Mengonfigurasi identitas terkelola untuk server tertaut

Berlaku untuk: Berlaku untuk: SQL Server 2025 (17.x)

SQL Server 2025 memperkenalkan dukungan identitas terkelola untuk server tertaut, memungkinkan autentikasi yang aman dan bebas kredensial antara instans SQL Server. Kemampuan ini tersedia untuk SQL Server di Azure Virtual Machines dan SQL Server yang diaktifkan oleh Azure Arc. Dengan autentikasi identitas terkelola, Anda dapat membuat koneksi server tertaut tanpa mengelola kata sandi atau menyimpan kredensial, meningkatkan postur keamanan Anda dan menyederhanakan manajemen kredensial.

Artikel ini memperlihatkan kepada Anda cara menyiapkan koneksi server tertaut menggunakan autentikasi identitas terkelola. Anda akan mengonfigurasi server sumber untuk memulai koneksi dan server tujuan untuk menerima autentikasi berbasis identitas terkelola.

Prasyarat

Sebelum memulai, pastikan Anda memiliki hal berikut:

• SQL Server 2025 berjalan pada:
  • Azure Virtual Machine dengan ekstensi SQL Server IaaS Agent terinstal, atau
  • Komputer lokal atau virtual dengan Azure Arc diaktifkan
• Autentikasi Microsoft Entra dikonfigurasi pada server sumber dan tujuan
• Konektivitas jaringan antara server sumber dan tujuan dengan aturan firewall yang sesuai
• Izin yang sesuai untuk membuat login dan mengonfigurasi server terhubung pada kedua instance tersebut
• Untuk Azure Virtual Machines: Ekstensi SqlIaasExtension dan AADLogin diaktifkan
• Untuk instans dengan dukungan Azure Arc: Agen Azure Arc diinstal dan dikonfigurasi

Persyaratan Azure Virtual Machine

Saat menggunakan SQL Server di Azure Virtual Machines:

• Verifikasi bahwa ekstensi SqlIaasExtension dan AADLogin diinstal. Ekstensi ini disertakan secara default saat menyebarkan dari templat Azure Marketplace SQL Server.
• Konfigurasikan autentikasi Microsoft Entra dengan mengikuti panduan dalam Mengaktifkan autentikasi Microsoft Entra untuk SQL Server di Azure VM.
• Pastikan kedua komputer virtual mengizinkan lalu lintas jaringan masuk dan keluar untuk komunikasi SQL Server.
• Konfigurasikan aturan firewall pada setiap komputer virtual untuk mengizinkan lalu lintas SQL Server.

Persyaratan dengan dukungan Azure Arc

Saat menggunakan SQL Server yang diaktifkan oleh Azure Arc:

1. Instal dan konfigurasikan Azure Arc pada instans SQL Server 2025 Anda mengikuti prasyarat untuk SQL Server yang diaktifkan oleh Azure Arc.
2. Siapkan autentikasi Microsoft Entra menggunakan panduan dalam Menyiapkan autentikasi Microsoft Entra dengan pendaftaran aplikasi.
3. Verifikasi konektivitas jaringan antara server sumber dan tujuan.

Membuat login di server tujuan

Server tujuan harus memiliki login yang cocok dengan nama server sumber. Saat server sumber tersambung menggunakan identitas terkelola, server tersebut mengautentikasi menggunakan identitas terkelola komputer. Server tujuan memvalidasi identitas ini dengan mencocokkannya dengan login yang dibuat dari penyedia eksternal.

1. Sambungkan ke instans SQL Server tujuan.

2. Buat login menggunakan nama server sumber:

   USE [master];
   GO
   
   CREATE LOGIN [AzureSQLVMSource]
   FROM EXTERNAL PROVIDER
   WITH DEFAULT_DATABASE = [master],
        DEFAULT_LANGUAGE = [us_english];
   GO
   

3. Berikan izin tingkat server yang sesuai untuk login. Misalnya, untuk memberikan sysadmin peran:

   ALTER SERVER ROLE [sysadmin] ADD MEMBER [AzureSQLVMSource];
   GO
   

   Petunjuk / Saran

   Terapkan prinsip hak istimewa paling sedikit dengan hanya memberikan izin yang diperlukan untuk kasus penggunaan spesifik Anda daripada menggunakan sysadmin.

Mengonfigurasi server tertaut di server sumber

Setelah membuat login di server tujuan, konfigurasikan koneksi server tertaut di server sumber. Konfigurasi ini menggunakan MSOLEDBSQL penyedia autentikasi identitas terkelola.

1. Sambungkan ke instans SQL Server sumber.

2. Buat server tertaut menggunakan sp_addlinkedserver:

   USE [master];
   GO
   
   EXEC master.dbo.sp_addlinkedserver
       @server = N'AzureSQLVMDestination',
       @srvproduct = N'',
       @provider = N'MSOLEDBSQL',
       @datasrc = N'AzureSQLVMDestination',
       @provstr = N'Authentication=ActiveDirectoryMSI;';
   GO
   

   Parameter @provstr menentukan ActiveDirectoryMSI autentikasi, yang menginstruksikan server tertaut untuk menggunakan identitas terkelola.

3. Konfigurasikan pengaturan pemetaan login server yang ditautkan:

   EXEC master.dbo.sp_addlinkedsrvlogin
       @rmtsrvname = N'AzureSQLVMDestination',
       @useself = N'False',
       @locallogin = NULL,
       @rmtuser = NULL,
       @rmtpassword = NULL;
   GO
   

   Konfigurasi ini menyiapkan server tertaut untuk menggunakan identitas terkelola tanpa memerlukan kredensial pengguna eksplisit.

Menguji koneksi server yang ditautkan

Setelah konfigurasi, verifikasi bahwa koneksi server yang ditautkan berfungsi dengan benar.

1. Uji koneksi menggunakan sp_testlinkedserver:

   EXECUTE master.dbo.sp_testlinkedserver AzureSQLVMDestination;
   GO
   

2. Jika pengujian berhasil, Anda bisa mengkueri server jarak jauh. Contohnya:

   SELECT * FROM [AzureSQLVMDestination].[master].[sys].[databases];
   GO
   

Jika pengujian gagal, verifikasi:

• Autentikasi Microsoft Entra dikonfigurasi dengan benar di kedua server
• Login di server tujuan sama persis dengan nama server sumber
• Konektivitas jaringan ada di antara server
• Aturan firewall mengizinkan lalu lintas SQL Server
• Ekstensi yang diperlukan (SqlIaasExtension dan AADLogin) diaktifkan untuk Azure VM

Konten terkait

• Server terkait (Mesin Basis Data)
• Membuat server tertaut (SQL Server Database Engine)
• sp_addlinkedserver (T-SQL)
• Mengaktifkan autentikasi Microsoft Entra untuk SQL Server di Azure VM
• Tutorial: Menyiapkan autentikasi Microsoft Entra untuk SQL Server yang diaktifkan oleh Azure Arc
• Prasyarat - SQL Server diaktifkan oleh Azure Arc