Gyakorlat – Hitelesítés konfigurálása

Befejeződött

Ebben a gyakorlatban bejelentkezéseket, felhasználókat és rendszergazdákat fog létrehozni, és hozzáférést biztosít a Microsoft Entra-felhasználóknak az adatbázishoz, ahogyan azt az SQL Server normál felhasználói számára tenné.

  1. Nyissa meg az SQL Server Management Studiót (SSMS), és csatlakozzon az Azure SQL Database logikai kiszolgálóhoz, ha még nincs csatlakoztatva.

  2. Az adatbázisok konfigurálása és csatlakoztatása utáni következő lépés lehet a további felhasználók felvétele és a hozzáférésük megadása. Ahogyan az SQL Serverben, itt is vehet fel új bejelentkezéseket s felhasználókat.

    Az SSMS-ben kattintson a jobb gombbal az adatbázis-kiszolgálóra, válassza az Új lekérdezés lehetőséget, és hozzon létre egy új lekérdezést az alábbi paranccsal. Válassza a Végrehajtás lehetőséget a lekérdezés futtatásához:

    -- Create a new SQL login and give them a password
    CREATE LOGIN ApplicationUser WITH PASSWORD = 'YourStrongPassword1';
    

    Tipp.

    Az Azure SQL Database legtöbb lekérdezéséhez a jobb gombbal az adatbázisra kell kattintania a logikai Azure SQL Database-kiszolgálón belül. Az SQL Serverben és a felügyelt Azure SQL-példányban a kiszolgáló szintjén kérdezhet le, és használhatja USE <DatabaseName>azt, de az Azure SQL Database-ben közvetlenül kell lekérdeznie az adatbázist. Ennek az az oka, hogy a USE utasítás nem támogatott. Van néhány kivétel az adatbázis azure SQL Database-ben való lekérdezésére, és az egyik a bejelentkezés. A bejelentkezések létrehozásához és módosításához csatlakoznia kell a virtuális master adatbázishoz.

    Most már van egy bejelentkezése a kiszolgáló szintjén. A következő lépés a felhasználók létrehozása az AdventureWorks adatbázisban, és szükség esetén olvasási/írási hozzáférés biztosítása. Kattintson a jobb gombbal az adatbázisra, AdventureWorks és válassza az Új lekérdezés lehetőséget. Hozzon létre egy új lekérdezést a következő paranccsal, majd válassza a Végrehajtás lehetőséget:

    -- Create a new SQL user from that login
    CREATE USER ApplicationUser FOR LOGIN ApplicationUser;
    
    -- Until you run the following two lines, ApplicationUser has no access to read or write data
    ALTER ROLE db_datareader ADD MEMBER ApplicationUser;
    ALTER ROLE db_datawriter ADD MEMBER ApplicationUser;
    

    A felhasználók nem az egész kiszolgálóra, csak az AdventureWorks adatbázisba fognak tudni bejelentkezni.

    Az ajánlott eljárás a nem rendszergazdai fiókok adatbázisszintű létrehozása, ha a felhasználóknak nem kell rendszergazdai tevékenységeket végezniük.

  3. Az SQL Serverből ismerheti a korlátozott hozzáférésű adatbázis-felhasználó fogalmát. Ez azt jelenti, hogy a felhasználó csak a meghatározott adatbázisokhoz fér hozzá, és nem rendelkezik bejelentkezéssel a kiszolgálón. Az Azure SQL Database-ben sql-hitelesítéssel vagy Microsoft Entra-hitelesítéssel hozhat létre tartalmazott adatbázis-felhasználókat. Annak a felhasználói adatbázisnak a környezetében kell lennie, amelyhez felhasználói hozzáférést szeretne létrehozni (ahelyett, hogy benne masterlenne). Az SSMS-ben kattintson a jobb gombbal az adatbázisra, és válassza az Új lekérdezés lehetőséget. Hozzon létre egy új lekérdezést a következő paranccsal, majd válassza a Végrehajtás lehetőséget:

    CREATE USER MyDatabaseUser WITH PASSWORD = 'C0mpl3xPa55word!'
    
  4. Válassza Csatlakozás az Object Explorer bal felső sarkában, majd az Adatbázismotor lehetőséget. Konfigurálja a főlapot úgy, hogy az Azure SQL Database logikai kiszolgálóhoz csatlakozzon. Bejelentkezési névként adja meg a MyDatabaseUser nevet, a Jelszó pedig C0mpl3xPa55word! legyen.

  5. Meg kell adnia az adatbázis nevét is, amit a Beállítások>További kapcsolódási paraméterek helyen, az Initial Catalog=AdventureWorks megadásával tehet meg. Ezt manuálisan kell megtennie, mivel a MyDatabaseUser nem rendelkezik a kiszolgáló tallózásához és az adatbázis kiválasztásához szükséges hozzáféréssel.

  6. Válassza a Kapcsolódás lehetőséget, majd ellenőrizze, hogy hozzáfér az adatbázishoz.

  7. Tisztítási lépésként kattintson a jobb gombbal a MyDatabaseUser kapcsolatára, majd válassza a Leválasztás lehetőséget.

Hozzáférés biztosítása más Microsoft Entra-felhasználóknak

A T-SQL szintaxis használatával CREATE USER [anna@contoso.com] FROM EXTERNAL PROVIDER létrehozhat bejelentkezéseket Microsoft Entra-fiókokból tárolt adatbázis-felhasználóként. A tartalmazott adatbázis-felhasználó az adatbázishoz társított Microsoft Entra-címtárban lévő identitásra képez le, és nincs bejelentkezve az master adatbázisban.

A Microsoft Entra-kiszolgálói bejelentkezések Azure SQL Database-ben való bevezetésével a Microsoft Entra-tagoktól származó bejelentkezéseket hozhat létre egy SQL Database virtuális master adatbázisában. Microsoft Entra-bejelentkezéseket microsoft entra-felhasználókból , csoportokból és szolgáltatásnevekből hozhat létre. További információ: Microsoft Entra server principals

Emellett az Azure Portalt csak rendszergazdák létrehozására használhatja, és az Azure szerepköralapú hozzáférés-vezérlési szerepkörök nem propagálása az Azure SQL Database logikai kiszolgálóira. A további kiszolgáló- és adatbázis-engedélyeket Transact-SQL (T-SQL) használatával kell megadnia.