Microsoft Entra szolgáltatási megbízó az Azure SQL szolgáltatással

A következőre vonatkozik: Azure SQL DatabaseFelügyelt Azure SQL-példány

A Microsoft Entra ID (korábbi nevén Azure Active Directory) támogatja a felhasználók létrehozását az Azure SQL Database-ben (SQL DB) a Microsoft Entra-alkalmazások (szolgáltatásnevek) nevében. Ez az Azure SQL Database és a felügyelt Azure SQL-példány esetében támogatott.

Szolgáltatásnév (Microsoft Entra-alkalmazások) támogatása

Ez a cikk olyan alkalmazásokra vonatkozik, amelyek integrálva vannak a Microsoft Entra-azonosítóval, és a Microsoft Entra-regisztráció részét képezik. Ezek az alkalmazások gyakran igényelnek hitelesítést és engedélyezési hozzáférést az Azure SQL-hez a különböző feladatok elvégzéséhez. Ez a funkció lehetővé teszi, hogy a szolgáltatásnevek Microsoft Entra-felhasználókat hozzanak létre az SQL Database-ben.

Ha egy Microsoft Entra-alkalmazás regisztrálva van az Azure Portalon vagy a PowerShell-paranccsal, két objektum jön létre a Microsoft Entra-bérlőben:

• Alkalmazásobjektum
• Egyszerű szolgáltatásobjektum

További információ a Microsoft Entra-alkalmazásokról: Alkalmazás- és szolgáltatásnév-objektumok a Microsoft Entra-azonosítóban , valamint Azure-szolgáltatásnév létrehozása az Azure PowerShell-lel.

Az SQL Database és a felügyelt SQL-példány a következő Microsoft Entra-objektumokat támogatja:

• Microsoft Entra-felhasználók (felügyelt, összevont és vendég)
• Microsoft Entra-csoportok (felügyelt és összevont)
• Microsoft Entra-alkalmazások

A Microsoft Entra felhasználói, csoportjai és alkalmazásai a T-SQL paranccsal CREATE USER [Azure_AD_Object] FROM EXTERNAL PROVIDERhozhatók létre egy adatbázisban.

A Microsoft Entra felhasználólétrehozásának funkciói szolgáltatásnevek használatával

Ennek a funkciónak a támogatása olyan Microsoft Entra-alkalmazásautomatizálási folyamatokban hasznos, amelyekben a Microsoft Entra-objektumok emberi beavatkozás nélkül jönnek létre és kezelhetők az SQL Database-ben. A szolgáltatásnevek lehetnek Microsoft Entra-rendszergazdák az SQL logikai kiszolgálóhoz egy csoport vagy egy egyéni felhasználó részeként. Az alkalmazás automatizálhatja a Microsoft Entra-objektumok létrehozását az SQL Database-ben rendszergazdai végrehajtáskor, és nem igényel további SQL-jogosultságokat. Ez lehetővé teszi az adatbázis-felhasználók létrehozásának teljes automatizálását. Ez a funkció támogatja a Microsoft Entra rendszer által hozzárendelt felügyelt identitását és a felhasználó által hozzárendelt felügyelt identitást is, amely a szolgáltatásnevek nevében létrehozható felhasználókként az SQL Database-ben. További információ: Mik az Azure-erőforrások felügyelt identitásai?

Szolgáltatásnevek engedélyezése Microsoft Entra-felhasználók létrehozásához

Ha engedélyezni szeretné a Microsoft Entra-objektumok létrehozását az SQL Database-ben egy Microsoft Entra-alkalmazás nevében, a következő beállításokra van szükség:

1. Rendelje hozzá a kiszolgálóidentitást. A hozzárendelt kiszolgálóidentitás a felügyeltszolgáltatás-identitást (MSI) jelöli. A kiszolgálóidentitás lehet rendszer által hozzárendelt vagy felhasználó által hozzárendelt felügyelt identitás. További információ: Felhasználó által hozzárendelt felügyelt identitás az Azure SQL-hez készült Microsoft Entra ID-ban.

   • Új Azure SQL logikai kiszolgáló esetén hajtsa végre a következő PowerShell-parancsot:

   New-AzSqlServer -ResourceGroupName <resource group> -Location <Location name> -ServerName <Server name> -ServerVersion "12.0" -SqlAdministratorCredentials (Get-Credential) -AssignIdentity
   

   További információt a Felügyelt SQL-példány New-AzSqlServer vagy New-AzSqlInstance parancsában talál.

   • Meglévő Azure SQL Logikai kiszolgálók esetén hajtsa végre a következő parancsot:

   Set-AzSqlServer -ResourceGroupName <resource group> -ServerName <Server name> -AssignIdentity
   

   További információ: Set-AzSqlServer parancs vagy Set-AzSqlInstance parancs felügyelt SQL-példányhoz.

   • Annak ellenőrzéséhez, hogy a kiszolgálóidentitás hozzá van-e rendelve a kiszolgálóhoz, hajtsa végre a Get-AzSqlServer parancsot.

   Feljegyzés

   A kiszolgálóidentitás REST API- és CLI-parancsokkal is hozzárendelhető. További információ: az sql server create, az sql server update és Servers – REST API.

2. Adjon engedélyt a Microsoft Entra ID Directory-olvasóinak a kiszolgálóhoz létrehozott vagy hozzárendelt kiszolgálóidentitásra.

   • Az engedély megadásához kövesse a felügyelt SQL-példányhoz használt leírást, amely a következő cikkben érhető el: Microsoft Entra-rendszergazda kiépítése (felügyelt SQL-példány)
   • Az engedélyt megadó Microsoft Entra-felhasználónak a Microsoft Entra ID Global Rendszergazda istrator vagy Privileged Roles Rendszergazda istrator szerepkör részét kell képeznie.
   • Az Azure Synapse-munkaterület dedikált SQL-készleteihez használja a munkaterület felügyelt identitását az Azure SQL Server-identitás helyett.

Fontos

Az Azure SQL Microsoft Graph-támogatásával a Címtárolvasók szerepkör alacsonyabb szintű engedélyekkel helyettesíthető. További információ: Felhasználó által hozzárendelt felügyelt identitás az Azure SQL-hez készült Microsoft Entra-azonosítóban

Az 1. és a 2. lépést a fenti sorrendben kell végrehajtani. Először hozza létre vagy rendelje hozzá a kiszolgálóidentitást, majd adja meg a címtár-olvasók engedélyét, vagy az Azure SQL-hez készült Microsoft Entra-azonosítóban a felhasználó által hozzárendelt felügyelt identitásban tárgyalt alacsonyabb szintű engedélyeket. Ha kihagyja az egyik lépést, vagy mindkettő végrehajtási hibát okoz a Microsoft Entra objektum létrehozása során az Azure SQL-ben egy Microsoft Entra-alkalmazás nevében.

A Címtárolvasók szerepkört hozzárendelheti egy csoporthoz a Microsoft Entra-azonosítóban. A csoporttulajdonosok ezután hozzáadhatják a felügyelt identitást ennek a csoportnak a tagjaként, ami megkerülné, hogy globális Rendszergazda istrator vagy kiemelt szerepkörök Rendszergazda istrator szükséges a címtár-olvasók szerepkör biztosításához. A szolgáltatásról további információt az Azure SQL-hez készült Microsoft Entra ID címtárolvasói szerepkörében talál.

Hibaelhárítás és korlátozások

• Amikor Microsoft Entra-objektumokat hoz létre az Azure SQL-ben egy Microsoft Entra-alkalmazás nevében a kiszolgálóidentitás engedélyezése és a címtárolvasók engedélyének megadása nélkül, vagy az Azure SQL-hez készült Microsoft Entra-azonosítóban a felhasználó által hozzárendelt felügyelt identitásban tárgyalt alacsonyabb szintű engedélyek nélkül, a művelet a következő lehetséges hibákkal meghiúsul. Az alábbi példahiba egy Sql Database-felhasználó sql-adatbázis-felhasználó myapp létrehozására szolgáló PowerShell-parancs végrehajtásakor jelenik meg a következő oktatóanyagban : Microsoft Entra-felhasználók létrehozása Microsoft Entra-alkalmazásokkal.
  • Exception calling "ExecuteNonQuery" with "0" argument(s): "'myapp' is not a valid login or you do not have permission. Cannot find the user 'myapp', because it does not exist, or you do not have permission."
  • Exception calling "ExecuteNonQuery" with "0" argument(s): "Principal 'myapp' could not be resolved. Error message: 'Server identity is not configured. Please follow the steps in "Assign a Microsoft Entra identity to your server and add Directory Reader permission to your identity" (https://aka.ms/sqlaadsetup)'"
  • Ebben a hibában kövesse az identitás logikai kiszolgálóhoz való hozzárendeléséhez és a címtárolvasók engedélyének hozzárendeléséhez szükséges lépéseket a logikai kiszolgáló identitásához.
  • A szolgáltatásnév (Microsoft Entra-alkalmazás) SQL Database-rendszergazdaként való beállítása az Azure Portal, a PowerShell, a REST API és a CLI parancsokkal támogatott.
• Ha egy Másik Microsoft Entra-bérlő szolgáltatásnevével rendelkező Microsoft Entra-alkalmazást használ, az sql-adatbázis vagy egy másik bérlőben létrehozott felügyelt SQL-példány elérése sikertelen lesz. Az alkalmazáshoz rendelt szolgáltatásnévnek ugyanabból a bérlőből kell származnia, mint az SQL logikai kiszolgáló vagy a felügyelt SQL-példány.
• Az.Sql 2.9.0-s vagy újabb modulra akkor van szükség, ha a PowerShell használatával beállít egy egyéni Microsoft Entra-alkalmazást Az Azure SQL Microsoft Entra-rendszergazdájaként. Győződjön meg arról, hogy a legújabb modulra frissít.

Következő lépések

Oktatóanyag: Microsoft Entra-felhasználók létrehozása Microsoft Entra-alkalmazásokkal