Menggunakan autentikasi Azure Active Directory multifaktor

Berlaku untuk: Azure SQL Database Azure SQL Managed Instance Azure Synapse Analytics

Azure SQL Database, Azure SQL Managed Instance, dan Azure Synapse Analytics mendukung koneksi dari SQL Server Management Studio (SSMS) menggunakan Azure Active Directory - Universal dengan autentikasi MFA. Artikel ini membahas perbedaan antara berbagai opsi autentikasi, dan juga batasan yang terkait dengan penggunaan Autentikasi Universal di Azure Active Directory (Azure AD) untuk Azure SQL.

Unduh Management Studio terbaru - Di komputer klien, unduh versi terbaru Management Studio, dari Unduh SQL Server Management Studio (SSMS).

Catatan

Pada bulan Desember 2021, rilis SSMS sebelum 18.6 tidak akan lagi diautentikasi melalui Azure Active Directory dengan MFA.

Untuk terus menggunakan autentikasi Azure Active Directory dengan MFA, Anda memerlukan SSMS 18.6 atau yang lebih baru.

Untuk semua fitur yang dibahas dalam artikel ini, gunakan setidaknya pada Juli 2017, versi 17.2. Kotak dialog koneksi terbaru akan terlihat mirip dengan gambar berikut:

Cuplikan layar dialog Sambungkan ke Server di SQL Server Management Studio, memperlihatkan pengaturan untuk Tipe server, Nama server, dan Autentikasi.

Opsi autentikasi

Ada dua model autentikasi non-interaktif untuk Azure Active Directory, yang dapat digunakan dalam banyak aplikasi yang berbeda (ADO.NET, JDCB, ODC, dan sebagainya). Kedua metode ini tidak pernah menghasilkan kotak dialog pop-up:

  • Azure Active Directory - Password
  • Azure Active Directory - Integrated

Metode interaktif yang juga mendukung autentikasi multifaktor (MFA) Azure Active Directory adalah:

  • Azure Active Directory - Universal with MFA

Azure Active Directory Multifactor Authentication membantu melindungi akses ke data dan aplikasi sambil memenuhi permintaan pengguna untuk proses masuk sederhana. Ini memberikan autentikasi yang kuat dengan berbagai opsi verifikasi mudah (panggilan telepon, pesan teks, kartu pintar dengan pin, atau pemberitahuan aplikasi seluler), memungkinkan pengguna untuk memilih metode yang mereka sukai. Autentikasi multifaktor interaktif dengan Azure Active Directory dapat menghasilkan kotak dialog pop-up untuk validasi.

Untuk deskripsi autentikasi multifaktor Azure Active Directory, lihat autentikasi multifaktor. Untuk langkah-langkah konfigurasi,lihat Konfigurasikan autentikasi multifaktor Azure SQL Database untuk SQL Server Management Studio.

Nama domain Azure Active Directory atau parameter ID penyewa

Dimulai dengan Management Studio versi 17, pengguna yang diimpor ke Azure Active Directory saat ini dari Azure Active Directory lain sebagai pengguna tamu, dapat memberikan nama domain Azure Active Directory, atau ID penyewa saat mereka tersambung. Pengguna tamu mencakup pengguna yang diundang dari Azure Active Directory lain, akun Microsoft seperti outlook.com, hotmail.com, live.com, atau akun lain seperti gmail.com. Informasi ini memungkinkan Azure Active Directory - Universal with MFA autentikasi untuk mengidentifikasi otoritas autentikasi yang benar. Opsi ini juga diperlukan untuk mendukung akun Microsoft (MSA) seperti akun outlook.com, hotmail.com, live.com, atau akun-akun non-MSA.

Semua pengguna tamu yang ingin diautentikasi menggunakan Autentikasi Universal harus memasukkan nama domain Azure Active Directory atau ID penyewa mereka. Parameter ini menunjukkan nama domain Azure Active Directory saat ini atau ID penyewa yang dikaitkan dengan server logis Azure SQL. Misalnya, jika server logis SQL dikaitkan dengan domain Azure Active Directory contosotest.onmicrosoft.com, di mana pengguna joe@contosodev.onmicrosoft.com dihosting sebagai pengguna yang diimpor dari domain Azure Active Directory contosodev.onmicrosoft.com, nama domain yang diperlukan untuk mengautentikasi pengguna ini adalah contosotest.onmicrosoft.com. Ketika pengguna adalah pengguna asli Azure Active Directory yang terkait dengan server logis SQL, dan bukan akun MSA, tidak ada nama domain atau ID penyewa yang diperlukan. Untuk memasukkan parameter (dimulai dengan Management Studio versi 17.2):

  1. Buka koneksi di Management Studio. Masukkan nama server Anda, dan pilih Azure Active Directory - Universal dengan autentikasi MFA. Tambahkan nama Pengguna yang ingin Anda gunakan untuk masuk.

  2. Pilih kotak Opsi, dan masuk ke tab Properti Koneksi. Dalam kotak dialog Sambungkan ke Database, selesaikan kotak dialog untuk database Anda. Centang kotak Nama domain AD atau ID penyewa, dan berikan otoritas otentikasi, seperti nama domain (contosotest.onmicrosoft.com) atau GUID ID penyewa.

    Cuplikan layar tab Properti Koneksi menyoroti pengaturan untuk Menyambungkan ke database dan nama domain AD atau ID penyewa.

Jika Anda menjalankan Management Studio 18.x atau yang lebih baru, nama domain AD atau ID penyewa tidak lagi diperlukan untuk pengguna tamu karena 18.x atau yang lebih baru secara otomatis mengenalinya.

Cuplikan layar tab Properti Koneksi di dialog Sambungkan ke Server di Management Studio.

Dukungan bisnis-ke-bisnis Azure Active Directory

Pengguna Azure AD yang didukung untuk skenario Azure AD B2B sebagai pengguna tamu (lihat Apa itu kolaborasi Azure B2B) dapat terhubung ke SQL Database dan Azure Synapse sebagai pengguna atau anggota individu grup Azure AD yang dibuat di Azure AD terkait, dan dipetakan secara manual menggunakan pernyataan CREATE USER (Transact-SQL) dalam database tertentu.

Misalnya, jika steve@gmail.com diundang ke Azure AD contosotest (dengan domain Azure AD contosotest.onmicrosoft.com), pengguna steve@gmail.com harus dibuat untuk database tertentu (seperti MyDatabase) oleh administrator SQL Azure AD atau Azure AD DBO dengan mengeksekusi pernyataan create user [steve@gmail.com] FROM EXTERNAL PROVIDER Transact-SQL. Jika steve@gmail.com merupakan bagian dari grup Azure AD, seperti usergroup kemudian grup ini harus dibuat untuk database tertentu (seperti MyDatabase) oleh administrator SQL Azure AD, atau Azure AD DBO dengan mengeksekusi pernyataan create user [usergroup] FROM EXTERNAL PROVIDER pernyataan Transact-SQL.

Setelah pengguna atau grup database dibuat, maka pengguna steve@gmail.com dapat masuk ke MyDatabase menggunakan opsi autentikasi SQL Server Management StudioAzure Active Directory – Universal with MFA. Secara default, pengguna atau grup hanya memiliki izin koneksi. Akses data lebih lanjut harus diberikan dalam database oleh pengguna dengan hak istimewa yang cukup.

Catatan

Untuk Management Studio 17.x, dengan menggunakan steve@gmail.com sebagai pengguna tamu, Anda harus mencentang kotak Nama domain AD atau ID penyewa dan menambahkan nama domain AD contosotest.onmicrosoft.com dalam kotak dialog Properti Koneksi. Opsi Nama domain AD atau ID penyewa hanya didukung untuk Azure Active Directory - Universal dengan autentikasi MFA. Jika tidak, kotak centang itu berwarna abu-abu.

Batasan Autentikasi Universal

  • SQLPackage dan SQLPackage adalah satu-satunya alat yang saat ini diaktifkan untuk MFA melalui Active Directory Universal Authentication.
  • Management Studio versi 17.2 mendukung akses bersamaan multipengguna menggunakan Autentikasi Universal dengan MFA. Untuk Management Studio versi 17.0 dan 17.1, alat ini membatasi login untuk instans SQL Server Management Studio menggunakan Autentikasi Universal ke satu akun Azure Active Directory. Untuk masuk sebagai akun Azure Active Directory lainnya, Anda harus menggunakan instans Management Studio lain. Pembatasan ini terbatas pada Autentikasi Universal Direktori Aktif; Anda dapat masuk ke server lain menggunakan Azure Active Directory - Password autentikasi, Azure Active Directory - Integrated autentikasi, atau SQL Server Authentication.
  • Management Studio mendukung Autentikasi Universal Direktori Aktif untuk visualisasi Object Explorer, Editor Power Query, dan Query Store.
  • SQL Server Management Studio versi 17.2 menyediakan dukungan DacFx Wizard untuk database Export/Extract/Deploy Data. Setelah pengguna tertentu diautentikasi melalui dialog autentikasi awal menggunakan Autentikasi Universal, Wizard DacFx berfungsi dengan cara yang sama seperti yang dilakukannya untuk semua metode autentikasi lainnya.
  • Management Studio Table Designer tidak mendukung Autentikasi Universal.
  • Tidak ada persyaratan perangkat lunak tambahan untuk Active Directory Universal Authentication kecuali bahwa Anda harus menggunakan versi Management Studio yang didukung.
  • Lihat tautan berikut untuk versi Pustaka Autentikasi Microsoft (MSAL) terbaru untuk autentikasi Universal: Ringkasan Pustaka Autentikasi Microsoft (MSAL).

Langkah berikutnya