Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Tip
Microsoft Fabric Data Warehouse egy nagyvállalati szintű relációs raktár egy Data Lake-alaprendszeren, jövőre kész architektúrával, beépített AI-vel és új funkciókkal. Ha még nem ismerkedik adattárházzal, kezdje a Fabric Data Warehouse. A meglévő dedikált SQL-készlet számítási feladatai frissíthetők Fabric az adatelemzés, a valós idejű elemzés és a jelentéskészítés új képességeinek eléréséhez.
A Synapse SQL támogatja az SQL Server Management Studióból (SSMS) származó kapcsolatokat az Active Directory univerzális hitelesítéssel.
Ez a cikk a különböző hitelesítési lehetőségek közötti különbségeket, valamint az univerzális hitelesítés használatával kapcsolatos korlátozásokat ismerteti.
Töltse le a legújabb SSMS-t – Az ügyfélszámítógépen töltse le az SSMS legújabb verzióját az SQL Server Management Studio (SSMS) letöltéséből.
A cikkben tárgyalt összes funkcióhoz használja legalább 2017 júliusában a 17.2-es verziót. A legutóbbi kapcsolat párbeszédpanelnek az alábbi képhez hasonlóan kell kinéznie:
Az öt hitelesítési lehetőség
Az Active Directory univerzális hitelesítése támogatja a két nem interaktív hitelesítési módszert: - Active Directory - Password hitelesítés - Active Directory - Integrated hitelesítés
Két nem interaktív hitelesítési modell is létezik, amelyek számos különböző alkalmazásban (ADO.NET, JDBC, ODC stb.) használhatók. Ez a két módszer soha nem eredményez előugró párbeszédpaneleket:
Active Directory - PasswordActive Directory - Integrated
Az interaktív módszer a Microsoft Entra többtényezős hitelesítést (MFA) is támogatja:
Active Directory - Universal with MFA
A Microsoft Entra többtényezős hitelesítés segít megvédeni az adatokhoz és alkalmazásokhoz való hozzáférést, miközben kielégíti a felhasználói igényeket egy egyszerű bejelentkezési folyamathoz. Erős hitelesítést biztosít számos egyszerű ellenőrzési lehetőséggel (telefonhívás, szöveges üzenet, intelligens kártya pin-kóddal vagy mobilalkalmazás-értesítéssel), így a felhasználók kiválaszthatják a kívánt módszert. Az interaktív MFA a Microsoft Entra ID-vel egy felugró párbeszédpanelt eredményezhet az érvényesítéshez.
A többtényezős hitelesítés leírását lásd: többtényezős hitelesítés.
Microsoft Entra tartománynév vagy bérlőazonosító paraméter
Az SSMS 17-es verziójától kezdődően a többi Azure Active Directoryból vendégfelhasználóként az aktuális Active Directoryba importált felhasználók megadhatják a Microsoft Entra tartománynevet vagy bérlőazonosítót, amikor csatlakoznak.
A vendégfelhasználók közé tartoznak a más Azure AD-ekből, Microsoft-fiókokból, például outlook.com, hotmail.com, live.com vagy más fiókokból, például gmail.com meghívott felhasználók. Ez az információ lehetővé teszi, hogy az Active Directory univerzális és MFA-hitelesítéssel azonosítsa a megfelelő hitelesítésszolgáltatót. Ez a lehetőség a Microsoft-fiókok (MSA), például outlook.com, hotmail.com, live.com vagy nem MSA-fiókok támogatásához is szükséges.
Az univerzális hitelesítéssel hitelesíteni kívánt összes felhasználónak meg kell adnia a Microsoft Entra tartománynevét vagy bérlőazonosítóját. Ez a paraméter azt a Microsoft Entra-tartománynevet/bérlőazonosítót jelöli, amelyhez az Azure Server kapcsolódik.
Ha például az Azure Server a Microsoft Entra tartományhoz contosotest.onmicrosoft.com van társítva, ahol a felhasználó joe@contosodev.onmicrosoft.com a Microsoft Entra tartományból contosodev.onmicrosoft.com importált felhasználóként van üzemeltetve, akkor a felhasználó hitelesítéséhez szükséges tartománynév a contosotest.onmicrosoft.com.
Ha a felhasználó az Azure Serverhez társított Microsoft Entra-azonosító natív felhasználója, és nem MSA-fiók, nincs szükség tartománynévre vagy bérlőazonosítóra.
A paraméter megadásához (az SSMS 17.2-es verziójától kezdve) a Csatlakozás az adatbázishoz párbeszédpanelen töltse ki a párbeszédpanelt, válassza az Active Directory – Univerzális MFA-hitelesítést , válassza a Beállítások lehetőséget, töltse ki a Felhasználónév mezőt, majd válassza a Kapcsolat tulajdonságai lapot.
Jelölje be az AD-tartománynevet vagy a bérlőazonosítót , és adjon meg hitelesítésszolgáltatót, például a tartománynevet (contosotest.onmicrosoft.com) vagy a bérlőazonosító GUID azonosítóját.
Ha SSMS 18.x vagy újabb rendszert futtat, akkor az AD-tartománynévre vagy bérlőazonosítóra már nincs szükség a vendégfelhasználók számára, mert a 18.x vagy újabb verzió automatikusan felismeri azt.
Microsoft Entra vállalatközi támogatás
A Microsoft Entra B2B-forgatókönyvekhez vendégfelhasználóként támogatott Microsoft Entra-felhasználók (lásd Mi az Azure B2B együttműködés) csak az aktuális Microsoft Entra-azonosítóban létrehozott csoport tagjaiként csatlakozhatnak a Synapse SQL-hez, és manuálisan vannak leképezve a Transact-SQL CREATE USER utasítással egy adott adatbázisban.
Ha például steve@gmail.com meghívást kap az Azure AD-be contosotest (a Microsoft Entra tartománnyal contosotest.onmicrosoft.com), akkor létre kell hozni egy Microsoft Entra-csoportot a Microsoft Entra-azonosítóban, amely például a usergroup nevű tagot, steve@gmail.com tartalmazza. Ezt a csoportot ezután létre kell hoznia egy adott adatbázishoz (azaz MyDatabase- hez) a Microsoft Entra SQL rendszergazdája vagy a Microsoft Entra DBO egy Transact-SQL-utasítás CREATE USER [usergroup] FROM EXTERNAL PROVIDER végrehajtásával.
Az adatbázis-felhasználó létrehozása után a felhasználó steve@gmail.com bejelentkezhet MyDatabase az SSMS hitelesítési lehetőséggel Active Directory – Universal with MFA support.
A felhasználói csoport alapértelmezés szerint csak a kapcsolódási engedéllyel rendelkezik, és minden további adathozzáférést, amelyet a szokásos módon kell megadni.
Vendégfelhasználóként be kell jelölnie a jelölőnégyzetet, steve@gmail.com és hozzá kell adnia az AD-tartománynevet contosotest.onmicrosoft.com az SSMS Kapcsolat tulajdonság párbeszédpanelen. Az AD-tartománynév vagy a bérlőazonosító beállítás csak az Univerzális és az MFA kapcsolati beállítások esetében támogatott, ellenkező esetben a rendszer szürkével jelöli ki.
A Synapse SQL univerzális hitelesítési korlátozásai
- Az SSMS és a SqlPackage.exe az egyetlen eszköz, amely jelenleg engedélyezve van az MFA-hoz az Active Directory univerzális hitelesítésén keresztül.
- Az SSMS 17.2-es verziója támogatja a többfelhasználós egyidejű hozzáférést az univerzális hitelesítés és az MFA használatával. A 17.0-s és a 17.1-es verzió egyetlen Microsoft Entra-fiókra korlátozta az SSMS egy példányának bejelentkezését univerzális hitelesítéssel. Ha másik Microsoft Entra-fiókként szeretne bejelentkezni, az SSMS egy másik példányát kell használnia. (Ez a korlátozás az Active Directory univerzális hitelesítésére korlátozódik; az Active Directory jelszóhitelesítés, az Active Directory integrált hitelesítés vagy az SQL Server-hitelesítés használatával bejelentkezhet a különböző kiszolgálókra).
- Az SSMS támogatja az Active Directory univerzális hitelesítést az Object Explorerhez, a Lekérdezésszerkesztő és a Lekérdezéstár vizualizációhoz.
- Az SSMS 17.2-es verziója támogatja a DacFx varázslót az adatadatbázis exportálásához/kinyeréséhez/üzembe helyezéséhez. Ha egy adott felhasználó hitelesítése az univerzális hitelesítést használó kezdeti hitelesítési párbeszédpanelen történik, a DacFx varázsló ugyanúgy működik, mint az összes többi hitelesítési módszer esetében.
- Az SSMS Table Designer nem támogatja az univerzális hitelesítést.
- Az Active Directory univerzális hitelesítésre nincs további szoftverkövetelmény, kivéve, hogy az SSMS támogatott verzióját kell használnia.
- Az univerzális hitelesítés Active Directory Authentication Library (ADAL) verziója frissült a legújabb ADAL.dll 3.13.9-es kiadású kiadásra. Lásd: Active Directory Authentication Library 3.14.1.
Következő lépések
További információ: Csatlakozás a Synapse SQL-hez az SQL Server Management Studio használatával című cikk.