Uso dell'autenticazione di Azure Active Directory a più fattori

Si applica a: Database SQL di Azure Istanza gestita di SQL di Azure Azure Synapse Analytics

Azure SQL Database, Istanza gestita di SQL di Azure e Azure Synapse Analytics supportano le connessioni da SQL Server Management Studio (SSMS) usando Azure Active Directory - Universal con l'autenticazione MFA. Questo articolo illustra le differenze tra le varie opzioni di autenticazione e anche le limitazioni associate all'uso dell'autenticazione universale in Azure Active Directory (Azure AD) per Azure SQL.

Scaricare la versione più recente di SSMS: nel computer client scaricare la versione più recente di SSMS da Scaricare SQL Server Management Studio (SSMS).

Nota

A partire da dicembre 2021, le versioni di SSMS precedenti alla 18.6 non eseguiranno più l'autenticazione tramite Azure Active Directory con MFA.

Per continuare a usare l'autenticazione di Azure Active Directory con MFA, è necessario SSMS 18.6 o versione successiva.

Per tutte le funzionalità descritte in questo articolo, usare almeno la versione 17.2 di luglio 2017. La finestra di dialogo di connessione più recente dovrebbe avere un aspetto simile al seguente:

Screenshot della finestra di dialogo Connetti al server in SQL Server Management Studio, che mostra le impostazioni per il tipo di server, il nome del server e l'autenticazione.

Opzioni di autenticazione

Esistono due modelli di autenticazione non interattivi per Azure AD, che possono essere usati in molte applicazioni diverse (ADO.NET, JDCB, ODC e così via). Questi due metodi non aprono mai finestre di dialogo popup:

  • Azure Active Directory - Password
  • Azure Active Directory - Integrated

Il metodo interattivo che supporta anche l'autenticazione a più fattori (MFA) di Azure AD è:

  • Azure Active Directory - Universal with MFA

Azure AD MFA consente di proteggere l'accesso ai dati e alle applicazioni dell'utente, garantendo al tempo stesso agli utenti una procedura di accesso semplice. Offre funzionalità avanzate di autenticazione con una serie di semplici opzioni di verifica, tra cui telefonata, SMS, smart card con pin o notifica tramite app per dispositivi mobili, in modo che ogni utente possa scegliere il metodo che preferisce. La convalida di MFA interattiva con Azure AD può avvenire attraverso una finestra popup.

Per una descrizione dell'autenticazione a più fattori di Azure AD, vedere Autenticazione a più fattori. Per la procedura di configurazione, vedere Configurare Multi-Factor Authentication con database SQL di Azure per SQL Server Management Studio.

Parametro nome di dominio o ID tenant di Azure AD

A partire da SSMS versione 17, gli utenti importati in Azure AD corrente da altre directory di Azure Active Directory come utenti guest, possono fornire il nome di dominio di Azure AD o l'ID tenant quando si connettono. Gli utenti guest includono quelli invitati da altre istanze di Azure AD, gli account Microsoft, ad esempio outlook.com, hotmail.com, live.com, o altri account come gmail.com. Queste informazioni consentono all'autenticazione di Azure Active Directory - Universal with MFA identificare l'autorità di autenticazione corretta. Questa opzione è necessaria anche per supportare gli account Microsoft (MSA), ad esempio outlook.com, hotmail.com e live.com, o altri account non MSA.

Tutti gli utenti guest che vogliono essere autenticati con l'autenticazione universale devono immettere il nome di dominio o l'ID tenant di Azure AD. Questo parametro rappresenta il nome di dominio di Azure AD corrente o l'ID tenant a cui è associato il server logico Azure SQL. Ad esempio, se il server logico SQL è associato al dominio azure AD, dove l'utente è ospitato come utente joe@contosodev.onmicrosoft.com importato dal dominio contosotest.onmicrosoft.comAzure AD , il nome di dominio contosodev.onmicrosoft.comnecessario per autenticare l'utente è contosotest.onmicrosoft.com. Quando l'utente è un utente nativo di Azure AD associato al server logico SQL e non è un account MSA, non è necessario alcun nome di dominio o ID tenant. Per immettere il parametro (a partire da SSMS versione 17.2):

  1. Aprire una connessione in SSMS. Immettere il nome del server e selezionare Azure Active Directory - Universale con autenticazione MFA . Aggiungere il nome utente con cui si vuole accedere.

  2. Selezionare la casella Opzioni e passare alla scheda Proprietà connessione . Nella finestra di dialogo Connetti al database completare la finestra di dialogo per il database. Selezionare la casella ID tenant o nome di dominio AD e specificare l'autorità di autenticazione, ad esempio il nome di dominio (contosotest.onmicrosoft.com) o il GUID dell'ID tenant.

    Screenshot della scheda Proprietà connessione che evidenzia le impostazioni per Connetti al database e al nome di dominio ad o all'ID tenant.

Se si esegue SSMS 18.x o versioni successive, il nome di dominio o l'ID tenant di Active Directory non è più necessario per gli utenti guest perché 18.x o versioni successive lo riconosce automaticamente.

Screenshot della scheda Proprietà connessione nella finestra di dialogo Connetti al server in S M S.

Supporto per Azure AD business-to-business

Gli utenti di Azure AD supportati per scenari B2B di Azure AD come utenti guest (vedere Informazioni sulla collaborazione B2B di Azure) possono connettersi a database SQL e Azure Synapse come singoli utenti o membri di un gruppo di Azure AD creato in Azure AD associato e mappato manualmente usando l'istruzione CREATE USER (Transact-SQL) in un determinato database.

Ad esempio, se steve@gmail.com viene invitato ad Azure AD (con il dominio contosotest.onmicrosoft.comAzure AD contosotest ), un utente steve@gmail.com deve essere creato per un database specifico (ad esempio MyDatabase) da un amministratore sql di Azure AD o da Azure AD DBO eseguendo l'istruzione Transact-SQLcreate user [steve@gmail.com] FROM EXTERNAL PROVIDER. Se steve@gmail.com fa parte di un gruppo di Azure AD, ad esempio usergroup , questo gruppo deve essere creato per un database specifico (ad esempio MyDatabase) da un amministratore di Azure AD SQL o da Azure AD DBO eseguendo l'istruzione create user [usergroup] FROM EXTERNAL PROVIDER Transact-SQL.

Dopo aver creato l'utente o il gruppo di database, l'utente steve@gmail.com può accedere MyDatabase usando l'opzione Azure Active Directory – Universal with MFAdi autenticazione SSMS . Per impostazione predefinita, l'utente o il gruppo dispone solo dell'autorizzazione di connessione. Qualsiasi ulteriore accesso ai dati dovrà essere concesso nel database da un utente con privilegi sufficienti.

Nota

Per SSMS 17.x, usando steve@gmail.com come utente guest, è necessario selezionare la casella NOME di dominio di Active Directory o ID tenant e aggiungere il nome contosotest.onmicrosoft.com di dominio ACTIVE nella finestra di dialogo Proprietà connessione . L'opzione nome di dominio o ID tenant di Ad è supportata solo per Azure Active Directory - Universal con autenticazione MFA . In caso contrario, la casella di controllo è disattivata.

Limitazioni per l'autenticazione universale

  • SSMS e SqlPackage.exe sono gli unici strumenti attualmente abilitati per MFA tramite l'autenticazione universale di Active Directory.
  • SSMS versione 17.2 supporta l'accesso simultaneo a più utenti usando l'autenticazione universale con MFA. Per SSMS versione 17.0 e 17.1, lo strumento limita un account di accesso per un'istanza di SSMS usando l'autenticazione universale a un singolo account di Azure Active Directory. Per accedere come un altro account Azure AD, è necessario usare un'altra istanza di SSMS. Questa restrizione è limitata all'autenticazione universale di Active Directory; è possibile accedere a un server diverso usando Azure Active Directory - Password l'autenticazione, Azure Active Directory - Integrated l'autenticazione o SQL Server Authentication.
  • SSMS supporta l'autenticazione universale di Active Directory per la visualizzazione di Esplora oggetti, Editor di query e Archivio query.
  • La versione 17.2 di SSMS fornisce il supporto di DacFx Wizard per le funzioni di esportazione, estrazione e distribuzione dei dati del database. Quando un utente ha eseguito l'autenticazione mediante la finestra di dialogo iniziale usando l'autenticazione universale, DacFx Wizard funziona esattamente come per tutti gli altri metodi di autenticazione.
  • Progettazione tabelle di SSMS non supporta l'autenticazione universale.
  • Non ci sono requisiti software aggiuntivi per l'autenticazione universale di Active Directory ad eccezione del fatto che si utilizzi una versione supportata di SSMS.
  • Vedere il collegamento seguente per la versione più recente di Microsoft Authentication Library (MSAL) per l'autenticazione universale: Panoramica della libreria di autenticazione Microsoft (MSAL).

Passaggi successivi