Többtényezős Microsoft Entra-hitelesítés használata Synapse SQL-lel (MFA SSMS-támogatás)
A Synapse SQL támogatja az SQL Server Management Studióból (SSMS) származó kapcsolatokat az Active Directory univerzális hitelesítéssel.
Ez a cikk a különböző hitelesítési lehetőségek közötti különbségeket, valamint az univerzális hitelesítés használatával kapcsolatos korlátozásokat ismerteti.
Töltse le a legújabb SSMS-t – Az ügyfélszámítógépen töltse le az SSMS legújabb verzióját az SQL Server Management Studio (SSMS) letöltéséből.
A cikkben tárgyalt összes funkcióhoz használja legalább 2017 júliusában a 17.2-es verziót. A legutóbbi kapcsolat párbeszédpanelnek az alábbi képhez hasonlóan kell kinéznie:
Az öt hitelesítési lehetőség
Az Active Directory univerzális hitelesítése támogatja a két nem interaktív hitelesítési módszert: - Active Directory - Password
hitelesítés - Active Directory - Integrated
hitelesítés
Két nem interaktív hitelesítési modell is létezik, amelyek számos különböző alkalmazásban (ADO.NET, JDCB, ODC stb.) használhatók. Ez a két módszer soha nem eredményez előugró párbeszédpaneleket:
Active Directory - Password
Active Directory - Integrated
Az interaktív módszer a Microsoft Entra többtényezős hitelesítést (MFA) is támogatja:
Active Directory - Universal with MFA
A Microsoft Entra többtényezős hitelesítés segít megvédeni az adatokhoz és alkalmazásokhoz való hozzáférést, miközben kielégíti a felhasználói igényeket egy egyszerű bejelentkezési folyamathoz. Erős hitelesítést biztosít számos egyszerű ellenőrzési lehetőséggel (telefonhívás, szöveges üzenet, intelligens kártya pin-kóddal vagy mobilalkalmazás-értesítéssel), így a felhasználók kiválaszthatják a kívánt módszert. Az interaktív MFA a Microsoft Entra ID-vel egy felugró párbeszédpanelt eredményezhet az érvényesítéshez.
A többtényezős hitelesítés leírását a többtényezős hitelesítéssel kapcsolatban talál.
Microsoft Entra tartománynév vagy bérlőazonosító paraméter
Az SSMS 17-es verziójától kezdődően a többi Azure Active Directoryból vendégfelhasználóként az aktuális Active Directoryba importált felhasználók megadhatják a Microsoft Entra tartománynevet vagy bérlőazonosítót, amikor csatlakoznak.
A vendégfelhasználók közé tartoznak a más Azure AD-ekből, Microsoft-fiókokból, például outlook.com, hotmail.com, live.com vagy más fiókokból, például gmail.com meghívott felhasználók. Ez az információ lehetővé teszi, hogy az Active Directory univerzális és MFA-hitelesítéssel azonosítsa a megfelelő hitelesítésszolgáltatót. Ez a lehetőség a Microsoft-fiókok (MSA), például outlook.com, hotmail.com, live.com vagy nem MSA-fiókok támogatásához is szükséges.
Az univerzális hitelesítéssel hitelesíteni kívánt összes felhasználónak meg kell adnia a Microsoft Entra tartománynevét vagy bérlőazonosítóját. Ez a paraméter azt a Microsoft Entra-tartománynevet/bérlőazonosítót jelöli, amelyhez az Azure Server kapcsolódik.
Ha például az Azure Server a Microsoft Entra tartományhoz contosotest.onmicrosoft.com
van társítva, ahol a felhasználó joe@contosodev.onmicrosoft.com
a Microsoft Entra tartományból contosodev.onmicrosoft.com
importált felhasználóként van üzemeltetve, a felhasználó hitelesítéséhez szükséges tartománynév.contosotest.onmicrosoft.com
Ha a felhasználó az Azure Serverhez társított Microsoft Entra-azonosító natív felhasználója, és nem MSA-fiók, nincs szükség tartománynévre vagy bérlőazonosítóra.
Ha meg szeretné adni a paramétert (az SSMS 17.2-es verziójától kezdve), a Csatlakozás adatbázisba párbeszédpanelen jelölje be az Active Directory – Univerzális MFA-hitelesítést, válassza a Beállítások lehetőséget, töltse ki a Felhasználónév mezőt, majd válassza a Csatlakozás ion Properties (Tulajdonságok) lapot.
Jelölje be az AD-tartománynevet vagy a bérlőazonosítót , és adjon meg hitelesítésszolgáltatót, például a tartománynevet (contosotest.onmicrosoft.com) vagy a bérlőazonosító GUID azonosítóját.
Ha SSMS 18.x vagy újabb rendszert futtat, akkor az AD-tartománynévre vagy bérlőazonosítóra már nincs szükség a vendégfelhasználók számára, mert a 18.x vagy újabb verzió automatikusan felismeri azt.
Microsoft Entra vállalati támogatás
A Microsoft Entra B2B-forgatókönyvekhez vendégfelhasználóként támogatott Microsoft Entra-felhasználók (lásd : Mi az Az Azure B2B együttműködés ? – A Synapse SQL-hez csak az aktuális Microsoft Entra-azonosítóban létrehozott csoport tagjaiként csatlakozhat, és manuálisan van leképezve a Transact-SQL CREATE USER
utasítással egy adott adatbázisban.
Ha például steve@gmail.com
meghívják az Azure AD-be contosotest
(a Microsoft Entra tartománnyal contosotest.onmicrosoft.com
), akkor egy Microsoft Entra-csoportot kell létrehozni, például usergroup
a tagot tartalmazó steve@gmail.com
Microsoft Entra-azonosítóban. Ezt a csoportot ezután létre kell hoznia egy adott adatbázishoz (azaz MyDatabase- hez) a Microsoft Entra SQL rendszergazdája vagy a Microsoft Entra DBO egy Transact-SQL-utasítás CREATE USER [usergroup] FROM EXTERNAL PROVIDER
végrehajtásával.
Az adatbázis-felhasználó létrehozása után a felhasználó steve@gmail.com
bejelentkezhet MyDatabase
az SSMS hitelesítési lehetőséggel Active Directory – Universal with MFA support
.
A felhasználói csoport alapértelmezés szerint csak a kapcsolódási engedéllyel rendelkezik, és minden további adathozzáférést, amelyet a szokásos módon kell megadni.
Vendégfelhasználóként be kell jelölnie a jelölőnégyzetet, steve@gmail.com
és hozzá kell adnia az AD-tartománynevet contosotest.onmicrosoft.com
az SSMS Csatlakozás ion Tulajdonság párbeszédpanelen. Az AD-tartománynév vagy a bérlőazonosító beállítás csak az Univerzális és az MFA kapcsolati beállítások esetében támogatott, ellenkező esetben a rendszer szürkével jelöli ki.
A Synapse SQL univerzális hitelesítési korlátozásai
- Az SSMS és az SqlPackage.exe az egyetlen eszköz, amely jelenleg engedélyezve van az MFA-hoz az Active Directory univerzális hitelesítésén keresztül.
- Az SSMS 17.2-es verziója támogatja a többfelhasználós egyidejű hozzáférést az univerzális hitelesítés és az MFA használatával. A 17.0-s és a 17.1-es verzió egyetlen Microsoft Entra-fiókra korlátozta az SSMS egy példányának bejelentkezését univerzális hitelesítéssel. Ha másik Microsoft Entra-fiókként szeretne bejelentkezni, az SSMS egy másik példányát kell használnia. (Ez a korlátozás az Active Directory univerzális hitelesítésére korlátozódik; az Active Directory jelszóhitelesítés, az Active Directory integrált hitelesítés vagy az SQL Server-hitelesítés használatával bejelentkezhet a különböző kiszolgálókra).
- Az SSMS támogatja az Active Directory univerzális hitelesítést az Object Explorerhez, a Lekérdezésszerkesztő és a Lekérdezéstár vizualizációhoz.
- Az SSMS 17.2-es verziója támogatja a DacFx varázslót az adatadatbázis exportálásához/kinyeréséhez/üzembe helyezéséhez. Ha egy adott felhasználó hitelesítése az univerzális hitelesítést használó kezdeti hitelesítési párbeszédpanelen történik, a DacFx varázsló ugyanúgy működik, mint az összes többi hitelesítési módszer esetében.
- Az SSMS-tábla Tervező nem támogatja az univerzális hitelesítést.
- Az Active Directory univerzális hitelesítésre nincs további szoftverkövetelmény, kivéve, hogy az SSMS támogatott verzióját kell használnia.
- Az univerzális hitelesítés Active Directory Authentication Library (ADAL) verziója frissült a legújabb ADAL.dll 3.13.9-es kiadású kiadásra. Lásd: Active Directory Authentication Library 3.14.1.
Következő lépések
További információkért tekintse meg a Synapse SQL és az SQL Server Management Studio Csatlakozás.