Megosztás a következőn keresztül:

Microsoft Entra-kiszolgálónevek

  • Cikk

A következőre vonatkozik: Azure SQL DatabaseAzure SQL Managed InstanceAzure Synapse Analytics (csak dedikált SQL-készletek)

Mostantól létrehozhat és használhat kiszolgálóneveket a Microsoft Entra-azonosítóból (korábbi nevén Azure Active Directory), amelyek egy SQL Database virtuális master adatbázisába való bejelentkezések. Az SQL Database-hez a Microsoft Entra-kiszolgálónevek használatának számos előnye van:

  • Az Azure SQL Database-kiszolgálói szerepkörök támogatása engedélykezeléshez.
  • Több Microsoft Entra-felhasználó támogatása speciális szerepkörökkel az SQL Database-hez, például a loginmanager szerepkörökhöz.dbmanager
  • Az SQL-bejelentkezések és a Microsoft Entra-bejelentkezések közötti funkcionális paritás.
  • A funkciófejlesztés támogatásának növelése, például a csak Microsoft Entra-hitelesítés használata. A microsoft entra-only hitelesítés lehetővé teszi az SQL-hitelesítés letiltására, beleértve az SQL Server rendszergazdáit, az SQL-bejelentkezéseket és a felhasználókat.
  • Lehetővé teszi, hogy a Microsoft Entra-tagok támogassák a georeplikákat. A Microsoft Entra-tagok csatlakozhatnak egy felhasználói adatbázis georeplikájához írásvédett és megtagadási engedélyekkel az elsődleges kiszolgálóhoz.
  • A Microsoft Entra szolgáltatásnév-bejelentkezések speciális szerepkörökkel történő használatával teljes mértékben automatizálhatja a felhasználók és adatbázisok létrehozását és karbantartását a Microsoft Entra-alkalmazásokkal.

További információ a Microsoft Entra-hitelesítésről az Azure SQL-ben: Microsoft Entra-hitelesítés használata.

Feljegyzés

A Microsoft Entra-kiszolgálónevek (bejelentkezések) jelenleg nyilvános előzetes verzióban érhetők el az Azure SQL Database és az Azure Synapse Analytics számára. A Microsoft Entra-bejelentkezések általánosan elérhetők a felügyelt Azure SQL-példányokhoz és az SQL Server 2022-hez.

Jogosultságok

A Microsoft Entra-bejelentkezések virtuális master adatbázisban való használatához vagy létrehozásához a következő engedélyek szükségesek.

  • Microsoft Entra rendszergazdai engedély vagy tagság a loginmanager kiszolgálói szerepkörben. Az első Microsoft Entra-bejelentkezést csak a Microsoft Entra rendszergazdája hozhatja létre.
  • A Microsoft Entra-azonosítónak az Azure SQL Database-hez használt címtáron belül kell lennie.

Alapértelmezés szerint az master adatbázisban újonnan létrehozott Microsoft Entra-bejelentkezések a VIEW ANY DATABA Standard kiadás engedélyt kapják.

Microsoft Entra-tagok szintaxisa

A Microsoft Entra-kiszolgáló- és adatbázisnevek létrehozásához és kezeléséhez használja az alábbi szintaxist.

Bejelentkezés létrehozása

Ez a szintaxis egy Microsoft Entra-identitáson alapuló kiszolgálószintű bejelentkezést hoz létre. Ezt a parancsot csak a Microsoft Entra rendszergazdája hajthatja végre a virtuális master adatbázisban.

CREATE LOGIN login_name
  { 
    FROM EXTERNAL PROVIDER [WITH OBJECT_ID = 'objectid'] 
    | WITH <option_list> [,..] 
  }

<option_list> ::=
    PASSWORD = { 'password' }
    [ , SID = sid ]

A login_name a Microsoft Entra-tagot adja meg, amely egy Microsoft Entra-felhasználó, -csoport vagy -alkalmazás.

További információ: CREATE LOGIN (Transact-SQL).

Felhasználó létrehozása bejelentkezésből

Az alábbi T-SQL szintaxis létrehoz egy adatbázisszintű Microsoft Entra-tagot, amely a virtuális master adatbázisban található Microsoft Entra-bejelentkezéshez van hozzárendelve. A Microsoft Entra-felhasználót tartalmazó adatbázis létrehozásának szintaxisához hasonlóan az egyetlen különbség a beállítás, nem FROM EXTERNAL PROVIDERpedig a beállításFROM LOGIN [login_name].

Microsoft Entra-felhasználó Microsoft Entra-bejelentkezésből való létrehozásához használja az alábbi szintaxist.

CREATE USER [user_name] FROM LOGIN [login_name]

A SID sys.database_principals oszlopával megkülönböztetheti a Microsoft Entra által tartalmazott adatbázis-felhasználót és a bejelentkezésből létrehozott Microsoft Entra-felhasználót. Egy tartalmazott adatbázis-felhasználó esetében a SID bináris sztring hossza 16. A bejelentkezési alapú felhasználók esetében a SID hossz 18, utótaggal AADE együtt.

Feljegyzés

A SID utótagjának hozzáfűzésével AADE azonosíthatjuk a Microsoft Entra-felhasználókat, hogy egy bejelentkezésből jönnek létre. Ez azonban azt is jelenti, hogy a bejelentkezés és a felhasználó(k) SID-jei nem egyeznek az és sys.database_principalsa közöttsys.server_principals. A felhasználó bejelentkezéshez való visszacsatolásához először el kell távolítani az AADE utótagot.

A bejelentkezési és a tárolt adatbázis-felhasználók közötti fogalmi különbség megértéséhez tekintse meg a tartalmazott adatbázis-felhasználókat.

További információ az összes létrehozási felhasználói szintaxisról: CREATE U Standard kiadás R (Transact-SQL).

Bejelentkezés letiltása vagy engedélyezése ALTER LOGIN használatával

Az ALTER LOGIN (Transact-SQL) DDL szintaxissal engedélyezheti vagy letilthatja a Microsoft Entra-bejelentkezést az Azure SQL Database-ben.

ALTER LOGIN [login_name] DISABLE

Ha a bejelentkezés le van tiltva, a kapcsolatok már nem használhatók a kiszolgálónév használatával. Emellett letiltja a bejelentkezésből létrehozott összes adatbázis-tagot (felhasználót) abban, hogy csatlakozni tudjon a saját adatbázisaihoz.

Feljegyzés

  • ALTER LOGIN login_name DISABLE nem érinti a tartalmazott adatbázis felhasználóit, mivel nincsenek bejelentkezésekhez társítva.

  • ALTER LOGIN login_name DISABLE A Microsoft Entra-csoportok nem támogatottak.

  • Az egyéni letiltott bejelentkezések nem tartoznak olyan felhasználóhoz, aki az adatbázisban létrehozott master bejelentkezési csoport része (például Egy Microsoft Entra felügyeleti csoport).

  • Ahhoz, hogy a DISABLEENABLE módosítások azonnal érvénybe léphessenek, a hitelesítési gyorsítótárat és a TokenAndPermUserStore gyorsítótárat a T-SQL-parancsokkal kell törölni.

    DBCC FLUSHAUTHCACHE
DBCC FREESYSTEMCACHE('TokenAndPermUserStore') WITH NO_INFOMSGS

Szerepkörök a Microsoft Entra-tagokhoz

Az SQL Database speciális szerepkörei hozzárendelhetők a Microsoft Entra-tagok virtuális adatbázisának felhasználóihoz, beleértve a master dbmanagert és a loginmanagert.

Az Azure SQL Database-kiszolgálói szerepkörök hozzárendelhetők a virtuális master adatbázisban lévő bejelentkezésekhez.

A szerepkörök megadásáról a Következő oktatóanyagban olvashat : Microsoft Entra-kiszolgálói bejelentkezések létrehozása és használata.

Korlátozások és megjegyzések

  • Az SQL Server rendszergazdája nem hozhat létre Microsoft Entra-bejelentkezéseket vagy felhasználókat egyetlen adatbázisban sem.
  • Egy SQL-rendszergazda vagy SQL-felhasználó nem tudja végrehajtani a következő Microsoft Entra-műveleteket:
    • CREATE LOGIN [bob@contoso.com] FROM EXTERNAL PROVIDER
    • CREATE USER [bob@contoso.com] FROM EXTERNAL PROVIDER
    • EXECUTE AS USER [bob@contoso.com]
    • ALTER AUTHORIZATION ON securable::name TO [bob@contoso.com]
  • A Microsoft Entra-kiszolgálónevek (bejelentkezések) megszemélyesítése nem támogatott az Azure SQL Database és az Azure Synapse Analytics esetében. A felügyelt SQL-példányok esetében támogatott :
  • A Microsoft Entra-bejelentkezések nem fedhetik egymást a Microsoft Entra rendszergazdájával. A Microsoft Entra rendszergazdája elsőbbséget élvez minden bejelentkezéssel szemben. Ha egy Microsoft Entra-fiók már rendelkezik hozzáféréssel a kiszolgálóhoz Microsoft Entra-rendszergazdaként, egyenként vagy egy csoport részeként, a fiókhoz létrehozott bejelentkezések semmilyen hatással nem lesznek. A bejelentkezés létrehozását azonban nem blokkolja a T-SQL. Miután a fiók hitelesítést végzett a kiszolgálón, a bejelentkezés a Microsoft Entra rendszergazdájának érvényes engedélyével fog rendelkezni, és nem egy újonnan létrehozott bejelentkezéssel.
  • Az adott Microsoft Entra bejelentkezési objektum engedélyeinek módosítása nem támogatott:
    • GRANT <PERMISSION> ON LOGIN :: <Microsoft Entra account> TO <Any other login>
  • Ha módosítja a Microsoft Entra-bejelentkezés engedélyeit, a módosítások alapértelmezés szerint csak akkor lépnek érvénybe, amikor a bejelentkezés legközelebb csatlakozik az Azure SQL Database-hez. A bejelentkezéssel meglévő nyitott kapcsolatokra nincs hatással. Az engedélymódosítások azonnali érvénybe léptetéséhez manuálisan törölheti a hitelesítést és a TokenAndPermUserStore-t a korábban ismertetett módon, letilthatja vagy engedélyezheti a bejelentkezést az ALTER LOGIN használatával. Ez a viselkedés akkor is érvényes, ha módosítja a kiszolgálói szerepkör tagságát az ALTER Standard kiadás RVER SZEREPKÖRrel.
  • Az SQL Server Management Studióban és az Azure Data Studióban master a felhasználó létrehozásához használt szkriptelési parancs nem ellenőrzi, hogy már van-e microsoft Entra-bejelentkezés ugyanazzal a névvel. Mindig létrehozza a T-SQL-t egy microsoft Entra-felhasználó által tartalmazott adatbázishoz.
  • Hiba akkor fordulhat elő, ha nem egyszerű megjelenítendő névvel rendelkező szolgáltatásnévből próbál bejelentkezni vagy felhasználót létrehozni. A hiba elhárításáról további információt a Microsoft Entra-bejelentkezések és a nemunique megjelenítési névvel rendelkező felhasználók című témakörben talál.

A Microsoft Entra csoportkiszolgáló fő korlátozásai

Az Azure SQL Database és az Azure Synapse Analytics nyilvános előzetes verziójában a Microsoft Entra-bejelentkezések ismert korlátozások:

  • Az Azure SQL Database-kiszolgálói szerepkörök nem támogatottak a Microsoft Entra-csoportok esetében.
  • Ha az SQL-rendszergazda Microsoft Entra-csoport, bizonyos korlátozások vonatkoznak arra az esetre, ha a csoport felhasználói csatlakoznak. A Microsoft Entra egyes felhasználói nem részei a sys.server_principals táblázatnak. Ennek különböző következményei vannak, beleértve a SUSER_SID visszahívásokat NULLis.
  • A Microsoft Entra-csoport bejelentkezési adatainak részét képező Microsoft Entra felhasználói bejelentkezések szintén nem jönnek létre implicit módon, ami azt jelenti, hogy nem rendelkeznek alapértelmezett sémával, és nem hajthatnak végre műveleteket, például CREATE SCHEMA addig, amíg létre nem jön egy bejelentkezés a Microsoft Entra-felhasználóhoz, vagy egy alapértelmezett séma van hozzárendelve a csoporthoz.
  • Az adatbázis tulajdonjogának módosítása egy Microsoft Entra-csoportra adatbázis-tulajdonosként nem támogatott.

    • ALTER AUTHORIZATION ON database::<mydb> TO [my_aad_group] hibaüzenettel meghiúsul:

      Msg 33181, Level 16, State 1, Line 4
The new owner cannot be Azure Active Directory group.

Következő lépések

Oktatóanyag: Microsoft Entra-kiszolgálói bejelentkezések létrehozása és használata