Apakah Autentikasi Windows untuk prinsipal Microsoft Entra di Instans Terkelola Azure SQL?
Berlaku untuk: Azure SQL Managed Instance
Azure SQL Managed Instance adalah layanan database cloud cerdas dan dapat diskalakan yang menggabungkan kompatibilitas mesin database SQL Server terluas dengan keuntungan platform yang dikelola penuh serta bertahan lama sebagai layanan. Autentikasi Kerberos untuk ID Microsoft Entra (sebelumnya Azure Active Directory) memungkinkan akses Autentikasi Windows ke Azure SQL Managed Instance. Autentikasi Windows untuk instans terkelola memberdayakan pelanggan untuk memindahkan layanan yang ada ke cloud sekaligus mempertahankan pengalaman pengguna tanpa hambatan dan menyediakan dasar untuk modernisasi infrastruktur.
Catatan
ID Microsoft Entra sebelumnya dikenal sebagai Azure Active Directory (Azure AD).
Kemampuan dan skenario utama
Saat pelanggan memodernisasi infrastruktur, aplikasi, dan tingkat data mereka, mereka juga memodernisasi kemampuan manajemen identitas mereka dengan beralih ke ID Microsoft Entra. Azure SQL menawarkan beberapa opsi autentikasi Microsoft Entra:
- Kata sandi menawarkan autentikasi dengan kredensial Microsoft Entra
- Universal dengan MFA menambahkan autentikasi multifaktor
- Terintegrasi menggunakan penyedia federasi seperti Layanan Federasi Direktori Aktif (ADFS) untuk mengaktifkan pengalaman akses menyeluruh (SSO)
- Perwakilan Layanan memungkinkan autentikasi dari aplikasi Azure
- Identitas Terkelola memungkinkan autentikasi dari aplikasi yang ditetapkan identitas Microsoft Entra
Namun, beberapa aplikasi warisan tidak dapat mengubah autentikasi mereka ke ID Microsoft Entra: kode aplikasi warisan mungkin lebih lama tersedia, mungkin ada dependensi pada driver warisan, klien mungkin tidak dapat diubah, dan sebagainya. Autentikasi Windows untuk perwakilan Microsoft Entra menghapus pemblokir migrasi ini dan menyediakan dukungan untuk berbagai aplikasi pelanggan yang lebih luas.
Autentikasi Windows untuk perwakilan Microsoft Entra pada instans terkelola tersedia untuk perangkat atau komputer virtual (VM) yang bergabung ke Direktori Aktif, ID Microsoft Entra, atau ID Microsoft Entra hibrid - identitas pengguna Microsoft Entra hibrid ada baik di ID Microsoft Entra maupun Direktori Aktif dan dapat mengakses instans terkelola di Azure menggunakan Microsoft Entra Kerberos.
Mengaktifkan Autentikasi Windows untuk instans terkelola tidak mengharuskan pelanggan untuk menyebarkan infrastruktur lokal baru atau mengelola overhead penyiapan Domain Services.
Autentikasi Windows untuk perwakilan Microsoft Entra di Azure SQL Managed Instance memungkinkan dua skenario utama: memigrasikan SQL Server lokal ke Azure dengan perubahan minimal dan memodernisasi infrastruktur keamanan.
Angkat dan alihkan SQL Server lokal ke Azure dengan perubahan minimal
Dengan mengaktifkan Autentikasi Windows untuk perwakilan Microsoft Entra, pelanggan dapat bermigrasi ke Azure SQL Managed Instance tanpa menerapkan perubahan pada tumpukan autentikasi aplikasi atau menyebarkan Microsoft Entra Domain Services. Pelanggan juga dapat menggunakan Autentikasi Windows untuk mengakses instans terkelola dari Direktori Aktif atau perangkat yang bergabung dengan Microsoft Entra.
Autentikasi Windows untuk perwakilan Microsoft Entra juga mengaktifkan pola berikut pada instans terkelola. Pola ini sering digunakan dalam SQL Server lokal tradisional:
- Autentikasi "Double hop": Aplikasi web menggunakan peniruan identitas IIS untuk menjalankan kueri terhadap instans dalam konteks keamanan pengguna akhir.
- Pelacakan menggunakan kejadian yang diperluas dan SQL Server Profiler dapat diluncurkan menggunakan NTLM, sehingga memberikan kemudahan penggunaan bagi administrator database dan pengembang yang terbiasa dengan alur kerja ini. Pelajari cara menjalankan jejak terhadap Azure SQL Managed Instance menggunakan Autentikasi Windows untuk perwakilan Microsoft Entra.
Memodernisasi infrastruktur keamanan
Mengaktifkan Autentikasi Windows untuk perwakilan Microsoft Entra di Azure SQL Managed Instance membekali pelanggan untuk memodernisasi praktik keamanan mereka.
Misalnya, pelanggan dapat mengaktifkan analis seluler, dengan menggunakan alat terbukti yang mengandalkan Autentikasi Windows, untuk mengautentikasi ke instans terkelola menggunakan info masuk biometrik. Ini dapat dicapai bahkan jika analis seluler bekerja dari laptop yang digabungkan ke ID Microsoft Entra.
Langkah berikutnya
Pelajari selengkapnya tentang menerapkan Autentikasi Windows untuk perwakilan Microsoft Entra di Azure SQL Managed Instance: