Microsoft Entra szolgáltatási megbízó az Azure SQL szolgáltatással

Cikk
2023. 10. 20.

A következőre vonatkozik: Azure SQL Database Felügyelt Azure SQL-példány

A Microsoft Entra ID (korábbi nevén Azure Active Directory) támogatja a felhasználók létrehozását az Azure SQL Database-ben (SQL DB) a Microsoft Entra-alkalmazások (szolgáltatásnevek) nevében. Ez az Azure SQL Database és a felügyelt Azure SQL-példány esetében támogatott.

Szolgáltatásnév (Microsoft Entra-alkalmazások) támogatása

Ez a cikk olyan alkalmazásokra vonatkozik, amelyek integrálva vannak a Microsoft Entra-azonosítóval, és a Microsoft Entra-regisztráció részét képezik. Ezek az alkalmazások gyakran igényelnek hitelesítést és engedélyezési hozzáférést az Azure SQL-hez a különböző feladatok elvégzéséhez. Ez a funkció lehetővé teszi, hogy a szolgáltatásnevek Microsoft Entra-felhasználókat hozzanak létre az SQL Database-ben.

Ha egy Microsoft Entra-alkalmazás regisztrálva van az Azure Portalon vagy a PowerShell-paranccsal, két objektum jön létre a Microsoft Entra-bérlőben:

Alkalmazásobjektum
Egyszerű szolgáltatásobjektum

További információ a Microsoft Entra-alkalmazásokról: Alkalmazás- és szolgáltatásnév-objektumok a Microsoft Entra-azonosítóban , valamint Azure-szolgáltatásnév létrehozása az Azure PowerShell-lel.

Az SQL Database és a felügyelt SQL-példány a következő Microsoft Entra-objektumokat támogatja:

Microsoft Entra-felhasználók (felügyelt, összevont és vendég)
Microsoft Entra-csoportok (felügyelt és összevont)
Microsoft Entra-alkalmazások

A Microsoft Entra felhasználói, csoportjai és alkalmazásai a T-SQL paranccsal CREATE USER [Azure_AD_Object] FROM EXTERNAL PROVIDERhozhatók létre egy adatbázisban.

A Microsoft Entra felhasználólétrehozásának funkciói szolgáltatásnevek használatával

Ennek a funkciónak a támogatása olyan Microsoft Entra-alkalmazásautomatizálási folyamatokban hasznos, amelyekben a Microsoft Entra-objektumok emberi beavatkozás nélkül jönnek létre és kezelhetők az SQL Database-ben. A szolgáltatásnevek lehetnek Microsoft Entra-rendszergazdák az SQL logikai kiszolgálóhoz egy csoport vagy egy egyéni felhasználó részeként. Az alkalmazás automatizálhatja a Microsoft Entra-objektumok létrehozását az SQL Database-ben rendszergazdai végrehajtáskor, és nem igényel további SQL-jogosultságokat. Ez lehetővé teszi az adatbázis-felhasználók létrehozásának teljes automatizálását. Ez a funkció támogatja a Microsoft Entra rendszer által hozzárendelt felügyelt identitását és a felhasználó által hozzárendelt felügyelt identitást is, amely a szolgáltatásnevek nevében létrehozható felhasználókként az SQL Database-ben. További információ: Mik az Azure-erőforrások felügyelt identitásai?

Szolgáltatásnevek engedélyezése Microsoft Entra-felhasználók létrehozásához

Ha engedélyezni szeretné a Microsoft Entra-objektumok létrehozását az SQL Database-ben egy Microsoft Entra-alkalmazás nevében, a következő beállításokra van szükség:

Rendelje hozzá a kiszolgálóidentitást. A hozzárendelt kiszolgálóidentitás a felügyeltszolgáltatás-identitást (MSI) jelöli. A kiszolgálóidentitás lehet rendszer által hozzárendelt vagy felhasználó által hozzárendelt felügyelt identitás. További információ: Felhasználó által hozzárendelt felügyelt identitás az Azure SQL-hez készült Microsoft Entra ID-ban.
- Új Azure SQL logikai kiszolgáló esetén hajtsa végre a következő PowerShell-parancsot:
PowerShell
```
New-AzSqlServer -ResourceGroupName <resource group> -Location <Location name> -ServerName <Server name> -ServerVersion "12.0" -SqlAdministratorCredentials (Get-Credential) -AssignIdentity
```
További információt a Felügyelt SQL-példány New-AzSqlServer vagy New-AzSqlInstance parancsában talál.
- Meglévő Azure SQL Logikai kiszolgálók esetén hajtsa végre a következő parancsot:
PowerShell
```
Set-AzSqlServer -ResourceGroupName <resource group> -ServerName <Server name> -AssignIdentity
```
További információ: Set-AzSqlServer parancs vagy Set-AzSqlInstance parancs felügyelt SQL-példányhoz.
- Annak ellenőrzéséhez, hogy a kiszolgálóidentitás hozzá van-e rendelve a kiszolgálóhoz, hajtsa végre a Get-AzSqlServer parancsot.
Megjegyzés

A kiszolgálóidentitás REST API- és CLI-parancsokkal is hozzárendelhető. További információ: az sql server create, az sql server update és Servers – REST API.
Adjon engedélyt a Microsoft Entra ID Directory-olvasóinak a kiszolgálóhoz létrehozott vagy hozzárendelt kiszolgálóidentitásra.
- Az engedély megadásához kövesse a felügyelt SQL-példányhoz használt leírást, amely a következő cikkben érhető el: Microsoft Entra-rendszergazda kiépítése (felügyelt SQL-példány)
- Az engedélyt megadó Microsoft Entra-felhasználónak a Microsoft Entra ID Global Rendszergazda istrator vagy Privileged Roles Rendszergazda istrator szerepkör részét kell képeznie.
- Az Azure Synapse-munkaterület dedikált SQL-készleteihez használja a munkaterület felügyelt identitását az Azure SQL Server-identitás helyett.

Fontos

Az Azure SQL Microsoft Graph-támogatásával a Címtárolvasók szerepkör alacsonyabb szintű engedélyekkel helyettesíthető. További információ: Felhasználó által hozzárendelt felügyelt identitás az Azure SQL-hez készült Microsoft Entra-azonosítóban

Az 1. és a 2. lépést a fenti sorrendben kell végrehajtani. Először hozza létre vagy rendelje hozzá a kiszolgálóidentitást, majd adja meg a címtár-olvasók engedélyét, vagy az Azure SQL-hez készült Microsoft Entra-azonosítóban a felhasználó által hozzárendelt felügyelt identitásban tárgyalt alacsonyabb szintű engedélyeket. Ha kihagyja az egyik lépést, vagy mindkettő végrehajtási hibát okoz a Microsoft Entra objektum létrehozása során az Azure SQL-ben egy Microsoft Entra-alkalmazás nevében.

A Címtárolvasók szerepkört hozzárendelheti egy csoporthoz a Microsoft Entra-azonosítóban. A csoporttulajdonosok ezután hozzáadhatják a felügyelt identitást ennek a csoportnak a tagjaként, ami megkerülné, hogy globális Rendszergazda istrator vagy kiemelt szerepkörök Rendszergazda istrator szükséges a címtár-olvasók szerepkör biztosításához. A szolgáltatásról további információt az Azure SQL-hez készült Microsoft Entra ID címtárolvasói szerepkörében talál.

Hibaelhárítás és korlátozások

Amikor Microsoft Entra-objektumokat hoz létre az Azure SQL-ben egy Microsoft Entra-alkalmazás nevében a kiszolgálóidentitás engedélyezése és a címtárolvasók engedélyének megadása nélkül, vagy az Azure SQL-hez készült Microsoft Entra-azonosítóban a felhasználó által hozzárendelt felügyelt identitásban tárgyalt alacsonyabb szintű engedélyek nélkül, a művelet a következő lehetséges hibákkal meghiúsul. Az alábbi példahiba egy Sql Database-felhasználó sql-adatbázis-felhasználó myapp létrehozására szolgáló PowerShell-parancs végrehajtásakor jelenik meg a következő oktatóanyagban : Microsoft Entra-felhasználók létrehozása Microsoft Entra-alkalmazásokkal.
- Exception calling "ExecuteNonQuery" with "0" argument(s): "'myapp' is not a valid login or you do not have permission. Cannot find the user 'myapp', because it does not exist, or you do not have permission."
- Exception calling "ExecuteNonQuery" with "0" argument(s): "Principal 'myapp' could not be resolved. Error message: 'Server identity is not configured. Please follow the steps in "Assign a Microsoft Entra identity to your server and add Directory Reader permission to your identity" (https://aka.ms/sqlaadsetup)'"
- Ebben a hibában kövesse az identitás logikai kiszolgálóhoz való hozzárendeléséhez és a címtárolvasók engedélyének hozzárendeléséhez szükséges lépéseket a logikai kiszolgáló identitásához.
- A szolgáltatásnév (Microsoft Entra-alkalmazás) SQL Database-rendszergazdaként való beállítása az Azure Portal, a PowerShell, a REST API és a CLI parancsokkal támogatott.
Ha egy Másik Microsoft Entra-bérlő szolgáltatásnevével rendelkező Microsoft Entra-alkalmazást használ, az sql-adatbázis vagy egy másik bérlőben létrehozott felügyelt SQL-példány elérése sikertelen lesz. Az alkalmazáshoz rendelt szolgáltatásnévnek ugyanabból a bérlőből kell származnia, mint az SQL logikai kiszolgáló vagy a felügyelt SQL-példány.
Az.Sql 2.9.0-s vagy újabb modulra akkor van szükség, ha a PowerShell használatával beállít egy egyéni Microsoft Entra-alkalmazást Az Azure SQL Microsoft Entra-rendszergazdájaként. Győződjön meg arról, hogy a legújabb modulra frissít.

Következő lépések

Oktatóanyag: Microsoft Entra-felhasználók létrehozása Microsoft Entra-alkalmazásokkal

További források

Dokumentáció

Microsoft Entra-felhasználók létrehozása szolgáltatásnevek használatával - Azure SQL Database

Ez az oktatóanyag bemutatja, hogyan hozhat létre Microsoft Entra-felhasználókat egy Microsoft Entra-alkalmazással (szolgáltatásnév) az Azure SQL Database-ben.
Felügyelt identitás az Azure SQL-hez készült Microsoft Entra-ban - Azure SQL Database & Azure SQL Managed Instance

Ismerje meg a rendszer által hozzárendelt és a felhasználó által hozzárendelt felügyelt identitásokat az Azure SQL Database-hez és az Azure SQL Managed Instance-hez készült Microsoft Entra-ban.
A Microsoft Entra hitelesítés beállítása - Azure SQL Database & SQL Managed Instance & Azure Synapse Analytics

Megtudhatja, hogyan csatlakozhat az SQL Database-hez, a felügyelt SQL-példányhoz és az Azure Synapse Analyticshez a Microsoft Entra-hitelesítéssel.
Microsoft Entra-kiszolgálói bejelentkezések létrehozása és használata - Azure SQL Database & Azure SQL Managed Instance & Azure Synapse Analytics

Ez a cikk végigvezeti a Microsoft Entra-bejelentkezések azure SQL virtuális főadatbázisában való létrehozásán és felhasználásán
Microsoft Entra-kiszolgálónevek - Azure SQL Database & Azure SQL Managed Instance & Azure Synapse Analytics

Microsoft Entra-kiszolgálónevek (bejelentkezések) használata az Azure SQL-ben
Microsoft Entra authentication - Azure SQL Database & Azure SQL Managed Instance & Azure Synapse Analytics

Megtudhatja, hogyan használhatja a Microsoft Entra ID-t az Azure SQL Database,az Azure SQL Managed Instance és a Synapse SQL használatával történő hitelesítéshez az Azure Synapse Analyticsben
Microsoft Entra vendégfelhasználók létrehozása - Azure SQL Database & Azure SQL Managed Instance

Microsoft Entra vendégfelhasználók létrehozása és beállítása Microsoft Entra-rendszergazdaként az Azure SQL Database-ben, az Azure SQL Managed Instanceben és az Azure Synapse Analyticsben

Oktatás

Modul

Az Azure üzembehelyezési folyamat hitelesítése szolgáltatásnevek használatával - Training

Megtudhatja, hogyan hozhat létre, kezelhet és adhat engedélyeket a szolgáltatásneveknek, amelyek lehetővé teszik az üzembehelyezési folyamatok biztonságos hitelesítését az Azure-ban.

Tanúsítvány

Microsoft Certified: Identitás- és hozzáférés-rendszergazdai társítás - Certifications

A Microsoft Entra ID funkcióinak bemutatása az identitásmegoldások modernizálásához, hibrid megoldások implementálásához és az identitásszabályozás implementálásához.

Megosztás a következőn keresztül: