Menggunakan autentikasi Azure Active Directory multifaktor
Berlaku untuk: Azure SQL Database
Azure SQL Managed Instance
Azure Synapse Analytics
Azure SQL Database, Azure SQL Managed Instance, dan Azure Synapse Analytics mendukung koneksi dari SQL Server Management Studio (SSMS) menggunakan Azure Active Directory - Universal dengan autentikasi MFA. Artikel ini membahas perbedaan antara berbagai opsi autentikasi, dan juga batasan yang terkait dengan penggunaan Autentikasi Universal di Azure Active Directory (Azure AD) untuk Azure SQL.
Unduh Management Studio terbaru - Di komputer klien, unduh versi terbaru Management Studio, dari Unduh SQL Server Management Studio (SSMS).
Catatan
Pada bulan Desember 2021, rilis SSMS sebelum 18.6 tidak akan lagi diautentikasi melalui Azure Active Directory dengan MFA.
Untuk terus menggunakan autentikasi Azure Active Directory dengan MFA, Anda memerlukan SSMS 18.6 atau yang lebih baru.
Untuk semua fitur yang dibahas dalam artikel ini, gunakan setidaknya pada Juli 2017, versi 17.2. Kotak dialog koneksi terbaru akan terlihat mirip dengan gambar berikut:
Opsi autentikasi
Ada dua model autentikasi non-interaktif untuk Azure Active Directory, yang dapat digunakan dalam banyak aplikasi yang berbeda (ADO.NET, JDCB, ODC, dan sebagainya). Kedua metode ini tidak pernah menghasilkan kotak dialog pop-up:
Azure Active Directory - Password
Azure Active Directory - Integrated
Metode interaktif yang juga mendukung autentikasi multifaktor (MFA) Azure Active Directory adalah:
Azure Active Directory - Universal with MFA
Azure Active Directory Multifactor Authentication membantu melindungi akses ke data dan aplikasi sambil memenuhi permintaan pengguna untuk proses masuk sederhana. Ini memberikan autentikasi yang kuat dengan berbagai opsi verifikasi mudah (panggilan telepon, pesan teks, kartu pintar dengan pin, atau pemberitahuan aplikasi seluler), memungkinkan pengguna untuk memilih metode yang mereka sukai. Autentikasi multifaktor interaktif dengan Azure Active Directory dapat menghasilkan kotak dialog pop-up untuk validasi.
Untuk deskripsi autentikasi multifaktor Azure Active Directory, lihat autentikasi multifaktor. Untuk langkah-langkah konfigurasi,lihat Konfigurasikan autentikasi multifaktor Azure SQL Database untuk SQL Server Management Studio.
Nama domain Azure Active Directory atau parameter ID penyewa
Dimulai dengan Management Studio versi 17, pengguna yang diimpor ke Azure Active Directory saat ini dari Azure Active Directory lain sebagai pengguna tamu, dapat memberikan nama domain Azure Active Directory, atau ID penyewa saat mereka tersambung. Pengguna tamu mencakup pengguna yang diundang dari Azure Active Directory lain, akun Microsoft seperti outlook.com, hotmail.com, live.com, atau akun lain seperti gmail.com. Informasi ini memungkinkan Azure Active Directory - Universal with MFA
autentikasi untuk mengidentifikasi otoritas autentikasi yang benar. Opsi ini juga diperlukan untuk mendukung akun Microsoft (MSA) seperti akun outlook.com, hotmail.com, live.com, atau akun-akun non-MSA.
Semua pengguna tamu yang ingin diautentikasi menggunakan Autentikasi Universal harus memasukkan nama domain Azure Active Directory atau ID penyewa mereka. Parameter ini menunjukkan nama domain Azure Active Directory saat ini atau ID penyewa yang dikaitkan dengan server logis Azure SQL. Misalnya, jika server logis SQL dikaitkan dengan domain Azure Active Directory contosotest.onmicrosoft.com
, di mana pengguna joe@contosodev.onmicrosoft.com
dihosting sebagai pengguna yang diimpor dari domain Azure Active Directory contosodev.onmicrosoft.com
, nama domain yang diperlukan untuk mengautentikasi pengguna ini adalah contosotest.onmicrosoft.com
. Ketika pengguna adalah pengguna asli Azure Active Directory yang terkait dengan server logis SQL, dan bukan akun MSA, tidak ada nama domain atau ID penyewa yang diperlukan. Untuk memasukkan parameter (dimulai dengan Management Studio versi 17.2):
Buka koneksi di Management Studio. Masukkan nama server Anda, dan pilih Azure Active Directory - Universal dengan autentikasi MFA. Tambahkan nama Pengguna yang ingin Anda gunakan untuk masuk.
Pilih kotak Opsi, dan masuk ke tab Properti Koneksi. Dalam kotak dialog Sambungkan ke Database, selesaikan kotak dialog untuk database Anda. Centang kotak Nama domain AD atau ID penyewa, dan berikan otoritas otentikasi, seperti nama domain (contosotest.onmicrosoft.com) atau GUID ID penyewa.
Jika Anda menjalankan Management Studio 18.x atau yang lebih baru, nama domain AD atau ID penyewa tidak lagi diperlukan untuk pengguna tamu karena 18.x atau yang lebih baru secara otomatis mengenalinya.
Dukungan bisnis-ke-bisnis Azure Active Directory
Pengguna Azure AD yang didukung untuk skenario Azure AD B2B sebagai pengguna tamu (lihat Apa itu kolaborasi Azure B2B) dapat terhubung ke SQL Database dan Azure Synapse sebagai pengguna atau anggota individu grup Azure AD yang dibuat di Azure AD terkait, dan dipetakan secara manual menggunakan pernyataan CREATE USER (Transact-SQL) dalam database tertentu.
Misalnya, jika steve@gmail.com
diundang ke Azure AD contosotest
(dengan domain Azure AD contosotest.onmicrosoft.com
), pengguna steve@gmail.com
harus dibuat untuk database tertentu (seperti MyDatabase) oleh administrator SQL Azure AD atau Azure AD DBO dengan mengeksekusi pernyataan create user [steve@gmail.com] FROM EXTERNAL PROVIDER
Transact-SQL. Jika steve@gmail.com
merupakan bagian dari grup Azure AD, seperti usergroup
kemudian grup ini harus dibuat untuk database tertentu (seperti MyDatabase) oleh administrator SQL Azure AD, atau Azure AD DBO dengan mengeksekusi pernyataan create user [usergroup] FROM EXTERNAL PROVIDER
pernyataan Transact-SQL.
Setelah pengguna atau grup database dibuat, maka pengguna steve@gmail.com
dapat masuk ke MyDatabase
menggunakan opsi autentikasi SQL Server Management StudioAzure Active Directory – Universal with MFA
. Secara default, pengguna atau grup hanya memiliki izin koneksi. Akses data lebih lanjut harus diberikan dalam database oleh pengguna dengan hak istimewa yang cukup.
Catatan
Untuk Management Studio 17.x, dengan menggunakan steve@gmail.com
sebagai pengguna tamu, Anda harus mencentang kotak Nama domain AD atau ID penyewa dan menambahkan nama domain AD contosotest.onmicrosoft.com
dalam kotak dialog Properti Koneksi. Opsi Nama domain AD atau ID penyewa hanya didukung untuk Azure Active Directory - Universal dengan autentikasi MFA. Jika tidak, kotak centang itu berwarna abu-abu.
Batasan Autentikasi Universal
- SQLPackage dan SQLPackage adalah satu-satunya alat yang saat ini diaktifkan untuk MFA melalui Active Directory Universal Authentication.
- Management Studio versi 17.2 mendukung akses bersamaan multipengguna menggunakan Autentikasi Universal dengan MFA. Untuk Management Studio versi 17.0 dan 17.1, alat ini membatasi login untuk instans SQL Server Management Studio menggunakan Autentikasi Universal ke satu akun Azure Active Directory. Untuk masuk sebagai akun Azure Active Directory lainnya, Anda harus menggunakan instans Management Studio lain. Pembatasan ini terbatas pada Autentikasi Universal Direktori Aktif; Anda dapat masuk ke server lain menggunakan
Azure Active Directory - Password
autentikasi,Azure Active Directory - Integrated
autentikasi, atauSQL Server Authentication
. - Management Studio mendukung Autentikasi Universal Direktori Aktif untuk visualisasi Object Explorer, Editor Power Query, dan Query Store.
- SQL Server Management Studio versi 17.2 menyediakan dukungan DacFx Wizard untuk database Export/Extract/Deploy Data. Setelah pengguna tertentu diautentikasi melalui dialog autentikasi awal menggunakan Autentikasi Universal, Wizard DacFx berfungsi dengan cara yang sama seperti yang dilakukannya untuk semua metode autentikasi lainnya.
- Management Studio Table Designer tidak mendukung Autentikasi Universal.
- Tidak ada persyaratan perangkat lunak tambahan untuk Active Directory Universal Authentication kecuali bahwa Anda harus menggunakan versi Management Studio yang didukung.
- Lihat tautan berikut untuk versi Pustaka Autentikasi Microsoft (MSAL) terbaru untuk autentikasi Universal: Ringkasan Pustaka Autentikasi Microsoft (MSAL).
Langkah berikutnya
- Untuk langkah-langkah konfigurasi,lihat Konfigurasikan autentikasi multifaktor Azure SQL Database untuk SQL Server Management Studio.
- Memberikan orang lain akses ke database Anda: Autentikasi dan Autorisasi SQL Database: Memberikan Akses
- Memastikan orang lain dapat terhubung melalui firewall: Mengonfigurasi aturan firewall tingkat server menggunakan portal Azure
- Mengonfigurasi dan mengelola autentikasi Azure Active Directory dengan SQL Database atau Azure Synapse
- Membuat pengguna tamu Azure Active Directory dan menetapkan sebagai admin Azure Active Directory
- Microsoft SQL Server Data-Tier Application Framework (17.0.0 GA)
- SQLPackage
- Mengimpor file BACPAC ke database baru
- Mengekspor database ke file BACPAC
- Antarmuka C# IUniversalAuthProvider Interface