Use Microsoft Entra authentication

A következőre vonatkozik: Azure SQL DatabaseAzure SQL Managed InstanceAzure Synapse Analytics

Ez a cikk áttekintést nyújt arról, hogy a Microsoft Entra ID (korábbi nevén Azure Active Directory) használatával hitelesíthet az Azure SQL Database-ben, az Azure SQL Managed Instance-ben, a Windows Azure-beli virtuális gépeken futó SQL Serverben, az Azure Synapse Analyticsben a Synapse SQL-ben és a Windows és Linux rendszerhez készült SQL Serverben.

Ha meg szeretné tudni, hogyan hozhat létre és tölthet fel Microsoft Entra-azonosítót, majd hogyan konfigurálhatja a Microsoft Entra-azonosítót az Azure SQL Database-zel, az Azure SQL Managed Instance-lel és a Synapse SQL-sel az Azure Synapse Analyticsben, tekintse át a Microsoft Entra-azonosító és a Microsoft Entra-azonosító konfigurálását azure-beli virtuális gépeken futó SQL Serverrel.

Megjegyzés:

A Microsoft Entra ID az Azure Active Directory (Azure AD) új neve. Jelenleg frissítjük a dokumentációt.

Áttekintés

With Microsoft Entra authentication, you can centrally manage the identities of database users and other Microsoft services in one central location. A központi azonosítófelügyelettel egyetlen helyen kezelheti az adatbázis-felhasználókat, így leegyszerűsítheti az engedélykezelést. Ez az alábbi előnyökkel jár:

• Alternatívát kínál az SQL Server-hitelesítés helyett.

• Segít megállítani a felhasználói identitások terjedését a kiszolgálókon.

• Lehetővé teszi a jelszóváltást egyetlen helyen.

• Az ügyfelek Microsoft Entra-csoportokkal kezelhetik az adatbázis-engedélyeket.

• Kiküszöbölheti a jelszavak tárolását azáltal, hogy engedélyezi az integrált Windows-hitelesítést és a Microsoft Entra ID által támogatott egyéb hitelesítési formákat.

• A Microsoft Entra-hitelesítés tartalmazott adatbázis-felhasználók használatával hitelesíti az identitásokat az adatbázis szintjén.

• A Microsoft Entra ID támogatja az SQL Database-hez és felügyelt SQL-példányhoz csatlakozó alkalmazások jogkivonatalapú hitelesítését.

• A Microsoft Entra-hitelesítés a következőket támogatja:

  • Csak felhőalapú Microsoft Entra-identitások.
  • A Microsoft Entra hibrid identitásai, amelyek támogatják a következőt:
    • Felhőalapú hitelesítés két lehetőséggel, zökkenőmentes egyszeri bejelentkezéssel (SSO) átmenő hitelesítéssel és jelszókivonat-hitelesítéssel .
    • Összevont hitelesítés.
  • A Microsoft Entra hitelesítési módszereiről és a választható módszerekről az alábbi cikkben talál további információt:
    • Válassza ki a megfelelő hitelesítési módszert a Microsoft Entra hibrid identitáskezelési megoldásához

• Az SQL Server Management Studio támogatja a Microsoft Entrát többtényezős hitelesítéssel használó kapcsolatokat. A többtényezős hitelesítés számos egyszerű ellenőrzési lehetőséggel biztosít erős hitelesítést– telefonhívást, szöveges üzenetet, pin-kóddal ellátott intelligens kártyákat vagy mobilalkalmazás-értesítéseket. További információ: A Microsoft Entra többtényezős hitelesítésének SSMS-támogatása az Azure SQL Database-lel, a felügyelt SQL-példányokkal és az Azure Synapse-nal

• Az SQL Server Data Tools (SSDT) emellett számos hitelesítési lehetőséget támogat a Microsoft Entra ID-val. További információ: Microsoft Entra ID-támogatás az SQL Server Data Tools (SSDT)-ben.

A konfigurációs lépések a következő eljárásokat tartalmazzák a Microsoft Entra-hitelesítés konfigurálásához és használatához.

1. Microsoft Entra-bérlő létrehozása és feltöltése.
2. Nem kötelező: Társítsa vagy módosítsa az Azure-előfizetéséhez társított aktuális könyvtárat.
3. Hozzon létre egy Microsoft Entra-rendszergazdát.
4. Konfigurálja az ügyfélszámítógépeket.
5. Tartalmazott adatbázis-felhasználók létrehozása az adatbázisban a Microsoft Entra-identitásokhoz megfeleltetve.
6. Csatlakozás az adatbázisba Microsoft Entra-identitásokkal.

Megjegyzés:

Az Azure SQL, az Azure-beli virtuális gépek és az SQL Server 2022 esetében a Microsoft Entra-hitelesítés csak a Microsoft Entra-azonosítóból származó hozzáférési jogkivonatokat támogatja, és nem támogatja a külső hozzáférési jogkivonatokat. A Microsoft Entra ID nem támogatja a Microsoft Entra ID-lekérdezések külső végpontokra való átirányítását sem. Ez az összes SQL-platformra és a Microsoft Entra-hitelesítést támogató összes operációs rendszerre vonatkozik.

Az architektúra megbízhatósága

• Csak a Microsoft Entra ID, az SQL Database, a felügyelt SQL-példány, a Windows Azure-beli virtuális gépeken futó SQL Server és az Azure Synapse felhőrésze támogatja a Microsoft Entra natív felhasználói jelszavait.
• A Windows egyszeri bejelentkezési hitelesítő adatainak (vagy a Windows hitelesítő adataihoz tartozó felhasználó/jelszó) támogatásához használja a Microsoft Entra hitelesítő adatait egy összevont vagy felügyelt tartományból, amely konfigurálva van a zökkenőmentes egyszeri bejelentkezéshez az átmenő és a jelszókivonatos hitelesítéshez. További információért lásd: Microsoft Entra zökkenőmentes egyszeri bejelentkezés.
• Az összevont hitelesítés (vagy a Windows hitelesítő adataihoz tartozó felhasználó/jelszó) támogatásához az ADFS-blokktal való kommunikációra van szükség.

A Microsoft Entra hibrid identitásokkal, a beállítással és a szinkronizálással kapcsolatos további információkért tekintse meg az alábbi cikkeket:

• Jelszókivonat-hitelesítés – Jelszókivonat-szinkronizálás implementálása a Microsoft Entra Csatlakozás Synctel
• Átmenő hitelesítés – Microsoft Entra átmenő hitelesítés
• Összevont hitelesítés – Active Directory összevonási szolgáltatások (AD FS) üzembe helyezése az Azure-ban és a Microsoft Entra Csatlakozás és összevonásban

Az ADFS-infrastruktúrával (vagy windowsos hitelesítő adatok felhasználójával/jelszavával) történő összevont hitelesítés mintájáért tekintse meg az alábbi ábrát. A nyilak kommunikációs útvonalakat jelölnek.

Az alábbi ábra azokat az összevonási, megbízhatósági és üzemeltetési kapcsolatokat mutatja be, amelyek lehetővé teszik az ügyfél számára, hogy jogkivonat elküldésével csatlakozzon egy adatbázishoz. A jogkivonatot a Microsoft Entra ID hitelesíti, és az adatbázis megbízhatónak minősíti. Az 1. ügyfél képviselheti a Microsoft Entra-azonosítót natív felhasználókkal, vagy a Microsoft Entra-azonosítót összevont felhasználókkal. A 2. ügyfél egy lehetséges megoldást jelöl, beleértve az importált felhasználókat is, ebben a példában egy összevont Microsoft Entra-azonosítóból származik, amely az ADFS-t szinkronizálja a Microsoft Entra-azonosítóval. Fontos tisztában lenni azzal, hogy a Microsoft Entra-hitelesítést használó adatbázisokhoz való hozzáféréshez az üzemeltetési előfizetés a Microsoft Entra-azonosítóhoz van társítva. Ugyanazt az előfizetést kell használni az Azure SQL Database, a felügyelt SQL-példány vagy az Azure Synapse-erőforrások létrehozásához.

Rendszergazda istrator struktúra

A Microsoft Entra-hitelesítés használatakor két Rendszergazda istrator-fiók létezik: az eredeti Azure SQL Database-rendszergazda és a Microsoft Entra-rendszergazda. Ugyanezek a fogalmak vonatkoznak az Azure Synapse-ra is. Csak a Microsoft Entra-fiókon alapuló rendszergazda hozhatja létre az első Microsoft Entra-azonosítót tartalmazó adatbázis-felhasználót egy felhasználói adatbázisban. A Microsoft Entra rendszergazdai bejelentkezés lehet Microsoft Entra-felhasználó vagy Microsoft Entra-csoport. Ha a rendszergazda csoportfiók, azt bármely csoporttag használhatja, így több Microsoft Entra-rendszergazda is használhatja a kiszolgálóhoz. A csoportfiók rendszergazdaként való használata javítja a kezelhetőséget azáltal, hogy lehetővé teszi a csoporttagok központi hozzáadását és eltávolítását a Microsoft Entra-azonosítóban anélkül, hogy módosítaná az SQL Database vagy az Azure Synapse felhasználóit vagy engedélyeit. Egyszerre csak egy Microsoft Entra-rendszergazda (felhasználó vagy csoport) konfigurálható.

Megjegyzés:

Az Azure SQL-lel történő Microsoft Entra-hitelesítés csak azt az egyetlen Microsoft Entra-bérlőt támogatja, amelyben az Azure SQL-erőforrás jelenleg található. A bérlő összes Microsoft Entra-objektuma beállítható felhasználóként, amely lehetővé teszi az Azure SQL-hez való hozzáférést ebben a bérlőben. A Microsoft Entra-rendszergazdának az Azure SQL-erőforrás bérlőjéről is rendelkeznie kell. Nem támogatott a Microsoft Entra több-bérlős hitelesítése, amely különböző bérlőkről fér hozzá az Azure SQL-hez.

Permissions

Új felhasználók létrehozásához rendelkeznie kell az ALTER ANY USER adatbázis engedélyével. Az ALTER ANY USER engedély bármely adatbázis-felhasználónak adható. Az ALTER ANY USER engedélyt a kiszolgálói rendszergazdai fiókok és az adatbázis felhasználói is birtokolják az CONTROL ON DATABASE adott adatbázishoz vagy ALTER ON DATABASE engedélyhez, valamint az db_owner adatbázis-szerepkör tagjai.

Ha tartalmazott adatbázis-felhasználót szeretne létrehozni az Azure SQL Database-ben, az Azure SQL Managed Instance-ben vagy az Azure Synapse-ban, Microsoft Entra-identitással kell csatlakoznia az adatbázishoz vagy a példányhoz. Az első tárolt adatbázis-felhasználó létrehozásához csatlakoznia kell az adatbázishoz egy Microsoft Entra-rendszergazdával (aki az adatbázis tulajdonosa). Ezt a Microsoft Entra-hitelesítés konfigurálása és kezelése AZ SQL Database vagy az Azure Synapse használatával című témakörben mutatjuk be. A Microsoft Entra-hitelesítés csak akkor lehetséges, ha a Microsoft Entra-rendszergazda az Azure SQL Database-hez, a felügyelt Azure SQL-példányhoz vagy az Azure Synapse-hoz lett létrehozva. Ha a Microsoft Entra rendszergazdáját eltávolították a kiszolgálóról, a kiszolgálón korábban létrehozott Microsoft Entra-felhasználók már nem tudnak csatlakozni az adatbázishoz a Microsoft Entra hitelesítő adataikkal.

A Microsoft Entra funkciói és korlátozásai

• A Microsoft Entra ID következő tagjai építhetők ki az Azure SQL Database-hez:

  • Natív tagok: A Microsoft Entra-azonosítóban létrehozott tag a felügyelt tartományban vagy egy ügyféltartományban. További információ: Saját tartománynév hozzáadása a Microsoft Entra-azonosítóhoz.
  • Egy Microsoft Entra-azonosítóval összevont Active Directory-tartomány tagjai egy felügyelt tartományon, amely közvetlen egyszeri bejelentkezésre van konfigurálva átmenő vagy jelszókivonatos hitelesítéssel. További információ: Összevonás a Microsoft Entra-azonosítóval és a Microsoft Entra közvetlen egyszeri bejelentkezéssel.
  • Vendégfelhasználók, a Microsoft Entra Külső ID funkciója, amellyel felhasználókat hívhat meg a Microsoft Entra-bérlőbe a Microsoft Entra-bérlőn kívüli fiókokból.
  • Biztonsági csoportként létrehozott Active Directory-csoportok.

• Az adatbázis-szerepkörbe tartozó db_owner csoporthoz tartozó Microsoft Entra-felhasználók nem használhatják a CREATE DATABA Standard kiadás SCOPED CREDENTIAL szintaxist az Azure SQL Database-hez és az Azure Synapse-hoz. A következő hibaüzenet jelenik meg:

  SQL Error [2760] [S0001]: The specified schema name 'user@mydomain.com' either doesn't exist or you do not have permission to use it.

  A CREATE DATABA Standard kiadás SCOPED CREDENTIAL probléma megoldásához adja hozzá közvetlenül az egyes Microsoft Entra-felhasználóhoz a db_owner szerepkört.

• Ezek a rendszerfüggvények nem támogatottak, és NULL értékeket ad vissza, amikor a Microsoft Entra-tagok alatt hajtják végre:

  • SUSER_ID()
  • SUSER_NAME(<ID>)
  • SUSER_SNAME(<SID>)
  • SUSER_ID(<name>)
  • SUSER_SID(<name>)

• Az Azure SQL Database nem hoz létre implicit felhasználókat a Microsoft Entra-csoporttagság részeként bejelentkezett felhasználók számára. Emiatt a tulajdonjog-hozzárendelést igénylő különböző műveletek sikertelenek lesznek, még akkor is, ha a Microsoft Entra-csoportot tagként hozzáadják egy ilyen engedélyekkel rendelkező szerepkörhöz.

  Ha például egy felhasználó a db_ddladmin szerepkörrel rendelkező Microsoft Entra-csoporton keresztül jelentkezett be egy adatbázisba, nem tudja explicit módon definiált séma (például tábla, nézet vagy típus) nélkül végrehajtani a CREATE SCHEMA, ALTER SCHEMA és egyéb objektumlétrehozási utasításokat. A probléma megoldásához létre kell hozni egy Microsoft Entra-felhasználót az adott felhasználóhoz, vagy módosítani kell a Microsoft Entra csoportot, hogy a DEFAULT_SCHEMA a dbo-hoz rendelje.

SQL Managed Instance

• A Microsoft Entra-kiszolgálónevek (bejelentkezések) és a felhasználók támogatottak a felügyelt SQL-példányokban.

• A Felügyelt SQL-példány nem támogatja a Microsoft Entra-csoportra leképezett Microsoft Entra-bejelentkezések adatbázis-tulajdonosként való beállítását.

  • Ennek egyik bővítménye, hogy amikor a kiszolgálói szerepkör részeként hozzáad egy csoportot, a dbcreator csoport felhasználói csatlakozhatnak a felügyelt SQL-példányhoz, és új adatbázisokat hozhatnak létre, de nem férhetnek hozzá az adatbázishoz. Ennek az az oka, hogy az új adatbázis tulajdonosa sa, és nem a Microsoft Entra-felhasználó. Ez a probléma nem jelenik meg, ha az egyes felhasználó hozzáadódik a dbcreator kiszolgálói szerepkörhöz.

• Az SQL Agent kezelése és a feladatok végrehajtása támogatott a Microsoft Entra-bejelentkezésekhez.

• Az adatbázis biztonsági mentési és visszaállítási műveleteit a Microsoft Entra-kiszolgálónevek (bejelentkezések) hajthatják végre.

• A Microsoft Entra-kiszolgálónevekhez (bejelentkezésekhez) és a hitelesítési eseményekhez kapcsolódó összes utasítás naplózása támogatott.

• A sysadmin-kiszolgálói szerepkör tagjait képező Microsoft Entra-kiszolgálónevek (bejelentkezések) dedikált rendszergazdai kapcsolata támogatott.

  • Az SQLCMD Segédprogram és az SQL Server Management Studio támogatja.

• A bejelentkezési eseményindítók támogatottak a Microsoft Entra-kiszolgálónevekből (bejelentkezésekből) érkező bejelentkezési eseményekhez.

• A Service Broker és a DB-levelek a Microsoft Entra-kiszolgálónévvel (bejelentkezéssel) állíthatók be.

Connect by using Microsoft Entra identities

A Microsoft Entra-hitelesítés az alábbi módszereket támogatja az adatbázishoz való csatlakozáshoz a Microsoft Entra-identitások használatával:

• Microsoft Entra jelszó
• A Microsoft Entra integrálva
• Microsoft Entra Universal többtényezős hitelesítéssel
• Alkalmazásjogkivonat-hitelesítés használata

A Microsoft Entra-kiszolgálónevek (bejelentkezések) esetében a következő hitelesítési módszerek támogatottak:

• Microsoft Entra jelszó
• A Microsoft Entra integrálva
• Microsoft Entra Universal többtényezős hitelesítéssel

Additional considerations

• A kezelhetőség javítása érdekében javasoljuk, hogy rendszergazdaként kiépítsen egy dedikált Microsoft Entra-csoportot.
• Az SQL Database-ben vagy az Azure Synapse-ban egyszerre csak egy Microsoft Entra-rendszergazda (felhasználó vagy csoport) konfigurálható egy kiszolgálóhoz.
  • A Felügyelt SQL-példányhoz tartozó Microsoft Entra-kiszolgálónevek (bejelentkezések) hozzáadása lehetővé teszi több Microsoft Entra-kiszolgálónév (bejelentkezés) létrehozását, amelyek hozzáadhatók a sysadmin szerepkörhöz.
• Kezdetben csak a kiszolgáló Microsoft Entra-rendszergazdája csatlakozhat a kiszolgálóhoz vagy a felügyelt példányhoz Egy Microsoft Entra-fiók használatával. A Microsoft Entra rendszergazdája konfigurálhatja a Microsoft Entra-adatbázis további felhasználóit.
• A 2048-nál több Microsoft Entra biztonsági csoport tagjaiként működő Microsoft Entra-felhasználók és szolgáltatásnevek (Microsoft Entra-alkalmazások) nem támogatottak az SQL Database, a felügyelt SQL-példány vagy az Azure Synapse adatbázisába való bejelentkezéshez.
• Javasoljuk, hogy a kapcsolat időtúllépését 30 másodpercre állítsa.
• Az SQL Server 2016 Management Studio és az SQL Server Data Tools for Visual Studio 2015 (14.0.60311.1April 2016-os vagy újabb verzió) támogatja a Microsoft Entra-hitelesítést. (A Microsoft Entra-hitelesítést a .NET-keretrendszer SqlServer adatszolgáltatója; legalább .NET-keretrendszer 4.6-os verzió). Ezért ezeknek az eszközöknek és adatrétegű alkalmazásoknak a legújabb verziói (DAC és BACPAC) használhatják a Microsoft Entra-hitelesítést.
• A 15.0.1-es verziótól kezdve az sqlcmd segédprogram és a bcp segédprogram támogatja az Active Directory interaktív hitelesítést többtényezős hitelesítéssel.
• Az SQL Server Data Tools for Visual Studio 2015 használatához legalább a Data Tools 2016. áprilisi verziója szükséges (14.0.60311.1-es verzió). A Microsoft Entra-felhasználók jelenleg nem jelennek meg az SSDT Object Explorerben. Kerülő megoldásként tekintse meg a felhasználókat a sys.database_principals.
• Az SQL Serverhez készült Microsoft JDBC Driver 6.0 támogatja a Microsoft Entra-hitelesítést. Lásd még a Csatlakozás ion tulajdonságainak beállítását.
• A PolyBase nem tud Microsoft Entra-hitelesítéssel hitelesíteni.
• A Microsoft Entra-hitelesítés az Azure SQL Database és az Azure Synapse esetében támogatott az Azure Portal Adatbázis importálása és adatbázis exportálása panelek használatával. A PowerShell-parancsok a Microsoft Entra-hitelesítéssel történő importálást és exportálást is támogatják.
• A Microsoft Entra-hitelesítés az SQL Database, a felügyelt SQL-példány és az Azure Synapse esetében támogatott a parancssori felület használatával. További információ: Microsoft Entra-hitelesítés konfigurálása és kezelése AZ SQL Database-zel vagy az Azure Synapse-nal és AZ SQL Serverrel – az sql serverrel.

További lépések

• Ha tudni szeretné, hogyan hozhat létre és tölthet fel Egy Microsoft Entra-bérlőt, majd hogyan konfigurálhatja azt azure SQL Database-sel, felügyelt Azure SQL-példánysal vagy Azure Synapse-nal, olvassa el a Microsoft Entra-hitelesítés konfigurálása és kezelése AZ SQL Database-lel, a felügyelt SQL-példányokkal vagy az Azure Synapse-nal című témakört.
• A Microsoft Entra-kiszolgálónevek (bejelentkezések) felügyelt SQL-példányokkal való használatáról a Felügyelt SQL-példány microsoft Entra-kiszolgálóneveivel (bejelentkezéseivel) kapcsolatos oktatóanyagban olvashat
• A bejelentkezések, a felhasználók, az adatbázisszerepkörök és az SQL Database engedélyeinek áttekintéséért lásd : Bejelentkezések, felhasználók, adatbázisszerepkörök és engedélyek.
• További információ az adatbázis résztvevőivel kapcsolatban: Résztvevők.
• További információ az adatbázis-szerepkörökkel kapcsolatban: Adatbázis-szerepkörök.
• A Felügyelt SQL-példányhoz tartozó Microsoft Entra-kiszolgálónevek (bejelentkezések) létrehozásáról a CREATE LOGIN (BEJELENTKEZÉS LÉTREHOZÁSA) című témakörben olvashat.
• További információ az SQL Database tűzfalszabályaival kapcsolatban: SQL Database tűzfalszabályok.