Mengautentikasi dengan ID Microsoft Entra di sqlcmd

Berlaku untuk:SQL ServerAzure SQL DatabaseAzure SQL Managed InstanceAzure Synapse Analytics AnalyticsPlatform System (PDW)

sqlcmd mendukung berbagai model autentikasi Microsoft Entra, tergantung pada versi mana yang telah Anda instal.

Catatan

Meskipun MICROSOFT Entra ID adalah nama baru untuk Azure Active Directory (Azure AD), untuk mencegah mengganggu lingkungan yang ada, Azure AD masih tetap berada di beberapa elemen yang dikodekan secara permanen seperti bidang UI, penyedia koneksi, kode kesalahan, dan cmdlet. Dalam artikel ini, dua nama tersebut dapat dipertukarkan.

Untuk informasi selengkapnya tentang perbedaan antara versi sqlcmd , lihat utilitas sqlcmd.

sqlcmd (Go)

sqlcmd (Go) mendukung lebih banyak model autentikasi Microsoft Entra, berdasarkan paket azidentitas. Implementasi bergantung pada konektor Microsoft Entra di driver go-sqlcmd.

Argumen baris perintah

Untuk menggunakan autentikasi Microsoft Entra, Anda dapat menggunakan salah satu dari dua sakelar baris perintah.

-G (sebagian besar) kompatibel dengan penggunaannya dalam sqlcmd (ODBC). Jika nama pengguna dan kata sandi disediakan, nama pengguna dan kata sandi akan diautentikasi menggunakan autentikasi kata sandi Microsoft Entra. Jika nama pengguna disediakan, nama pengguna menggunakan autentikasi interaktif Microsoft Entra, yang dapat menampilkan browser web. Jika tidak ada nama pengguna atau kata sandi yang disediakan, nama pengguna atau kata sandi menggunakan DefaultAzureCredential, yang mencoba mengautentikasi melalui berbagai mekanisme.

--authentication-method= dapat digunakan untuk menentukan salah satu jenis autentikasi berikut.

ActiveDirectoryDefault

• Untuk gambaran umum jenis autentikasi yang digunakan mode ini, lihat Kredensial Azure Default.
• Pilih metode ini jika skrip otomatisasi database Anda dimaksudkan untuk dijalankan di lingkungan pengembangan lokal dan dalam penyebaran produksi di Azure. Di lingkungan pengembangan, Anda dapat menggunakan rahasia klien atau login Azure CLI. Tanpa mengubah skrip dari lingkungan pengembangan, Anda dapat menggunakan identitas terkelola atau rahasia klien pada penyebaran produksi Anda.
• Mengatur variabel AZURE_TENANT_ID lingkungan dan AZURE_CLIENT_ID diperlukan untuk DefaultAzureCredential mulai memeriksa konfigurasi lingkungan dan mencari salah satu variabel lingkungan tambahan berikut untuk mengautentikasi:
  • Mengatur variabel AZURE_CLIENT_SECRET lingkungan mengonfigurasi DefaultAzureCredential untuk memilih ClientSecretCredential.
  • Mengatur variabel AZURE_CLIENT_CERTIFICATE_PATH lingkungan mengonfigurasi DefaultAzureCredential untuk memilih ClientCertificateCredential apakah AZURE_CLIENT_SECRET tidak diatur.
• Mengatur variabel lingkungan AZURE_USERNAME mengonfigurasi DefaultAzureCredential untuk memilih UsernamePasswordCredential apakah AZURE_CLIENT_SECRET dan AZURE_CLIENT_CERTIFICATE_PATH tidak diatur.

ActiveDirectoryIntegrated

Metode ini saat ini tidak diimplementasikan, dan kembali ke ActiveDirectoryDefault.

ActiveDirectoryPassword

• Metode ini mengautentikasi menggunakan nama pengguna dan kata sandi. Ini tidak berfungsi jika MFA diperlukan.

• Anda memberikan nama pengguna dan kata sandi menggunakan sakelar baris perintah atau SQLCMD variabel lingkungan yang biasa.

• Atur AZURE_TENANT_ID variabel lingkungan ke ID penyewa server jika tidak menggunakan penyewa default pengguna.

ActiveDirectoryInteractive

Metode ini meluncurkan browser web untuk mengautentikasi pengguna.

ActiveDirectoryManagedIdentity

Gunakan metode ini saat menjalankan sqlcmd (Go) pada Azure VM yang memiliki identitas terkelola yang ditetapkan sistem atau ditetapkan pengguna. Jika menggunakan identitas terkelola yang ditetapkan pengguna, atur nama pengguna ke ID Klien identitas terkelola. Jika menggunakan identitas yang ditetapkan sistem, biarkan nama pengguna kosong.

Contoh ini menunjukkan cara menyambungkan menggunakan Service Assigned Managed Identity (SAMI):

-S testsrv.database.windows.net -d Target_DB_or_DW --authentication-method ActiveDirectoryManagedIdentity

Contoh ini menunjukkan cara menyambungkan dengan User Assigned Managed Identity (UAMI) dengan menambahkan Id Klien dari identitas terkelola yang ditetapkan pengguna:

-S testsrv.database.windows.net -d Target_DB_or_DW --authentication-method ActiveDirectoryManagedIdentity -U <user-assigned-managed-identity-client-id>

ActiveDirectoryServicePrincipal

Metode ini mengautentikasi nama pengguna yang disediakan sebagai ID perwakilan layanan dan kata sandi sebagai rahasia klien untuk perwakilan layanan. Berikan nama pengguna dalam formulir <service principal id>@<tenant id>. Atur SQLCMDPASSWORD variabel ke rahasia klien. Jika menggunakan sertifikat alih-alih rahasia klien, atur AZURE_CLIENT_CERTIFICATE_PATH variabel lingkungan ke jalur file sertifikat.

Variabel lingkungan untuk autentikasi Microsoft Entra

Beberapa pengaturan autentikasi Microsoft Entra tidak memiliki input baris perintah, dan beberapa variabel lingkungan dikonsumsi langsung oleh paket yang azidentity digunakan oleh sqlcmd (Go).

Variabel lingkungan ini dapat diatur untuk mengonfigurasi beberapa aspek autentikasi Microsoft Entra dan untuk melewati perilaku default. Selain variabel yang tercantum sebelumnya, berikut ini khusus untuk sqlcmd (Go), dan berlaku untuk beberapa metode.

SQLCMDCLIENTID

Atur variabel lingkungan ini ke pengidentifikasi aplikasi yang terdaftar di Microsoft Entra, yang berwenang untuk mengautentikasi ke Azure SQL Database. Berlaku untuk ActiveDirectoryInteractive metode dan ActiveDirectoryPassword .

sqlcmd (ODBC)

Opsi -G ini digunakan oleh sqlcmd (ODBC) saat menyambungkan ke Azure SQL Database atau Azure Synapse Analytics, untuk menentukan bahwa pengguna diautentikasi menggunakan autentikasi Microsoft Entra. Opsi ini mengatur variabel SQLCMDUSEAAD=truepembuatan skrip sqlcmd .

• Opsi ini -G memerlukan setidaknya sqlcmd versi 13.1. Autentikasi interaktif Microsoft Entra memerlukan sqlcmd (ODBC) versi 15.0.1000.34 dan versi yang lebih baru, serta VERSI ODBC versi 17.2 dan yang lebih baru.

• Autentikasi terintegrasi Microsoft Entra memerlukan Microsoft ODBC Driver 17 untuk SQL Server versi 17.6.1 dan versi yang lebih baru, dan lingkungan Kerberos yang dikonfigurasi dengan benar.

• Opsi -G ini hanya berlaku untuk Azure SQL Database dan Azure Synapse Analytics.

• Autentikasi interaktif Microsoft Entra saat ini tidak didukung di Linux atau macOS.

Untuk menentukan versi Anda, jalankan sqlcmd "-?". Untuk informasi selengkapnya, lihat Koneksi ke SQL Database atau Azure Synapse Analytics Dengan Menggunakan Autentikasi Azure Active Directory. Opsi -A tidak didukung dengan -G opsi .

Nama pengguna dan kata sandi Microsoft Entra

Saat Anda ingin menggunakan nama pengguna dan kata sandi Microsoft Entra, Anda dapat menyediakan -G opsi dengan nama pengguna dan kata sandi, dengan menggunakan -U opsi dan -P .

sqlcmd -S testsrv.database.windows.net -d Target_DB_or_DW -U bob@contoso.com -P MyAzureADPassword -G

Parameter -G menghasilkan string koneksi berikut di backend:

SERVER = Target_DB_or_DW.testsrv.database.windows.net;UID=bob@contoso.com;PWD=MyAzureADPassword;AUTHENTICATION=ActiveDirectoryPassword;

Autentikasi terintegrasi Microsoft Entra

Untuk autentikasi terintegrasi Microsoft Entra, berikan -G opsi tanpa nama pengguna atau kata sandi.

sqlcmd -S Target_DB_or_DW.testsrv.database.windows.net -G

Perintah ini menghasilkan string koneksi berikut di backend:

SERVER = Target_DB_or_DW.testsrv.database.windows.net;Authentication=ActiveDirectoryIntegrated;Trusted_Connection=NO;

Catatan

Opsi -E (Trusted_Connection) tidak dapat digunakan bersama dengan -G opsi .

Autentikasi interaktif Microsoft Entra

Autentikasi interaktif Microsoft Entra untuk Azure SQL Database dan Azure Synapse Analytics, memungkinkan Anda menggunakan metode interaktif yang mendukung autentikasi multifaktor. Untuk informasi selengkapnya, lihat Autentikasi Interaktif Direktori Aktif.

Untuk mengaktifkan autentikasi interaktif, berikan -G opsi dengan nama pengguna (-U) saja, tanpa kata sandi.

Contoh berikut mengekspor data menggunakan mode interaktif Microsoft Entra, menunjukkan nama pengguna tempat pengguna mewakili akun Microsoft Entra. Ini adalah contoh yang sama yang digunakan di bagian sebelumnya, nama pengguna dan kata sandi Microsoft Entra.

Mode interaktif mengharuskan memasukkan kata sandi secara manual, atau untuk akun dengan autentikasi multifaktor diaktifkan, selesaikan metode autentikasi MFA yang dikonfigurasi.

sqlcmd -S testsrv.database.windows.net -d Target_DB_or_DW -G -U alice@aadtest.onmicrosoft.com

Perintah sebelumnya menghasilkan string koneksi berikut di backend:

SERVER = Target_DB_or_DW.testsrv.database.windows.net;UID=alice@aadtest.onmicrosoft.com;AUTHENTICATION=ActiveDirectoryInteractive

Jika pengguna Microsoft Entra adalah pengguna federasi domain menggunakan akun Windows, nama pengguna yang diperlukan di baris perintah berisi akun domainnya (misalnya joe@contoso.com):

sqlcmd -S testsrv.database.windows.net -d Target_DB_or_DW -G -U joe@contoso.com

Jika pengguna tamu ada di penyewa Microsoft Entra tertentu, dan merupakan bagian dari grup yang ada di Azure SQL Database yang memiliki izin database untuk menjalankan perintah sqlcmd , alias pengguna tamu mereka digunakan (misalnya, keith0@adventureworks.com).

Penting

Ada masalah yang diketahui saat menggunakan -G opsi dan -U dengan sqlcmd (ODBC), di mana menempatkan -U opsi sebelum -G opsi dapat menyebabkan autentikasi gagal. Selalu mulai dengan -G opsi diikuti dengan -U opsi .

Konten terkait

• Utilitas sqlcmd
• sqlcmd - Mulai utilitas
• sqlcmd - Gunakan utilitas