Bagikan melalui


Autentikasi Microsoft Entra untuk SQL Server

Berlaku untuk: SQL Server 2022 (16.x)

SQL Server 2022 (16.x) memperkenalkan dukungan untuk autentikasi dengan MICROSOFT Entra ID (sebelumnya Azure Active Directory), di lokal Windows dan Linux, dan SQL Server di Azure Windows VM.

Gunakan ID Microsoft Entra dengan instans SQL Server mandiri atau grup ketersediaan AlwaysOn. Instans kluster failover SQL Server saat ini tidak mendukung autentikasi Microsoft Entra.

Gambaran Umum

Anda sekarang dapat tersambung ke SQL Server menggunakan metode autentikasi Microsoft Entra berikut:

  • Autentikasi default
  • Nama pengguna dan kata sandi
  • Terintegrasi
  • Universal dengan autentikasi multifaktor
  • Perwakilan layanan
  • Identitas terkelola
  • Token akses

Mode autentikasi yang ada, autentikasi SQL, dan autentikasi Windows tetap tidak berubah.

ID Microsoft Entra adalah layanan manajemen identitas dan akses berbasis cloud Azure. MICROSOFT Entra ID secara konseptual mirip dengan Active Directory, menyediakan repositori terpusat untuk mengelola akses ke sumber daya organisasi Anda. Identitas adalah objek dalam ID Microsoft Entra yang mewakili pengguna, grup, atau aplikasi. Mereka dapat ditetapkan izin melalui kontrol akses berbasis peran dan digunakan untuk autentikasi ke sumber daya Azure. Autentikasi Microsoft Entra didukung untuk:

  • Azure SQL Database
  • Instans Terkelola Azure SQL
  • SQL Server di VM Windows Azure
  • Azure Synapse Analytics
  • SQL Server

Untuk informasi selengkapnya, lihat Menggunakan autentikasi Microsoft Entra dengan Azure SQL dan Mengonfigurasi dan mengelola autentikasi Microsoft Entra dengan Azure SQL.

Jika Direktori Aktif Windows Server Anda digabungkan dengan ID Microsoft Entra, pengguna dapat mengautentikasi dengan SQL Server menggunakan kredensial Windows mereka, baik sebagai login Windows atau masuk Microsoft Entra. Meskipun MICROSOFT Entra ID tidak mendukung semua fitur AD yang didukung oleh Windows Server Active Directory, seperti akun layanan atau arsitektur forest jaringan yang kompleks. Ada kemampuan lain dari ID Microsoft Entra seperti autentikasi multifaktor yang tidak tersedia dengan Direktori Aktif. Bandingkan MICROSOFT Entra ID dengan Direktori Aktif untuk mempelajari lebih lanjut.

Menyambungkan SQL Server ke Azure dengan ID Microsoft Entra

Agar SQL Server dapat berkomunikasi dengan Azure, baik SQL Server maupun host Windows atau Linux yang dijalankannya harus terdaftar di Azure Arc. Untuk mengaktifkan komunikasi SQL Server dengan Azure, Anda perlu menginstal Azure Arc Agent dan ekstensi Azure untuk SQL Server.

Untuk memulai, lihat Menyambungkan SQL Server Anda ke Azure Arc.

Catatan

Jika Anda menjalankan SQL Server di Komputer Virtual Azure, Anda tidak perlu mendaftarkan VM dengan Azure Arc, Anda harus mendaftarkan VM dengan ekstensi Agen IaaS SQL. Setelah VM terdaftar, lihat Mengaktifkan autentikasi Azure ACTIVE Directory untuk SQL Server di Azure VM untuk detail selengkapnya.

Autentikasi default

Opsi autentikasi default dengan ID Microsoft Entra yang memungkinkan autentikasi melalui mekanisme tanpa kata sandi dan non-interaktif termasuk identitas terkelola, Visual Studio, Visual Studio Code, Azure CLI, dan banyak lagi.

Nama pengguna dan kata sandi

Memungkinkan menentukan nama pengguna dan kata sandi ke klien dan driver. Metode nama pengguna dan kata sandi biasanya dinonaktifkan pada banyak penyewa karena alasan keamanan. Meskipun koneksi dienkripsi, praktik terbaik/disarankan untuk menghindari penggunaan nama pengguna dan kata sandi jika memungkinkan karena memerlukan pengiriman kata sandi melalui jaringan.

Terintegrasi

Dengan autentikasi Windows Terintegrasi (IWA), MICROSOFT Entra ID menyediakan solusi untuk organisasi dengan infrastruktur lokal dan cloud. Domain Active Directory lokal dapat disinkronkan dengan ID Microsoft Entra melalui federasi, memungkinkan manajemen dan kontrol akses ditangani dalam ID Microsoft Entra, sementara autentikasi pengguna tetap lokal. Dengan IWA, kredensial Windows pengguna diautentikasi terhadap Direktori Aktif, dan setelah berhasil token autentikasi pengguna dari ID Microsoft Entra dikembalikan ke SQL.

Universal dengan autentikasi multifaktor

Ini adalah metode interaktif standar dengan opsi autentikasi multifaktor untuk akun Microsoft Entra. Ini berfungsi dalam sebagian besar skenario.

Perwakilan layanan

Perwakilan layanan adalah identitas yang dapat dibuat untuk digunakan dengan alat, pekerjaan, dan aplikasi otomatis. Dengan metode autentikasi perwakilan layanan, Anda dapat terhubung ke instans SQL Server Anda menggunakan ID klien dan rahasia identitas perwakilan layanan.

Identitas terkelola

Identitas terkelola adalah bentuk khusus dari perwakilan layanan. Ada dua jenis identitas terkelola, yaitu identitas yang ditetapkan sistem dan identitas yang ditetapkan pengguna. Identitas terkelola yang ditetapkan sistem diaktifkan langsung pada sumber daya Azure, sedangkan identitas terkelola yang ditetapkan pengguna adalah sumber daya mandiri yang dapat ditetapkan ke satu atau beberapa sumber daya Azure.

Catatan

Untuk menggunakan identitas terkelola untuk terhubung ke sumber daya SQL melalui klien GUI seperti SSMS dan ADS, mesin yang menjalankan aplikasi klien harus memiliki klien Microsoft Entra yang berjalan dengan sertifikat identitas yang disimpan di dalamnya. Ini paling umum dicapai melalui Azure VM, karena identitas dapat dengan mudah ditetapkan ke komputer melalui panel portal VM.

Untuk alat yang menggunakan pustaka identitas Azure seperti SQL Server Management Studio (SSMS), saat menyambungkan dengan identitas terkelola, Anda perlu menggunakan GUID untuk masuk seperti abcd1234-abcd-1234-abcd-abcd1234abcd1234. Untuk informasi selengkapnya, lihat (ManagedIdentityCredential. Jika Anda salah meneruskan nama pengguna, kesalahan terjadi seperti:

ManagedIdentityCredential authentication unavailable. The requested identity has not been assigned to this resource.
Status: 400 (Bad Request)
Content:
{"error":"invalid_request","error_description":"Identity not found"}

Token akses

Beberapa klien non-GUI seperti Invoke-sqlcmd memungkinkan penyediaan token akses. Cakupan atau audiens token akses harus https://database.windows.net/.

Keterangan

  • Hanya SQL Server 2022 (16.x) lokal dengan sistem operasi Windows atau Linux yang didukung, atau SQL Server 2022 di VM Windows Azure, yang didukung untuk autentikasi Microsoft Entra.
  • Untuk menyambungkan SQL Server ke Azure Arc, akun Microsoft Entra memerlukan izin berikut:
    • Anggota grup Azure Connected Machine Onboarding atau peran Kontributor dalam grup sumber daya.
    • Anggota peran Administrator Sumber Daya Azure Connected Machine di grup sumber daya.
    • Anggota peran Pembaca dalam grup sumber daya.
  • Autentikasi Microsoft Entra tidak didukung untuk instans kluster failover SQL Server