    El registro de aplicaciones administradas por el servicio realiza lo siguiente:

    • Crea un certificado en el almacén de claves con un nombre que tenga la forma <hostname>-<instanceName><uniqueNumber>.
    • Crea una aplicación de Microsoft Entra con un nombre como <hostname>-<instanceName><uniqueNumber> y asigna los permisos necesarios para esa aplicación. Para más información, consulte Concesión de permisos de aplicación
    • Asigna el certificado nuevo de Azure Key Vault a la aplicación.
    • Guarda esta configuración en Azure Arc.

    Captura de pantalla de la configuración de la autenticación de Microsoft Entra con el certificado automático y la generación de aplicaciones en Azure Portal.

Nota:

Los certificados creados para Microsoft Entra no se rotan automáticamente. Los clientes pueden optar por proporcionar su propio certificado y aplicación para la configuración del administrador de Microsoft Entra. Para más información, consulta Tutorial: Configuración de la autenticación de Microsoft Entra con SQL Server.

Una vez configurado el administrador de Microsoft Entra, el uso de las credenciales de administrador de Microsoft Entra permite conectarse a SQL Server. Sin embargo, cualquier otra actividad de base de datos que implique la creación de nuevos inicios de sesión de Microsoft Entra y usuarios producirá un error hasta que se conceda el consentimiento del administrador a la aplicación de Microsoft Entra.

Nota:

Para conceder consentimiento del administrador a la aplicación, la cuenta que concede el consentimiento requiere un rol de administrador global de Microsoft Entra ID o de administrador de roles con privilegios. Estos roles son necesarios para conceder el consentimiento del administrador a la aplicación, pero no es necesario configurar el administrador de Microsoft Entra.

  1. En Azure Portal, selecciona Microsoft Entra ID>Registros de aplicación y selecciona la aplicación creada más recientemente. La aplicación debe tener un nombre como <hostname>-<instanceName><uniqueNumber>.

  2. Seleccione el menú Permisos de API.

  3. Seleccione Conceder consentimiento de administrador.

    Captura de pantalla de los permisos de aplicación en Azure Portal.

Sin conceder el consentimiento del administrador a la aplicación, la creación de un inicio de sesión de Microsoft Entra o un usuario en SQL Server producirá el siguiente error:

Msg 37455, Level 16, State 1, Line 2
Server identity does not have permissions to access MS Graph.

Usar la autenticación de Microsoft Entra para conectarse a SQL Server

La autenticación de Microsoft Entra ahora está configurada para SQL Server conectado a Azure Arc. Sigue las secciones después de configurar el administrador de Microsoft Entra en el artículo Tutorial: Configuración de la autenticación de Microsoft Entra para SQL Server para conectarse a SQL Server mediante la autenticación de Microsoft Entra.

Consulte también