Istanza gestita di SQL abilitato da Azure Arc con l'autenticazione di Active Directory

I servizi dati abilitati per Azure Arc supportano Active Directory (AD) per Identity and Access Management (IAM). Istanza gestita di SQL abilitato da Azure Arc usa un dominio di Active Directory locale (AD) esistente per l'autenticazione.

Questo articolo descrive come abilitare Istanza gestita di SQL abilitata da Azure Arc con l'autenticazione di Active Directory (AD). L'articolo illustra due possibili modalità di integrazione di Active Directory:

• Chiave gestita dal cliente (CMK)
• Keytab gestito dal servizio (SMK)

Il concetto di modalità di integrazione di Active Directory(AD) descrive il processo di gestione keytab, tra cui:

• Creazione di un account AD usato da Istanza gestita di SQL
• Registrazione dei nomi dell'entità servizio (SPN) nell'account AD precedente.
• Generazione del file keytab

Background

Per abilitare l'autenticazione di Active Directory per i contenitori di SQL Server in Linux e Linux, usare un file keytab. Il file keytab è un file di crittografia contenente nomi dell'entità servizio (SPN), nomi di account e nomi host. SQL Server usa il file keytab per l'autenticazione nel dominio di Active Directory (AD) e l'autenticazione dei client tramite Active Directory (AD). Per abilitare l'autenticazione di Active Directory per le Istanza gestita di SQL abilitate per Arc, seguire questa procedura:

• Distribuire il titolare del trattamento dei dati
• Distribuire un connettore DI AD keytab gestito dal cliente o Distribuire un connettore di AD keytab gestito dal servizio
• Distribuire istanze gestite di SQL

Il diagramma seguente illustra come abilitare l'autenticazione di Active Directory per Istanza gestita di SQL abilitata da Azure Arc:

Che cos'è un connettore Active Directory (AD)?

Per abilitare l'autenticazione di Active Directory per Istanza gestita di SQL, l'istanza deve essere distribuita in un ambiente che consente di comunicare con il dominio di Active Directory.

Per semplificare questa operazione, i servizi dati abilitati per Azure Arc introduce una nuova definizione di risorsa personalizzata (CRD) nativa di Kubernetes denominata Active Directory Connector. Fornisce istanze in esecuzione nello stesso controller di dati la possibilità di eseguire l'autenticazione di Active Directory.

Confrontare le modalità di integrazione di AD

Qual è la differenza tra le due modalità di integrazione di Active Directory?

Per abilitare l'autenticazione di Active Directory per Istanza gestita di SQL abilitata da Azure Arc, è necessario un connettore di Active Directory in cui si specifica la modalità di distribuzione dell'integrazione di Active Directory. Le due modalità di integrazione di Active Directory sono:

• Keytab gestito dal cliente
• Keytab gestito dal servizio

Nella sezione seguente vengono confrontate queste modalità.

	Keytab gestito dal cliente	Keytab gestito dal sistema
Casi d'uso	Aziende di piccole e medie dimensioni che hanno familiarità con la gestione degli oggetti di Active Directory e vogliono flessibilità nel processo di automazione	Tutte le dimensioni delle aziende: la ricerca di un'esperienza di gestione di Active Directory altamente automatizzata
L'utente fornisce	Un account Active Directory e i nomi SPN con tale account e un file keytab per l'autenticazione di Active Directory	Un'unità organizzativa e un account del servizio di dominio hanno autorizzazioni sufficienti per tale unità organizzativa in Active Directory.
Caratteristiche	Gestito dall'utente. Gli utenti portano l'account Active Directory, che rappresenta l'identità dell'istanza gestita e il file keytab.	Gestito dal sistema. Il sistema crea un account del servizio di dominio per ogni istanza gestita e imposta automaticamente i nomi SPN in tale account. Crea e distribuisce anche un file keytab all'istanza gestita.
Processo di distribuzione	1. Distribuire il titolare del trattamento dei dati 2. Creare il file keytab 3. Configurare le informazioni keytab sul segreto Kubernetes 4. Distribuire il connettore DI Active Directory, distribuire un'istanza gestita di SQL Per altre informazioni, vedere Distribuire un connettore di Active Directory gestito dal cliente	1. Distribuire il controller di dati, distribuire il connettore AD 2. Distribuire un'istanza gestita di SQL Per altre informazioni, vedere Distribuire un connettore di Active Directory keytab gestito dal sistema
Gestione	È possibile creare il file keytab seguendo le istruzioni dell'utilità Active Directory ().You can create the keytab file by following the instructions from Active Directory utility (adutil). Rotazione manuale del keytab.	Rotazione keytab gestita.
Limitazioni	Non è consigliabile condividere i file keytab tra i servizi. Ogni servizio deve avere un file keytab specifico. Man mano che il numero di file keytab aumenta il livello di impegno e complessità aumenta.	Generazione e rotazione del keytab gestito. L'account del servizio richiederà autorizzazioni sufficienti in Active Directory per gestire le credenziali. Il gruppo di disponibilità distribuito non è supportato.

Per entrambe le modalità, è necessario un account, una scheda chiave e un segreto Kubernetes specifici per ogni istanza gestita di SQL.

Abilitare l'autenticazione di Active Directory

Quando si distribuisce un'istanza con l'intenzione di abilitare l'autenticazione di Active Directory, la distribuzione deve fare riferimento a un'istanza del connettore Active Directory da usare. Fare riferimento al connettore Active Directory nella specifica dell'istanza gestita configura automaticamente l'ambiente necessario nel contenitore dell'istanza per l'autenticazione con Active Directory.

Contenuto correlato

• Distribuire un connettore di Active Directory (AD) gestito dal cliente
• Distribuire un connettore Di Active Directory (AD) gestito dal sistema
• Distribuire Istanza gestita di SQL abilitato da Azure Arc in Active Directory (AD)
• Connessione per Istanza gestita di SQL abilitato da Azure Arc tramite l'autenticazione di Active Directory