Perwakilan server Microsoft Entra

Berlaku untuk:Azure SQL DatabaseAzure SQL Managed InstanceAzure Synapse Analytics (hanya kumpulan SQL khusus)

Anda sekarang dapat membuat dan menggunakan prinsipal server dari ID Microsoft Entra (sebelumnya Azure Active Directory), yang masuk dalam database virtual master SQL Database. Ada beberapa manfaat menggunakan prinsipal server Microsoft Entra untuk SQL Database:

• Mendukung peran server Azure SQL Database untuk manajemen izin.
• Mendukung beberapa pengguna Microsoft Entra dengan peran khusus untuk SQL Database, seperti loginmanager peran dan dbmanager .
• Paritas fungsi antara login SQL dan login Microsoft Entra.
• Tingkatkan dukungan peningkatan fungsi, seperti menggunakan autentikasi khusus Microsoft Entra. Autentikasi Microsoft Entra-only memungkinkan autentikasi SQL dinonaktifkan, yang mencakup admin server SQL, login SQL, dan pengguna.
• Memungkinkan perwakilan Microsoft Entra mendukung replika geografis. Perwakilan Microsoft Entra dapat terhubung ke replika geografis database pengguna, dengan izin baca-saja dan tolak ke server utama.
• Gunakan login perwakilan layanan Microsoft Entra dengan peran khusus untuk sepenuhnya mengotomatiskan pembuatan dan pemeliharaan pengguna dan database dengan aplikasi Microsoft Entra.

Untuk informasi selengkapnya tentang autentikasi Microsoft Entra di Azure SQL, lihat Menggunakan autentikasi Microsoft Entra.

Catatan

Prinsipal server Microsoft Entra (login) saat ini berada dalam pratinjau publik untuk Azure SQL Database dan Azure Synapse Analytics. Login Microsoft Entra umumnya tersedia untuk Azure SQL Managed Instance dan SQL Server 2022.

Izin

Izin berikut diperlukan untuk menggunakan atau membuat login Microsoft Entra di database virtual master .

• Izin atau keanggotaan admin Microsoft Entra dalam loginmanager peran server. Login Microsoft Entra pertama hanya dapat dibuat oleh admin Microsoft Entra.
• Harus menjadi anggota ID Microsoft Entra dalam direktori yang sama yang digunakan untuk Azure SQL Database.

Secara default, login Microsoft Entra yang baru dibuat dalam master database diberikan izin LIHAT DATABASE APA PUN.

Sintaksis perwakilan Microsoft Entra

Gunakan sintaks berikut untuk membuat dan mengelola server Microsoft Entra dan prinsipal database.

Buat login

Sintaks ini membuat login tingkat server berdasarkan identitas Microsoft Entra. Hanya admin Microsoft Entra yang dapat menjalankan perintah ini di database virtual master .

CREATE LOGIN login_name
  { 
    FROM EXTERNAL PROVIDER [WITH OBJECT_ID = 'objectid'] 
    | WITH <option_list> [,..] 
  }

<option_list> ::=
    PASSWORD = { 'password' }
    [ , SID = sid ]

login_name menentukan perwakilan Microsoft Entra, yang merupakan pengguna, grup, atau aplikasi Microsoft Entra.

Untuk informasi selengkapnya, lihat MEMBUAT LOGIN (Transact-SQL).

Membuat pengguna dari login

Sintaks T-SQL berikut membuat prinsipal Microsoft Entra tingkat database yang dipetakan ke login Microsoft Entra di database virtual master . Mirip dengan sintaks untuk membuat database yang berisi pengguna Microsoft Entra, satu-satunya perbedaan adalah menentukan FROM LOGIN [login_name] daripada FROM EXTERNAL PROVIDER.

Untuk membuat pengguna Microsoft Entra dari login Microsoft Entra, gunakan sintaks berikut.

CREATE USER [user_name] FROM LOGIN [login_name]

Anda dapat menggunakan SID kolom dari sys.database_principals untuk membedakan antara pengguna database mandiri Microsoft Entra dan pengguna Microsoft Entra yang dibuat dari login. Untuk pengguna database mandiri, SID adalah string biner dengan panjang 16. Untuk pengguna berbasis login, SID panjangnya 18 dengan akhiran AADE .

Catatan

Menambahkan akhiran AADE ke SID adalah cara kami mengidentifikasi pengguna Microsoft Entra sebagai dibuat dari login. Namun, ini juga berarti bahwa SID untuk login dan penggunanya tidak cocok antara sys.server_principals dan sys.database_principals. Untuk menghubungkan pengguna kembali ke loginnya, akhiran AADE harus terlebih dahulu dihapus.

Untuk memahami perbedaan konseptual antara pengguna berbasis login dan pengguna database mandiri, lihat pengguna database yang terkandung.

Untuk informasi selengkapnya tentang semua sintaks buat pengguna, lihat CREATE USER (Transact-SQL).

Menonaktifkan atau mengaktifkan login menggunakan ALTER LOGIN

Sintaks ALTER LOGIN (Transact-SQL) DDL digunakan untuk mengaktifkan atau menonaktifkan login Microsoft Entra di Azure SQL Database.

ALTER LOGIN [login_name] DISABLE 

Ketika login dinonaktifkan, koneksi tidak lagi diizinkan menggunakan prinsipal server tersebut. Ini juga menonaktifkan semua prinsipal database (pengguna) yang dibuat dari login tersebut agar tidak dapat terhubung ke database masing-masing.

Catatan

• ALTER LOGIN login_name DISABLE tidak akan memengaruhi pengguna database mandiri, karena mereka tidak terkait dengan login.

• ALTER LOGIN login_name DISABLE tidak didukung untuk grup Microsoft Entra.

• Login individual yang dinonaktifkan tidak boleh milik pengguna yang merupakan bagian dari grup masuk yang dibuat dalam master database (misalnya, grup admin Microsoft Entra).

• Agar perubahan DISABLE atau ENABLE segera berlaku, cache autentikasi dan cache TokenAndPermUserStore harus dibersihkan menggunakan perintah T-SQL.

  DBCC FLUSHAUTHCACHE
  DBCC FREESYSTEMCACHE('TokenAndPermUserStore') WITH NO_INFOMSGS 
  

Peran untuk perwakilan Microsoft Entra

Peran khusus untuk SQL Database dapat ditetapkan kepada pengguna dalam database virtual master untuk perwakilan Microsoft Entra, termasuk dbmanager dan loginmanager.

Peran server Azure SQL Database dapat ditetapkan untuk masuk di database virtual master .

Untuk tutorial tentang cara memberikan peran ini, lihat Tutorial: Membuat dan menggunakan login server Microsoft Entra.

Batasan dan keterangan

• Admin server SQL tidak dapat membuat login Microsoft Entra atau pengguna di database apa pun.
• Admin SQL atau pengguna SQL tidak dapat menjalankan operasi Microsoft Entra berikut:
  • CREATE LOGIN [bob@contoso.com] FROM EXTERNAL PROVIDER
  • CREATE USER [bob@contoso.com] FROM EXTERNAL PROVIDER
  • EXECUTE AS USER [bob@contoso.com]
  • ALTER AUTHORIZATION ON securable::name TO [bob@contoso.com]
• Peniruan prinsipal server Microsoft Entra (login) tidak didukung untuk Azure SQL Database dan Azure Synapse Analytics. Ini didukung untuk SQL Managed Instance:
  • Klausa EXECUTE AS (Transact-SQL)
  • EXECUTE AS (T-SQL)
  • Peniruan prinsipal database Microsoft Entra (pengguna) dalam database pengguna didukung pada semua produk Microsoft SQL.
• Login Microsoft Entra tidak dapat tumpang tindih dengan administrator Microsoft Entra. Admin Microsoft Entra lebih diutamakan daripada login apa pun. Jika akun Microsoft Entra sudah memiliki akses ke server sebagai admin Microsoft Entra, satu per satu atau sebagai bagian dari grup, login apa pun yang dibuat untuk akun ini tidak akan berpengaruh apa pun. Namun, pembuatan login tidak diblokir melalui T-SQL. Setelah akun mengautentikasi ke server, login akan memiliki izin yang efektif dari admin Microsoft Entra, dan bukan login yang baru dibuat.
• Mengubah izin pada objek masuk Microsoft Entra tertentu tidak didukung:
  • GRANT <PERMISSION> ON LOGIN :: <Microsoft Entra account> TO <Any other login>
• Saat Anda mengubah izin untuk masuk Microsoft Entra, secara default perubahan hanya berlaku saat masuk berikutnya tersambung ke Azure SQL Database. Koneksi terbuka yang ada dengan login tidak terpengaruh. Untuk memaksa perubahan izin agar segera diterapkan, Anda dapat menghapus autentikasi dan TokenAndPermUserStore secara manual, seperti yang dijelaskan sebelumnya dalam menonaktifkan atau mengaktifkan login menggunakan ALTER LOGIN. Perilaku ini juga berlaku saat membuat perubahan keanggotaan peran server dengan ALTER SERVER ROLE.
• Di SQL Server Management Studio dan Azure Data Studio, perintah pembuatan skrip untuk membuat pengguna tidak memeriksa apakah sudah ada login master Microsoft Entra dengan nama yang sama. Ini selalu menghasilkan T-SQL untuk database mandiri pengguna Microsoft Entra.
• Kesalahan mungkin terjadi jika Anda mencoba membuat login atau pengguna dari perwakilan layanan dengan nama tampilan nonunique. Untuk informasi selengkapnya tentang mengurangi kesalahan ini, lihat Login Microsoft Entra dan pengguna dengan nama tampilan nonunique.

Batasan utama server grup Microsoft Entra

Dengan login Microsoft Entra dalam pratinjau publik untuk Azure SQL Database dan Azure Synapse Analytics, berikut ini adalah batasan yang diketahui:

• Peran server Azure SQL Database tidak didukung untuk grup Microsoft Entra.
• Jika admin SQL Anda adalah grup Microsoft Entra, ada beberapa batasan saat pengguna grup tersebut tersambung. Setiap pengguna Microsoft Entra satu per satu bukan bagian sys.server_principals dari tabel. Ini memiliki berbagai konsekuensi, termasuk panggilan untuk SUSER_SID mengembalikan NULL.
• Login pengguna Microsoft Entra yang merupakan bagian dari login grup Microsoft Entra juga tidak dibuat secara implisit, yang berarti mereka tidak akan memiliki skema default, dan tidak dapat melakukan operasi seperti CREATE SCHEMA sampai login untuk pengguna Microsoft Entra dibuat, atau skema default ditetapkan ke grup.
• Mengubah kepemilikan database ke grup Microsoft Entra sebagai pemilik database tidak didukung.

  • ALTER AUTHORIZATION ON database::<mydb> TO [my_aad_group] gagal dengan pesan kesalahan:

    Msg 33181, Level 16, State 1, Line 4
    The new owner cannot be Azure Active Directory group.
    

Langkah berikutnya

Tutorial: Membuat dan menggunakan login server Microsoft Entra