Bagikan melalui

Menyambungkan ke sumber daya Azure SQL dengan autentikasi Microsoft Entra

  • Artikel

Berlaku untuk: Azure SQL Database Azure SQL Managed InstanceAzure Synapse Analytics

Artikel ini memperlihatkan kepada Anda cara menggunakan autentikasi Microsoft Entra untuk menyambungkan ke Azure SQL Database, Azure SQL Managed Instance, dan Azure Synapse Analytics.

Prasyarat

Untuk menyambungkan ke sumber daya Azure SQL, Anda harus mengonfigurasi autentikasi Microsoft Entra untuk sumber daya Anda.

Untuk mengonfirmasi administrator Microsoft Entra disiapkan dengan benar, sambungkan ke master database menggunakan akun administrator Microsoft Entra. Untuk membuat pengguna database mandiri berbasis Microsoft Entra, sambungkan ke database dengan identitas Microsoft Entra dengan akses ke database dan setidaknya ALTER ANY USER izin.

Menyambungkan dengan SSMS atau SSDT

Prosedur berikut menunjukkan cara menyambungkan ke SQL Database dengan identitas Microsoft Entra menggunakan SQL Server Management Studio (SSMS) atau SQL Server Database Tools (SSDT).

Microsoft Entra Terintegrasi

Gunakan metode ini saat Anda ingin masuk menggunakan kredensial Windows yang digabungkan ke dalam ID Microsoft Entra. Untuk informasi selengkapnya, lihat Single sign-on tanpa hambatan Microsoft Entra.

  1. Mulai SQL Server Management Directory atau SSDT dan di tab Masuk kotak dialog Sambungkan ke Server (atau Sambungkan ke Mesin Database):

    1. Berikan Nama server dalam format <server-name>.database.windows.net.
    2. Untuk Autentikasi, pilih Microsoft Entra Integrated. Tidak perlu memasukkan kata sandi karena kredensial Anda yang ada disajikan untuk koneksi.
    3. Untuk Enkripsi, pilih Strict (SQL Server 2022 dan Azure SQL), yang harus digunakan untuk menyambungkan ke sumber daya Azure SQL.

    Cuplikan layar dari SSMS memperlihatkan autentikasi Microsoft Entra Integrated.

  2. Pada tab Properti koneksi , di bidang Sambungkan ke database , ketik nama database pengguna yang ingin Anda sambungkan.

    Cuplikan layar dari SSMS menu Opsi.

Kata Sandi Microsoft Entra

Gunakan metode ini saat menyambungkan dengan nama utama Microsoft Entra menggunakan domain terkelola Microsoft Entra. Anda juga dapat menggunakannya untuk akun federasi tanpa akses ke domain saat, misalnya, bekerja dari jarak jauh.

Gunakan metode ini untuk mengautentikasi ke database di SQL Database atau SQL Managed Instance dengan pengguna identitas khusus cloud Microsoft Entra, atau mereka yang menggunakan identitas hibrid Microsoft Entra. Metode ini mendukung pengguna yang ingin menggunakan kredensial Windows mereka, tetapi komputer lokal mereka tidak bergabung dengan domain (misalnya, menggunakan akses jarak jauh). Dalam hal ini, pengguna Windows dapat menunjukkan akun domain dan kata sandi mereka, dan dapat mengautentikasi ke database di Database SQL, SQL Managed Instance, atau Azure Synapse.

  1. Mulai SSMS atau SSDT dan pada tab Masuk dari kotak dialog Sambungkan ke Server (atau Sambungkan ke Mesin Database):

    1. Berikan Nama server dalam format <server-name>.database.windows.net.
    2. Untuk Autentikasi, pilih Kata Sandi Microsoft Entra.
    3. Dalam kotak Nama pengguna, ketik nama pengguna Microsoft Entra Anda dalam format username@domain.com. Nama pengguna harus merupakan akun dari ID Microsoft Entra atau akun dari domain terkelola atau federasi dengan ID Microsoft Entra.
    4. Dalam kotak Kata Sandi , ketik kata sandi pengguna Anda untuk akun Microsoft Entra atau akun domain terkelola/federasi.
    5. Untuk Enkripsi, pilih Strict (SQL Server 2022 dan Azure SQL), yang harus digunakan untuk menyambungkan ke sumber daya Azure SQL.

    Cuplikan layar dari SSMS menggunakan autentikasi Microsoft Entra Password.

  2. Pada tab Properti koneksi , di bidang Sambungkan ke database , ketik nama database pengguna yang ingin Anda sambungkan.

    Cuplikan layar dari SSMS menu Opsi.

Microsoft Entra MFA

Gunakan metode ini untuk autentikasi interaktif dengan autentikasi multifaktor (MFA), dengan kata sandi diminta secara interaktif. Metode ini dapat digunakan untuk mengautentikasi ke database di SQL Database, SQL Managed Instance, dan Azure Synapse Analytics untuk pengguna identitas khusus cloud Microsoft Entra, atau mereka yang menggunakan identitas hibrid Microsoft Entra.

Langkah-langkah berikut menunjukkan cara menyambungkan menggunakan autentikasi multifaktor di versi terbaru SSMS.

  1. Untuk menyambungkan menggunakan MFA, pada kotak dialog Sambungkan ke Server di SSMS pilih Microsoft Entra MFA.

    Cuplikan layar dialog Sambungkan ke Server di SSMS. 'Microsoft Entra MFA' dipilih dari jendela daftar dropdown autentikasi.

  2. Isi kotak Nama server dengan nama server Anda. Isi kotak Nama pengguna dengan kredensial Microsoft Entra Anda, dalam format user_name@domain.com.

    Cuplikan layar pengaturan dialog Sambungkan ke Server di SSMS, dengan semua bidang terisi.

  3. Pilih Sambungkan.

  4. Saat kotak dialog Masuk ke akun Anda muncul, kotak dialog harus diisi sebelumnya dengan Nama pengguna yang Anda berikan di langkah 2. Tidak ada kata sandi yang diperlukan jika pengguna adalah bagian dari domain yang terfederasi dengan ID Microsoft Entra.

    Cuplikan layar dialog Masuk ke akun Anda untuk Azure SQL Database dan Gudang Data. Nama akun diisi.

  5. Anda akan diminta untuk mengautentikasi menggunakan salah satu metode yang dikonfigurasi berdasarkan pengaturan administrator MFA.

  6. Ketika verifikasi selesai, SSMS terhubung secara normal, dengan asumsi kredensial dan akses firewall yang valid.

Perwakilan Layanan Microsoft Entra

Gunakan metode ini untuk mengautentikasi ke database di SQL Database atau SQL Managed Instance dengan perwakilan layanan Microsoft Entra (aplikasi Microsoft Entra). Untuk informasi selengkapnya, lihat Perwakilan layanan Microsoft Entra dengan Azure SQL.

Identitas Terkelola Microsoft Entra

Gunakan metode ini untuk mengautentikasi ke database di SQL Database atau SQL Managed Instance dengan identitas terkelola Microsoft Entra. Untuk informasi selengkapnya, lihat Identitas terkelola di Microsoft Entra untuk Azure SQL.

Microsoft Entra Default

Opsi Autentikasi default dengan MICROSOFT Entra ID memungkinkan autentikasi yang dilakukan melalui mekanisme tanpa kata sandi dan non-interaktif termasuk identitas terkelola.

Menyambungkan dari aplikasi klien

Prosedur berikut menunjukkan kepada Anda cara menyambungkan ke SQL Database dengan identitas Microsoft Entra dari aplikasi klien. Ini bukan daftar lengkap metode autentikasi saat menggunakan identitas Microsoft Entra. Untuk informasi selengkapnya, lihat Menyambungkan ke Azure SQL dengan autentikasi Microsoft Entra dan SqlClient.

Mengonfigurasi aplikasi klien Anda

Catatan

System.Data.SqlClient menggunakan Azure Active Directory Authentication Library (ADAL), yang tidak digunakan lagi. Jika Anda menggunakan namespace System.Data.SqlClient untuk autentikasi Microsoft Entra, migrasikan aplikasi ke Microsoft.Data.SqlClient dan Microsoft Authentication Library (MSAL). Untuk memahami metode koneksi yang tersedia di .NET, lihat Menyambungkan ke Azure SQL dengan autentikasi Microsoft Entra dan SqlClient.

Jika Anda harus terus menggunakan ADAL.DLL di aplikasi, Anda dapat menggunakan tautan di bagian ini untuk menginstal driver ODBC atau OLE DB terbaru, yang berisi pustaka ADAL.DLL terbaru.

Di semua komputer klien tempat aplikasi atau pengguna Anda terhubung ke SQL Database atau Azure Synapse Analytics menggunakan identitas Microsoft Entra, Anda harus menginstal perangkat lunak berikut:

Anda dapat memenuhi persyaratan ini dengan:

  • Menginstal versi terbaru SQL Server Management Studio atau SQL Server Data Tools untuk memenuhi persyaratan .NET Framework 4.6.
    • SQL Server Management Studio (SSMS) menginstal versi x86 dari ADAL.DLL.
    • SQL Server Data Tools (SSDT) menginstal versi amd64 dari ADAL.DLL.
    • Visual Studio terbaru dari Unduhan Visual Studio memenuhi persyaratan .NET Framework 4.6 tetapi tidak menginstal versi amd64 yang diperlukan ADAL.DLL.

Autentikasi terintegrasi Microsoft Entra

Untuk menggunakan autentikasi Windows terintegrasi, Direktori Aktif domain Anda harus digabungkan dengan ID Microsoft Entra, atau harus menjadi domain terkelola yang dikonfigurasi untuk akses menyeluruh tanpa hambatan untuk autentikasi hash pass-through atau kata sandi. Untuk informasi selengkapnya, lihat Single sign-on tanpa hambatan Microsoft Entra.

Aplikasi klien Anda (atau layanan) yang tersambung ke database harus berjalan pada mesin yang bergabung dengan domain di bawah kredensial domain pengguna.

Untuk menyambungkan ke database menggunakan autentikasi terintegrasi dan identitas Microsoft Entra, Authentication kata kunci dalam database string koneksi harus diatur ke Active Directory Integrated. Ganti <server_name> dengan nama server logis SQL Anda. Contoh kode C# berikut menggunakan ADO.NET.

string ConnectionString = @"Data Source=<server-name>.database.windows.net; Authentication=Active Directory Integrated; Initial Catalog=testdb;";
SqlConnection conn = new SqlConnection(ConnectionString);
conn.Open();

Kata kunci Integrated Security=True string koneksi tidak didukung untuk menyambungkan ke Azure SQL Database. Saat membuat koneksi ODBC, Anda perlu menghapus spasi dan mengatur autentikasi ke ActiveDirectoryIntegrated.

Autentikasi kata sandi Microsoft Entra

Untuk menyambungkan ke database menggunakan akun pengguna identitas khusus cloud Microsoft Entra, atau mereka yang menggunakan identitas hibrid Microsoft Entra, kata kunci Autentikasi harus diatur ke Active Directory Password. String koneksi harus berisi kata kunci dan nilai User ID/UID dan Password/PWD. Ganti <server_name>, <email_address> dan <password> dengan nilai yang sesuai. Contoh kode C# berikut menggunakan ADO.NET.

string ConnectionString =
@"Data Source=<server-name>.database.windows.net; Authentication=Active Directory Password; Initial Catalog=testdb; UID=<email_address>; PWD=<password>";
SqlConnection conn = new SqlConnection(ConnectionString);
conn.Open();

Pelajari selengkapnya tentang metode autentikasi Microsoft Entra menggunakan sampel kode demo yang tersedia di Demo GitHub autentikasi Microsoft Entra.

Token akses ID Microsoft Entra

Metode autentikasi ini memungkinkan layanan tingkat menengah untuk mendapatkan JSON Web Tokens (JWT) untuk menyambungkan ke database di SQL Database, SQL Managed Instance, atau Azure Synapse dengan mendapatkan token dari ID Microsoft Entra. Metode ini memungkinkan berbagai skenario aplikasi termasuk identitas layanan, prinsipal layanan, dan aplikasi menggunakan autentikasi berbasis sertifikat. Anda harus menyelesaikan empat langkah dasar untuk menggunakan autentikasi token Microsoft Entra:

  1. Daftarkan aplikasi Anda dengan ID Microsoft Entra dan dapatkan ID klien untuk kode Anda.
  2. Buat pengguna database yang mewakili aplikasi (seperti yang dijelaskan di bagian Buat pengguna mandiri yang dipetakan ke identitas Microsoft Entra.)
  3. Buat sertifikat pada komputer klien yang menjalankan aplikasi.
  4. Tambahkan sertifikat sebagai kunci untuk aplikasi Anda.

Contoh string koneksi. Ganti <server-name> dengan nama server logis Anda:

string ConnectionString = @"Data Source=<server-name>.database.windows.net; Initial Catalog=testdb;";
SqlConnection conn = new SqlConnection(ConnectionString);
conn.AccessToken = "Your JWT token";
conn.Open();

Untuk informasi selengkapnya, lihat Blog Keamanan SQL Server. Untuk informasi tentang menambahkan sertifikat, lihat Mulai menggunakan autentikasi berbasis sertifikat di ID Microsoft Entra.

Autentikasi multifaktor Microsoft Entra

Autentikasi multifaktor Microsoft Entra adalah metode autentikasi yang didukung untuk semua alat SQL. Untuk informasi tentang mengautentikasi secara terprogram dengan MICROSOFT Entra ID, lihat Gambaran Umum Microsoft Authentication Library (MSAL).

sqlcmd

Pernyataan berikut terhubung menggunakan sqlcmd versi 13.1. Unduh Utilitas Baris Perintah Microsoft 14.0 untuk SQL Server.

Catatan

sqlcmd dengan -G perintah tidak berfungsi dengan identitas sistem, dan memerlukan login utama pengguna.

sqlcmd -S <database or datawarehouse name>.<server-name>.database.windows.net -G
sqlcmd -S <database or datawarehouse name>.<server-name>.database.windows.net -U adrian@contoso.com -P <password> -G -l 30

Menyambungkan di editor kueri portal Azure (Azure SQL Database)

Untuk informasi selengkapnya tentang editor kueri portal Azure untuk Azure SQL Database, lihat Mulai Cepat: Menggunakan editor kueri portal Azure untuk mengkueri Azure SQL Database.

  1. Navigasi ke database SQL Anda di portal Azure. Misalnya, kunjungi dasbor Azure SQL Anda.

  2. Pada halaman Gambaran Umum database SQL Anda di portal Azure, pilih Editor kueri dari menu sebelah kiri.

  3. Pada layar masuk di bawah Selamat Datang di SQL Database Editor Kueri, pilih Lanjutkan sebagai <ID> pengguna atau grup Anda.

Konten terkait