Configurare Istanza gestita di SQL di Azure per l'autenticazione di Windows per Azure Active Directory

Questo articolo descrive come configurare un'istanza gestita per supportare l'autenticazione di Windows per le entità di sicurezza di Azure AD. I passaggi per configurare Istanza gestita di SQL di Azure sono gli stessi sia per il flusso di autenticazione basata sull'attendibilità in ingresso che per il flusso di autenticazione interattiva moderna.

Prerequisiti

Per configurare un'istanza gestita per l'autenticazione di Windows per le entità di azure AD, sono necessari i prerequisiti seguenti:

Prerequisito Descrizione
Modulo Az.Sql PowerShell Questo modulo di PowerShell fornisce i cmdlet di gestione per le risorse di Azure SQL.

Installare questo modulo eseguendo il comando PowerShell seguente: Install-Module -Name Az.Sql
Modulo PowerShell di Azure Active Directory Questo modulo fornisce i cmdlet di gestione per le attività amministrative di Azure AD, ad esempio la gestione di utenti e entità servizio.

Installare questo modulo eseguendo il comando PowerShell seguente: Install-Module –Name AzureAD
Istanza gestita È possibile creare una nuova istanza gestita o usare un'istanza gestita esistente. È necessario abilitare l'autenticazione di Azure AD nell'istanza gestita.

Configurare Autenticazione di Azure AD per Istanza gestita di SQL di Azure

Per abilitare l'autenticazione di Windows per le entità di azure AD, è necessario abilitare un'entità servizio assegnata dal sistema in ogni istanza gestita. L'entità servizio assegnata dal sistema consente agli utenti dell'istanza gestita di eseguire l'autenticazione usando il protocollo Kerberos. È anche necessario concedere il consenso amministratore a ogni entità servizio.

Abilitare un'entità servizio assegnata dal sistema

Per abilitare un'entità servizio assegnata dal sistema per un'istanza gestita:

  1. Accedere al portale di Azure.
  2. Passare all'istanza gestita
  3. Selezionare Identità.
  4. Impostare Entità servizio assegnata dal sistema su . Screenshot del riquadro Identità per un'istanza gestita nel portale di Azure. In 'Entità servizio assegnata dal sistema' il pulsante di opzione accanto all'etichetta
  5. Selezionare Salva.
  1. Accedere al portale di Azure.

  2. Aprire Azure Active Directory.

  3. Selezionare Registrazioni app.

  4. Selezionare Tutte le applicazioni. Screenshot del portale di Azure. Azure Active Directory è aperto. Registrazioni app è selezionato nel riquadro sinistro. Le applicazioni per le app sono evidenziate nel riquadro destro.

  5. Selezionare l'applicazione con il nome visualizzato corrispondente all'istanza gestita. Il nome sarà nel formato : <managedinstancename> principal.

  6. Selezionare Autorizzazioni API.

  7. Selezionare Concedi consenso amministratore.

    Screenshot del portale di Azure delle autorizzazioni configurate per le applicazioni. Lo stato dell'applicazione di esempio è

  8. Selezionare nella richiesta di conferma del consenso amministratore.

Connettersi all'istanza gestita con l'autenticazione di Windows

Se è già stato implementato il flusso di autenticazione basato su attendibilità in ingresso o il flusso di autenticazione interattiva moderna, a seconda della versione del client, è ora possibile testare la connessione all'istanza gestita con l'autenticazione di Windows.

Per testare la connessione con SQL Server Management Studio (SSMS), seguire la procedura descritta in Avvio rapido: Usare SSMS per connettersi ed eseguire query su Azure SQL Database o Istanza gestita di SQL di Azure. Selezionare Autenticazione di Windows come tipo di autenticazione.

Finestra di dialogo da SQL Server Management Studio con un nome di istanza gestita nell'area

Passaggi successivi

Altre informazioni sull'implementazione dell'autenticazione di Windows per entità di Azure AD in Istanza gestita di SQL di Azure: