Csatlakozás Az Azure SQL-erőforráshoz Microsoft Entra-hitelesítéssel

A következőkre vonatkozik:Azure SQL DatabaseAzure SQL Managed InstanceAzure Synapse Analytics

Ez a cikk bemutatja, hogyan csatlakozhat a Microsoft Entra-hitelesítéssel az Azure SQL Database-hez, az Azure SQL Managed Instance-hez és az Azure Synapse Analyticshez.

Előfeltételek

Az Azure SQL-erőforráshoz való csatlakozáshoz konfigurálnia kell a Microsoft Entra-hitelesítést az erőforráshoz.

A Microsoft Entra-rendszergazda megfelelő beállításának ellenőrzéséhez csatlakozzon az master adatbázishoz a Microsoft Entra rendszergazdai fiókjával. Microsoft Entra alapú, saját keretek között működő adatbázis-felhasználó létrehozásához csatlakozzon az adatbázishoz egy Microsoft Entra-identitással, amely hozzáféréssel rendelkezik az adatbázishoz, és legalább a ALTER ANY USER jogosultsággal.

Csatlakozás SSMS-sel vagy SSDT-vel

Az alábbi eljárások bemutatják, hogyan csatlakozhat az SQL Database-hez Microsoft Entra-identitással az SQL Server Management Studio (SSMS) vagy az SQL Server Database Tools (SSDT) használatával.

Microsoft Entra Integrated

Ezt a módszert akkor használja, ha a Microsoft Entra-azonosítóba összevont Windows-hitelesítő adataival szeretne bejelentkezni. További információ: Microsoft Entra közvetlen egyszeri bejelentkezés.

1. Indítsa el az SSMS-t vagy az SSDT-t, majd a Csatlakozás a kiszolgálóhoz (vagy Csatlakozás adatbázismotorhoz) párbeszédpanel Bejelentkezési lapján:

   1. Adja meg a kiszolgáló nevét a formátumban <server-name>.database.windows.net.
   2. Hitelesítéshez válassza az Integrált Microsoft Entra lehetőséget. Nem kell jelszót megadnia, mert a meglévő hitelesítő adatai megjelennek a kapcsolathoz.
   3. Titkosításhoz válassza a Szigorú (SQL Server 2022 és Azure SQL) lehetőséget, amelyet az Azure SQL-erőforrásokhoz való csatlakozáshoz kell használni.

   

2. A Kapcsolat tulajdonságai lap Csatlakozás adatbázishoz mezőjébe írja be annak a felhasználói adatbázisnak a nevét, amelyhez csatlakozni szeretne.

   

Microsoft Entra jelszó

Ezt a módszert akkor használhatja, ha Microsoft Entra főnévvel csatlakozik a Microsoft Entra által felügyelt tartományt használva. Összevont fiókokhoz is használhatja a tartományhoz való hozzáférés nélkül, ha például távolról dolgozik.

Ezzel a módszerrel az SQL Database-ben vagy az SQL Managed Instance-ben hitelesítheti magát a csak felhőalapú Microsoft Entra felhasználók, illetve a Microsoft Entra hibrid identitásokat használó felhasználók számára. Ez a módszer támogatja azokat a felhasználókat, akik a Windows-hitelesítő adataikat szeretnék használni, de a helyi gépük nincs csatlakoztatva a tartományhoz (például táveléréssel). Ebben az esetben a Windows-felhasználók jelezhetik a tartományfiókjukat és a jelszavukat, és hitelesíthetik magukat az adatbázisba az SQL Database-ben, a felügyelt SQL-példányban vagy az Azure Synapse-ban.

1. Indítsa el az SSMS-t vagy az SSDT-t, majd a Csatlakozás a kiszolgálóhoz (vagy Csatlakozás adatbázismotorhoz) párbeszédpanel Bejelentkezési lapján:

   1. Adja meg a kiszolgáló nevét a formátumban <server-name>.database.windows.net.
   2. Hitelesítéshez válassza a Microsoft Entra-jelszót.
   3. A Felhasználónév mezőbe írja be a Microsoft Entra felhasználónevet a formátumba username@domain.com. A felhasználóneveknek Microsoft Entra-azonosítóból származó fióknak vagy felügyelt vagy összevont tartományból származó fióknak kell lenniük Microsoft Entra-azonosítóval.
   4. A Jelszó mezőbe írja be a Microsoft Entra-fiókhoz vagy a felügyelt/összevont tartományi fiókhoz tartozó felhasználói jelszót.
   5. Titkosításhoz válassza a Szigorú (SQL Server 2022 és Azure SQL) lehetőséget, amelyet az Azure SQL-erőforrásokhoz való csatlakozáshoz kell használni.

   

2. A Kapcsolat tulajdonságai lap Csatlakozás adatbázishoz mezőjébe írja be annak a felhasználói adatbázisnak a nevét, amelyhez csatlakozni szeretne.

   

Microsoft Entra MFA (többfaktoros hitelesítés)

Ez a módszer többtényezős hitelesítéssel (MFA) történő interaktív hitelesítéshez használható, és a jelszó interaktívan kérhető. Ez a módszer használható az SQL Database, a felügyelt SQL-példány és az Azure Synapse Analytics adatbázisainak hitelesítésére a csak felhőalapú Microsoft Entra-identitásfelhasználók vagy a Microsoft Entra hibrid identitásokat használó felhasználók számára.

Az alábbi lépések bemutatják, hogyan csatlakozhat többtényezős hitelesítéssel az SSMS legújabb verziójában.

1. Az MFA használatával való csatlakozáshoz az SSMS Csatlakozás a kiszolgálóhoz párbeszédpanelen válassza a Microsoft Entra MFA lehetőséget.

   

2. Töltse ki a Kiszolgálónév mezőt a kiszolgáló nevével. Töltse ki a Felhasználónév mezőt a Microsoft Entra hitelesítő adataival.user_name@domain.com

   

3. Válassza a Csatlakozás lehetőséget.

4. Amikor megjelenik a fiókba való bejelentkezés párbeszédpanel, azt a 2. lépésben megadott felhasználónévvel kell előre kitölteni. Nincs szükség jelszóra, ha egy felhasználó egy Microsoft Entra-azonosítóval összevont tartomány része.

   

5. A rendszer kérni fogja a hitelesítést az MFA-rendszergazdai beállítás alapján konfigurált módszerek egyikével.

6. Ha az ellenőrzés befejeződött, az SSMS normál módon csatlakozik, és érvényes hitelesítő adatokat és tűzfal-hozzáférést feltételez.

Microsoft Entra szolgáltatásnév

Ezzel a módszerrel hitelesítheti az adatbázist az SQL Database-ben vagy felügyelt SQL-példányban a Microsoft Entra szolgáltatásnévvel (Microsoft Entra-alkalmazások). További információért tekintse meg a Microsoft Entra szolgáltatási objektumokat az Azure SQL-lel.

Microsoft Entra Managed Identity

Ezzel a módszerrel hitelesítheti az adatbázist az SQL Database-ben vagy felügyelt SQL-példányban a Microsoft Entra által felügyelt identitásokkal. További információ: Felügyelt identitások az Azure SQL számára a Microsoft Entra alatt.

Microsoft Entra alapértelmezett

A Microsoft Entra ID alapértelmezett hitelesítési lehetősége lehetővé teszi a jelszó nélküli és nem interaktív mechanizmusokon keresztül végrehajtott hitelesítést, beleértve a felügyelt identitásokat is.

Csatlakozás ügyfélalkalmazásból

Az alábbi eljárások bemutatják, hogyan csatlakozhat egy SQL Database-hez egy Microsoft Entra-identitással egy ügyfélalkalmazásból. Ez nem a hitelesítési módszerek átfogó listája a Microsoft Entra-identitások használatakor. További információ: Csatlakozás az Azure SQL-hez a Microsoft Entra-hitelesítéssel és az SqlClient használatával.

Ügyfélalkalmazások konfigurálása

Megjegyzés:

A System.Data.SqlClient az elavult Azure Active Directory Authentication Libraryt (ADAL) használja. Ha a System.Data.SqlClient névteret használja a Microsoft Entra-hitelesítéshez, migrálja az alkalmazásokat a Microsoft.Data.SqlClientbe és a Microsoft Authentication Librarybe (MSAL). A .NET-ben elérhető kapcsolati módszerek megismeréséhez lásd: Csatlakozás az Azure SQL-hez Microsoft Entra-hitelesítéssel és SqlClient használatával.

Ha továbbra is ADAL.DLL kell használnia az alkalmazásokban, az ebben a szakaszban található hivatkozásokkal telepítheti a legújabb ODBC- vagy OLE DB-illesztőt, amely a legújabb ADAL.DLL könyvtárat tartalmazza.

Minden olyan ügyfélszámítógépen, amelyről az alkalmazások vagy a felhasználók az SQL Database-hez vagy az Azure Synapse Analyticshez csatlakoznak Microsoft Entra-identitásokkal, telepítenie kell a következő szoftvert:

• .NET-keretrendszer 4.6-os vagy újabb verziója.
• Microsoft Authentication Library (MSAL) vagy Microsoft Authentication Library for SQL Server (ADAL.DLL). Az ADAL.DLL könyvtárat tartalmazó legújabb SSMS-, ODBC- és OLE DB-illesztőprogram telepítésére mutató hivatkozások itt érhetők el:
  • SQL Server Management Studio
  • ODBC Driver 17 for SQL Server
  • OLE DB Driver 18 az SQL Serverhez

Az alábbi követelményeknek a következők szerint felelhet meg:

• Az SQL Server Management Studio vagy az SQL Server Data Tools legújabb verziójának telepítése a .NET-keretrendszer 4.6-os követelményének megfelelően.
  • Az SSMS telepíti a ADAL.DLL x86-os verzióját.
  • Az SSDT telepíti a ADAL.DLL amd64-es verzióját.
  • A Visual Studio legújabb letöltései megfelelnek a .NET-keretrendszer 4.6-os követelményének, de nem telepíti a ADAL.DLL szükséges amd64-verzióját.

Microsoft Entra integrált hitelesítés

Az integrált Windows-hitelesítés használatához a tartomány Active Directoryját össze kell vonni a Microsoft Entra-azonosítóval, vagy olyan felügyelt tartománynak kell lennie, amely közvetlen egyszeri bejelentkezésre van konfigurálva az átmenő vagy jelszókivonatos hitelesítéshez. További információ: Microsoft Entra közvetlen egyszeri bejelentkezés.

Az adatbázishoz csatlakozó ügyfélalkalmazásnak (vagy szolgáltatásnak) tartományhoz csatlakoztatott gépen kell futnia a felhasználó tartományi hitelesítő adatai alatt.

Ha integrált hitelesítéssel és Microsoft Entra-identitással szeretne csatlakozni egy adatbázishoz, az Authentication adatbázis-kapcsolati sztringben szereplő kulcsszónak a következőre kell állítania Active Directory Integrated: . Cserélje le <server_name> a logikai kiszolgáló nevét. Az alábbi C#-kódminta az ADO .NET-et használja.

string ConnectionString = @"Data Source=<server-name>.database.windows.net; Authentication=Active Directory Integrated; Initial Catalog=testdb;";
SqlConnection conn = new SqlConnection(ConnectionString);
conn.Open();

A kapcsolati sztring kulcsszó Integrated Security=True nem támogatott az Azure SQL Database-hez való csatlakozáshoz. ODBC-kapcsolat létrehozásakor el kell távolítania a szóközöket, és be kell állítania a hitelesítést ActiveDirectoryIntegrated.

Microsoft Entra jelszóhitelesítés

Ha csak felhőalapú Microsoft Entra identitásfelhasználói fiókokkal vagy hibrid Microsoft Entra-identitásokat használó felhasználókkal szeretne csatlakozni egy adatbázishoz, a hitelesítési kulcsszót Active Directory Passwordbe kell állítani. A kapcsolati sztringnek tartalmaznia kell a felhasználói azonosítót/UID és a jelszót/PWD-kulcsszavakat és értékeket. Cserélje le <server_name>, <email_address>, és <password> a megfelelő értékekre. Az alábbi C#-kódminta az ADO .NET-et használja.

string ConnectionString =
@"Data Source=<server-name>.database.windows.net; Authentication=Active Directory Password; Initial Catalog=testdb; UID=<email_address>; PWD=<password>";
SqlConnection conn = new SqlConnection(ConnectionString);
conn.Open();

További információ a Microsoft Entra hitelesítési módszereiről a Microsoft Entra-hitelesítés GitHub Demo-n elérhető demókódminták használatával.

Microsoft Entra ID hozzáférési jogkivonat

Ez a hitelesítési módszer lehetővé teszi a középső rétegbeli szolgáltatások számára, hogy JSON webes jogkivonatokat (JWT) szerezzenek be az SQL Database, a felügyelt SQL-példány vagy az Azure Synapse adatbázisához való csatlakozáshoz a Microsoft Entra ID-ból való jogkivonat beszerzésével. Ez a módszer lehetővé teszi a különböző alkalmazásforgatókönyveket, például a szolgáltatásidentitásokat, a szolgáltatásneveket és a tanúsítványalapú hitelesítést használó alkalmazásokat. A Microsoft Entra-jogkivonat-hitelesítés használatához négy alapvető lépést kell elvégeznie:

1. Regisztrálja az alkalmazását a Microsoft Entra ID rendszerben, és szerezze meg a kód ügyfélazonosítóját.
2. Hozzon létre egy adatbázis-felhasználót az alkalmazás képviseletében (a Microsoft Entra-identitásokra leképezett kontenerelt felhasználók létrehozása szakaszban leírtak szerint).
3. Hozzon létre egy tanúsítványt az alkalmazást futtató ügyfélszámítógépen.
4. Adja hozzá a tanúsítványt az alkalmazás kulcsaként.

Minta kapcsolati string. Cserélje le <server-name> a logikai kiszolgáló nevét:

string ConnectionString = @"Data Source=<server-name>.database.windows.net; Initial Catalog=testdb;";
SqlConnection conn = new SqlConnection(ConnectionString);
conn.AccessToken = "Your JWT token";
conn.Open();

További információ: SQL Server Security Blog. A tanúsítvány hozzáadásáról további információt a Tanúsítványalapú hitelesítés használatának első lépései a Microsoft Entra ID-ban című témakörben talál.

Microsoft Entra többtényezős hitelesítés

A Microsoft Entra többtényezős hitelesítés minden SQL-eszköz esetében támogatott hitelesítési módszer. A Microsoft Entra-azonosítóval való programozott hitelesítésről a Microsoft Authentication Library (MSAL) áttekintésében olvashat.

sqlcmd

Az alábbi utasítások az sqlcmd 13.1-es verziójával csatlakoznak. Töltse le az SQL Serverhez készült Microsoft Parancssori segédprogramcsomag 14.0-s verzióját.

Megjegyzés:

sqlcmd a -G parancs nem működik a rendszeridentitásokkal, és felhasználói főszerepkörű bejelentkezést igényel.

sqlcmd -S <database or datawarehouse name>.<server-name>.database.windows.net -G
sqlcmd -S <database or datawarehouse name>.<server-name>.database.windows.net -U adrian@contoso.com -P <password> -G -l 30

Csatlakozás az Azure Portal Lekérdezésszerkesztőjében (Azure SQL Database)

Az Azure SQL Database Azure Portal Lekérdezésszerkesztőjével kapcsolatos további információkért tekintse meg a rövid útmutatót: Az Azure Portal lekérdezésszerkesztőjének használata az Azure SQL Database lekérdezéséhez.

1. Lépjen be az SQL-adatbázisra az Azure portálján. Látogasson el például az Azure SQL Hub oldalára, és válassza ki az Azure SQL Database-t.

2. Az SQL Database Áttekintés lapján az Azure Portalon válassza a Lekérdezésszerkesztő lehetőséget az erőforrás menüjében.

3. Az SQL Database Lekérdezésszerkesztő üdvözli a bejelentkezési képernyőn válassza a Folytatás elemet felhasználóként vagy csoportazonosítóként<>.

Kapcsolódó tartalom

• Adatbázis-hozzáférés engedélyezése az SQL Database-hez, a felügyelt SQL-példányhoz és az Azure Synapse Analyticshez
• tagok
• Adatbázis-szerepkörök
• Azure SQL Database és az Azure Synapse IP-tűzfalszabályok
• Microsoft Entra-vendégfelhasználók létrehozása és beállítása Microsoft Entra-rendszergazdaként
• Oktatóanyag: Microsoft Entra-felhasználók létrehozása Microsoft Entra-alkalmazásokkal