Megosztás a következőn keresztül:

Microsoft Entra-hitelesítés SQL Serverhez

A következőkre vonatkozik: SQL Server 2022 (16.x)

Az SQL Server 2022 (16.x) támogatja a hitelesítést a Microsoft Entra ID-val (korábban Azure Active Directory) mind helyszíni Windows, mind Linux rendszeren, valamint az Azure Windows rendszerű virtuális gépeken futó SQL Serveren.

Használja a Microsoft Entra ID-t különálló SQL Server-példányokkal vagy Always On rendelkezésre állási csoportokkal. Az SQL Server feladatátvevő fürtpéldányai jelenleg nem támogatják a Microsoft Entra-hitelesítést.

Áttekintés

Most már az alábbi Microsoft Entra hitelesítési módszerekkel csatlakozhat az SQL Serverhez:

  • Alapértelmezett hitelesítés
  • Felhasználónév és jelszó
  • Integrált
  • Univerzális többtényezős hitelesítéssel
  • Szolgáltatásnév
  • Felügyelt identitás
  • Hozzáférési jogkivonat

A meglévő hitelesítési módok, SQL-hitelesítés és Windows-hitelesítés változatlanok maradnak.

A Microsoft Entra ID az Azure felhőalapú identitás- és hozzáférés-kezelési szolgáltatása. A Microsoft Entra ID fogalmilag hasonló az Active Directoryhoz, amely egy központosított adattárat biztosít a szervezet erőforrásaihoz való hozzáférés kezeléséhez. Az identitások a Microsoft Entra-azonosító azon objektumai, amelyek felhasználókat, csoportokat vagy alkalmazásokat jelölnek. Ezek szerepköralapú hozzáférés-vezérléssel rendelhetők hozzá engedélyekhez, és az Azure-erőforrásokhoz való hitelesítéshez használhatók. A Microsoft Entra-hitelesítés a következő célokra támogatott:

  • Azure SQL Database
  • Azure SQL Managed Instance
  • SQL Server Windows Azure-beli virtuális gépeken
  • Azure Synapse Analytics
  • SQL Server

További információ: Microsoft Entra-hitelesítés használata az Azure SQL- és Microsoft Entra-hitelesítés konfigurálása és kezelése az Azure SQL-.

Ha a Windows Server Active Directory összevont a Microsoft Entra-azonosítóval, a felhasználók Windows-bejelentkezésként vagy Microsoft Entra-bejelentkezésként is hitelesíthetik az SQL Servert windowsos hitelesítő adataikkal. Bár a Microsoft Entra ID nem támogatja a Windows Server Active Directory által támogatott összes AD-szolgáltatást, például a szolgáltatásfiókokat vagy az összetett hálózati erdőarchitektúrát. A Microsoft Entra-azonosítónak más képességei is vannak, például a többtényezős hitelesítés, amely nem érhető el az Active Directoryval. További információért hasonlítsa össze az Active Directory-t a Microsoft Entra ID-vel.

SQL Server csatlakoztatása az Azure-hoz a Microsoft Entra-azonosítóval

A Microsoft Entra-hitelesítés beállítása az Azure Arc használatával

Ahhoz, hogy az SQL Server kommunikáljon az Azure-ral, az SQL Server és a windowsos vagy linuxos gazdagép is regisztrálható az Azure Arcban. Az SQL Server és az Azure közötti kommunikáció engedélyezéséhez telepítenie kell az Azure Arc Agentet és az Azure-bővítményt az SQL Serverhez.

Első lépések: SQL Server csatlakoztatása az Azure Arc-ra.

Jegyzet

Ha SQL Servert futtat egy Azure-beli virtuális gépen, akkor nem kell regisztrálnia a virtuális gépet az Azure Arcban, hanem regisztrálnia kell a virtuális gépet a SQL IaaS-ügynök bővítményével. A virtuális gép regisztrálása után további részletekért tekintse meg Azure AD-hitelesítés engedélyezése az SQL Serverhez az Azure-beli virtuális gépeken.

A Microsoft Entra-hitelesítés beállítása az Azure Arc nélkül

Microsoft Entra-hitelesítést windowsos SQL Serverhez is beállíthat az Azure Arc használata nélkül. Ez a módszer magában foglalja a tanúsítványok, a beállításjegyzék-beállítások és a Microsoft Entra ID-alkalmazásregisztrációk manuális konfigurálását. Részletes útmutatásért tekintse meg az oktatóanyagot: Microsoft Entra-hitelesítés engedélyezése SQL Serverhez Windows rendszeren Azure Arc nélkül.

Alapértelmezett hitelesítés

Az alapértelmezett hitelesítési lehetőség a Microsoft Entra-azonosítóval, amely jelszó nélküli és nem interaktív mechanizmusokon keresztül engedélyezi a hitelesítést, beleértve a felügyelt identitásokat, a Visual Studio-t, a Visual Studio Code-ot, az Azure CLI-t stb.

Felhasználónév és jelszó

Lehetővé teszi a felhasználónév és a jelszó megadását az ügyfél és az illesztőprogram számára. A felhasználónév és a jelszó metódusa biztonsági okokból gyakran le van tiltva számos bérlőn. Bár a kapcsolatok titkosítva vannak, ajánlott/ajánlott elkerülni a felhasználónév és a jelszó használatát, ha lehetséges, mivel jelszavakat kell küldeni a hálózaton keresztül.

Integrált

A Integrált Windows-hitelesítés (IWA)segítségével a Microsoft Entra ID megoldást kínál a helyszíni és a felhőalapú infrastruktúrával rendelkező szervezetek számára. A helyszíni Active Directory-tartományok szinkronizálhatók a Microsoft Entra-azonosítóval összevonásikeresztül, lehetővé téve a felügyelet és hozzáférés-vezérlés kezelését a Microsoft Entra-azonosítón belül, míg a felhasználói hitelesítés a helyszínen marad. Az IWA-val a rendszer hitelesíti a felhasználó Windows-hitelesítő adatait az Active Directoryban, és sikeresség esetén a felhasználó Microsoft Entra-azonosítóból származó hitelesítési jogkivonata visszakerül az SQL-be.

Univerzális többtényezős hitelesítéssel

Ez a Microsoft Entra-fiókok többtényezős hitelesítési lehetőségével rendelkező szabványos interaktív módszer. Ez a legtöbb forgatókönyvben működik.

Szolgáltatásnév

A szolgáltatásnév olyan identitás, amely automatizált eszközökkel, feladatokkal és alkalmazásokkal használható. A szolgáltatásnévi authentikációs módszerrel az SQL Server-példányhoz a szolgáltatásnévi azonosító és annak titkos kulcsa segítségével csatlakozhat.

Felügyelt identitás

A felügyelt identitások a szolgáltatásrendek speciális formái. A felügyelt identitások két típusa létezik: a rendszer által hozzárendelt és a felhasználó által hozzárendelt. A rendszer által hozzárendelt felügyelt identitások közvetlenül egy Azure-erőforráson vannak engedélyezve, míg a felhasználó által hozzárendelt felügyelt identitások önálló erőforrások, amelyek egy vagy több Azure-erőforráshoz rendelhetők.

Jegyzet

Ahhoz, hogy felügyelt identitással csatlakozzon egy SQL-erőforráshoz grafikus felhasználói felülettel rendelkező ügyfeleken keresztül, például az SSMS-en és az ADS-en keresztül, az ügyfélalkalmazást futtató gépnek rendelkeznie kell egy Microsoft Entra-ügyféllel, amely az identitás benne tárolt tanúsítványával fut. Ez leggyakrabban Egy Azure-beli virtuális gépen keresztül érhető el, mivel az identitás könnyen hozzárendelhető a géphez a virtuális gép portálpaneljén keresztül.

Az Azure-identitáskódtárakat, például az SQL Server Management Studiót (SSMS) használó eszközök esetén a felügyelt identitáshoz való csatlakozáskor a GUID azonosítót kell használnia a bejelentkezéshez, például abcd1234-abcd-1234-abcd-abcd1234abcd1234. A további információkért lásd: (ManagedIdentityCredential. Ha helytelenül adja át a felhasználónevet, hiba történik, például:

ManagedIdentityCredential authentication unavailable. The requested identity has not been assigned to this resource.
Status: 400 (Bad Request)
Content:
{"error":"invalid_request","error_description":"Identity not found"}

Hozzáférési jogkivonat

Egyes nem grafikus felhasználói felületű ügyfelek, például Invoke-sqlcmd engedélyezik a hozzáférési jogkivonatok megadását. A hozzáférési jogkivonat hatókörének vagy célközönségének https://database.windows.net/kell lennie.

Megjegyzések

  • A Microsoft Entra-hitelesítés csak a helyszíni SQL Server 2022 (16.x) esetén támogatott, ha az egy támogatott Windows vagy Linux operációs rendszeren fut, vagy ha az SQL Server 2022 a Windows Azure-beli virtuális gépeken fut.
  • Az SQL Server azure Archoz való csatlakoztatásához a Microsoft Entra-fióknak a következő engedélyekre van szüksége:
    • Az Azure Connected Machine Onboarding csoport tagja vagy az erőforráscsoportban közreműködői szerepkör birtokosa.
    • Az erőforráscsoportban lévő Azure Csatlakoztatott Gép Erőforrás-rendszergazdája szerepkör tagja.
    • A Olvasó szerepkör tagja az erőforráscsoportban.
  • Az SQL Server feladatátvevő fürtpéldányai nem támogatják a Microsoft Entra-hitelesítést

Kapcsolódó tartalom

  • Last updated on