Modalità di implementazione dell'autenticazione di Windows per Istanza gestita di SQL di Azure con Azure Active Directory e Kerberos

L'autenticazione di Windows per le entità di Azure AD in Istanza gestita di SQL di Azure consente ai clienti di spostare i servizi esistenti nel cloud mantenendo un'esperienza utente semplice e fornisce la base per la modernizzazione dell'infrastruttura di sicurezza. Per abilitare l'autenticazione di Windows per le entità Azure Active Directory (Azure AD), il tenant di Azure AD verrà trasformato in un'area di autenticazione Kerberos indipendente e si creerà un trust in ingresso nel dominio del cliente.

Questa configurazione consente agli utenti nel dominio del cliente di accedere alle risorse nel tenant di Azure AD. Non consente agli utenti nel tenant di Azure AD di accedere alle risorse nel dominio del cliente.

Il diagramma seguente offre una panoramica del modo in cui l'autenticazione di Windows viene implementata per un'istanza gestita usando Azure AD e Kerberos:

Panoramica dell'autenticazione: un client invia un ticket Kerberos crittografato come parte di una richiesta di autenticazione a un'istanza gestita. L'istanza gestita invia il ticket Kerberos crittografato ad Azure AD, che lo scambia per un token di Azure AD restituito dall'istanza gestita. L'istanza gestita usa questo token per autenticare l'utente.

Come Azure AD fornisce l'autenticazione Kerberos

Per creare un'area di autenticazione Kerberos indipendente per un tenant di Azure AD, i clienti installano il modulo PowerShell di Azure AD Hybrid Authentication Management in qualsiasi server Di Windows ed eseguire un cmdlet per creare un oggetto Kerberos di Azure AD nel cloud e in Active Directory. L'attendibilità creata in questo modo consente ai client Windows esistenti di accedere ad Azure AD con Kerberos.

Windows 10 21H1 client e versioni successive sono stati illuminati per la modalità interattiva e non sono necessarie configurazioni per il funzionamento dei flussi di accesso interattivi. I client che eseguono versioni precedenti di Windows possono essere configurati per usare i server proxy del Centro distribuzione chiavi Kerberos (KDC) per usare l'autenticazione Kerberos.

L'autenticazione Kerberos in Azure AD abilita:

  • Le applicazioni locali tradizionali per passare al cloud senza modificare lo schema di autenticazione fondamentale.

  • Le applicazioni in esecuzione nei client illuminati eseguono direttamente l'autenticazione con Azure AD.

Funzionamento di Istanza gestita di SQL di Azure con Azure AD e Kerberos

I clienti usano il portale di Azure per abilitare un'entità servizio assegnata dal sistema in ogni istanza gestita. L'entità servizio consente agli utenti dell'istanza gestita di eseguire l'autenticazione usando il protocollo Kerberos.

Passaggi successivi

Altre informazioni sull'abilitazione dell'autenticazione di Windows per le entità azure AD in Istanza gestita di SQL di Azure: