Prinsipal Windows asli
Berlaku untuk: 
Azure SQL Managed Instance
Mode metadata autentikasi Windows adalah mode baru yang memungkinkan pengguna menggunakan autentikasi Windows atau autentikasi Microsoft Entra (menggunakan metadata utama Windows) dengan Azure SQL Managed Instance. Mode ini hanya tersedia untuk SQL Managed Instance. Mode metadata autentikasi Windows tidak tersedia untuk Azure SQL Database.
Saat lingkungan Anda disinkronkan antara Direktori Aktif (AD) dan ID Microsoft Entra, akun pengguna Windows di AD disinkronkan ke akun pengguna Microsoft Entra di ID Microsoft Entra.
Autentikasi untuk SQL Managed Instance dan SQL Server didasarkan pada metadata yang terkait dengan login. Untuk login autentikasi Windows, metadata dibuat saat login dibuat dari CREATE LOGIN FROM WINDOWS perintah . Untuk masuk Microsoft Entra, metadata dibuat saat login dibuat dari CREATE LOGIN FROM EXTERNAL PROVIDER perintah . Untuk login autentikasi SQL, metadata dibuat saat CREATE LOGIN WITH PASSWORD perintah dijalankan. Proses autentikasi digabungkan erat dengan metadata yang disimpan di SQL Managed Instance atau SQL Server.
Untuk video yang menjelaskan prinsipal Windows asli, Anda juga dapat merujuk ke episode Data Terekspos ini.
Catatan
Menggunakan prinsipal Windows asli dengan mode metadata autentikasi Windows di SQL Managed Instance saat ini dalam pratinjau.
Mode metadata autentikasi
Mode metadata Autentikasi berikut tersedia untuk SQL Managed Instance, dan mode yang berbeda menentukan metadata autentikasi mana yang digunakan untuk autentikasi, bersama dengan cara login dibuat:
- Microsoft Entra (Default): Mode ini memungkinkan autentikasi pengguna Microsoft Entra menggunakan metadata pengguna Microsoft Entra. Untuk menggunakan autentikasi Windows dalam mode ini, lihat Autentikasi Windows untuk perwakilan Microsoft Entra di Azure SQL Managed Instance.
- Dipasangkan (default SQL Server): Mode default untuk autentikasi SQL Server.
- Windows (Mode Baru): Mode ini memungkinkan autentikasi pengguna Microsoft Entra menggunakan metadata pengguna Windows dalam SQL Managed Instance.
Sintaksis CREATE LOGIN FROM WINDOWS dan CREATE USER FROM WINDOWS dapat digunakan untuk membuat login atau pengguna di SQL Managed Instance, masing-masing untuk perwakilan Windows dalam mode metadata autentikasi Windows . Prinsipal Windows bisa menjadi pengguna Windows atau grup Windows.
Untuk menggunakan mode metadata autentikasi Windows , lingkungan pengguna harus Menyinkronkan Direktori Aktif (AD) dengan ID Microsoft Entra.
Mengonfigurasi mode metadata autentikasi
- Buka portal Azure dan navigasikan ke sumber daya SQL Managed Instance Anda.
- Buka Pengaturan > ID Microsoft Entra.
- Pilih mode metadata Autentikasi pilihan Anda dari daftar dropdown.
- Pilih Simpan konfigurasi metadata autentikasi.
Mengatasi tantangan migrasi menggunakan mode metadata autentikasi Windows
Mode metadata autentikasi Windows membantu memodernisasi autentikasi untuk aplikasi, dan membuka blokir tantangan migrasi ke SQL Managed Instance. Berikut adalah beberapa skenario umum di mana mode metadata autentikasi Windows dapat digunakan untuk mengatasi tantangan pelanggan:
- Kompleksitas penyiapan Autentikasi Windows untuk Azure SQL Managed Instance menggunakan ID Microsoft Entra dan Kerberos.
- Failover replika baca-saja di tautan Instans Terkelola.
- Sinkronisasi autentikasi Microsoft Entra untuk SQL Server.
Autentikasi Windows untuk perwakilan Microsoft Entra
Selama lingkungan disinkronkan antara AD dan ID Microsoft Entra, mode metadata autentikasi Windows dapat digunakan untuk mengautentikasi pengguna ke SQL Managed Instance menggunakan login Windows atau login Microsoft Entra, jika login dibuat dari prinsipal Windows (CREATE LOGIN FROM WINDOWS).
Fitur ini sangat berguna bagi pelanggan yang memiliki aplikasi yang menggunakan autentikasi Windows dan bermigrasi ke SQL Managed Instance. Mode metadata autentikasi Windows memungkinkan pelanggan untuk terus menggunakan autentikasi Windows untuk aplikasi mereka tanpa harus membuat perubahan apa pun pada kode aplikasi. Misalnya, aplikasi seperti server BizTalk, yang berjalan CREATE LOGIN FROM WINDOWS dan CREATE USER FROM WINDOWS perintah, dapat terus berfungsi tanpa perubahan apa pun saat bermigrasi ke SQL Managed Instance. Pengguna lain dapat menggunakan login Microsoft Entra yang disinkronkan ke AD untuk mengautentikasi ke SQL Managed Instance.
Link instans terkelola
Meskipun tautan Instans Terkelola memungkinkan replikasi data mendekati real-time antara SQL Server dan SQL Managed Instance, replika baca-saja di cloud mencegah pembuatan perwakilan Microsoft Entra. Mode metadata autentikasi Windows memungkinkan pelanggan menggunakan login Windows yang ada untuk mengautentikasi ke replika jika kegagalan terjadi.
Autentikasi Microsoft Entra untuk SQL Server 2022 dan yang lebih baru
SQL Server 2022 memperkenalkan dukungan untuk autentikasi Microsoft Entra. Banyak pengguna ingin membatasi mode autentikasi untuk hanya menggunakan autentikasi modern, dan memigrasikan semua prinsipal Windows ke ID Microsoft Entra. Namun, ada skenario di mana autentikasi Windows masih diperlukan, seperti kode aplikasi yang terkait dengan prinsipal Windows. Mode metadata autentikasi Windows memungkinkan pelanggan untuk terus menggunakan prinsipal Windows untuk otorisasi dalam SQL Server, saat menggunakan perwakilan Microsoft Entra yang disinkronkan untuk autentikasi.
SQL Server tidak memahami sinkronisasi antara Direktori Aktif dan ID Microsoft Entra. Meskipun pengguna dan grup disinkronkan antara AD dan ID Microsoft Entra, Anda masih harus membuat login menggunakan sintaks CREATE LOGIN FROM EXTERNAL PROVIDER dan menambahkan izin ke login. Mode metadata autentikasi Windows meringankan kebutuhan untuk memigrasikan masuk secara manual ke ID Microsoft Entra.
Perbandingan mode metadata autentikasi
Berikut adalah bagan alur yang menjelaskan cara kerja mode metadata autentikasi dengan SQL Managed Instance:
Sebelumnya, pelanggan yang menyinkronkan pengguna antara AD dan MICROSOFT Entra ID tidak akan dapat mengautentikasi dengan login yang dibuat dari prinsipal Windows, apakah mereka menggunakan autentikasi Windows atau autentikasi Microsoft Entra yang disinkronkan dari AD. Dengan mode metadata autentikasi Windows, pelanggan sekarang dapat mengautentikasi dengan login yang dibuat dari perwakilan Windows menggunakan autentikasi Windows atau perwakilan Microsoft Entra yang disinkronkan.
Untuk pengguna yang disinkronkan, autentikasi berhasil atau gagal berdasarkan konfigurasi dan jenis login berikut:
| Mode metadata autentikasi | DARI WINDOWS | DARI PENYEDIA EKSTERNAL |
|---|---|---|
| Mode Windows | ||
| Autentikasi Microsoft Entra | Berhasil | Gagal |
| Autentikasi Windows | Berhasil | Gagal |
| Mode ID Microsoft Entra | ||
| Autentikasi Microsoft Entra | Gagal | Berhasil |
| Autentikasi Windows | Gagal | Berhasil |
| Mode berpasangan | ||
| Autentikasi Microsoft Entra | Gagal | Berhasil |
| Autentikasi Windows | Berhasil | Gagal |
Konten terkait
Pelajari selengkapnya tentang menerapkan Autentikasi Windows untuk perwakilan Microsoft Entra di SQL Managed Instance:
- Apakah Autentikasi Windows untuk prinsipal Microsoft Entra di Instans Terkelola Azure SQL?
- Bagaimana Autentikasi Windows untuk Azure SQL Managed Instance diimplementasikan dengan ID Microsoft Entra dan Kerberos.
- Cara menyiapkan Autentikasi Windows untuk ID Microsoft Entra dengan alur interaktif modern.
- Cara menyiapkan Autentikasi Windows untuk ID Microsoft Entra dengan alur berbasis kepercayaan masuk.
- Mengonfigurasi Azure SQL Managed Instance untuk Autentikasi Windows untuk ID Microsoft Entra.