Delen via

Ingebouwde Windows-principes

Van toepassing op:Azure SQL Managed Instance

Met de modus metagegevens van Windows-verificatie kunnen gebruikers Windows-verificatie of Microsoft Entra-verificatie (met behulp van een Windows-principal metagegevens) gebruiken met Azure SQL Managed Instance. Deze modus is alleen beschikbaar voor SQL Managed Instance. De windows-modus voor verificatiemetagegevens is niet beschikbaar voor Azure SQL Database.

Wanneer uw omgeving wordt gesynchroniseerd tussen Active Directory (AD) en Microsoft Entra ID, worden Windows-gebruikersaccounts in AD gesynchroniseerd met de Microsoft Entra-gebruikersaccounts in Microsoft Entra ID.

De verificatie voor SQL Managed Instance en SQL Server is gebaseerd op metagegevens die zijn gekoppeld aan aanmeldingen. Voor aanmeldingen bij Windows-verificatie worden de metagegevens gemaakt wanneer de aanmelding wordt gemaakt op basis van de CREATE LOGIN FROM WINDOWS opdracht. Voor Microsoft Entra-aanmeldingen worden de metagegevens gemaakt wanneer de aanmelding wordt gemaakt op basis van de CREATE LOGIN FROM EXTERNAL PROVIDER opdracht. Voor aanmeldingen bij SQL-verificatie worden de metagegevens gemaakt wanneer de CREATE LOGIN WITH PASSWORD opdracht wordt uitgevoerd. Het verificatieproces is nauw gekoppeld aan de metagegevens die zijn opgeslagen in SQL Managed Instance of SQL Server.

Voor een video waarin systeemeigen Windows-principals worden uitgelegd, kunt u ook verwijzen naar deze data exposed aflevering.

Modus voor verificatiemetagegevens

De volgende modi voor verificatiemetagegevens zijn beschikbaar voor SQL Managed Instance en de verschillende modi bepalen welke verificatiemetagegevens worden gebruikt voor verificatie, samen met de manier waarop de aanmelding wordt gemaakt:

  • Microsoft Entra (standaard): Met deze modus kunnen Microsoft Entra-gebruikers worden geverifieerd met behulp van microsoft Entra-gebruikersmetagegevens. Als u Windows-verificatie in deze modus wilt gebruiken, raadpleegt u Wat is Windows-verificatie voor Microsoft Entra-principals in Azure SQL Managed Instance?
  • Gekoppeld (STANDAARD SQL Server): de standaardmodus voor SQL Server-verificatie.
  • Windows (nieuwe modus): Met deze modus kunnen Microsoft Entra-gebruikers worden geverifieerd met behulp van de windows-gebruikersmetagegevens in SQL Managed Instance.

De syntaxis CREATE LOGIN FROM WINDOWS en CREATE USER FROM WINDOWS kan respectievelijk worden gebruikt om een aanmelding of gebruiker te maken in SQL Managed Instance voor een Windows-principal in de modus Windows-verificatie-metagegevens. De Windows-principal kan een Windows-gebruiker of een Windows-groep zijn.

Als u de Windows-authenticatiemetagegevensmodus wilt gebruiken, moet de gebruikersomgeving Active Directory (AD) synchroniseren met Microsoft Entra ID.

Opmerking

Als u verbinding wilt maken met windows-verificatie, moet SQL Managed Instance worden geconfigureerd voor het gebruik van Windows-verificatie. Zie Wat is Windows-verificatie voor Microsoft Entra-principals in Azure SQL Managed Instance? voor meer informatie.

Verificatiemetagegevensmodi configureren

  1. Ga naar Azure Portal en navigeer naar uw SQL Managed Instance-resource.
  2. Ga naar Instellingen > Microsoft Entra-id.
  3. Kies de modus verificatiemetagegevens van uw voorkeur in de vervolgkeuzelijst.
  4. Selecteer Configuratie van verificatiemetagegevens opslaan.

Schermopname van Azure Portal met de configuratie van de verificatiemetagegevensmodus.

Migratieproblemen aanpakken met behulp van de windows-verificatiemetagegevensmodus

De modus metagegevens van Windows-verificatie helpt bij het moderniseren van verificatie voor toepassingen en het deblokkeren van migratieuitdagingen naar SQL Managed Instance. Hier volgen enkele veelvoorkomende scenario's waarin de modus metagegevens van Windows-verificatie kan worden gebruikt om klantuitdagingen aan te pakken:

Windows-verificatie voor Microsoft Entra-principals

Zolang de omgeving wordt gesynchroniseerd tussen AD en Microsoft Entra ID, kan de windows-verificatiemetagegevensmodus worden gebruikt om gebruikers te verifiëren bij SQL Managed Instance met behulp van een Windows-aanmelding of Microsoft Entra-aanmelding, als de aanmelding wordt gemaakt vanuit een Windows-principal (CREATE LOGIN FROM WINDOWS).

Deze functie is vooral handig voor klanten die toepassingen hebben die gebruikmaken van Windows-verificatie en migreren naar SQL Managed Instance. Met de modus metagegevens van Windows-verificatie kunnen klanten Windows-verificatie voor hun toepassingen blijven gebruiken zonder dat ze wijzigingen hoeven aan te brengen in de toepassingscode. Bijvoorbeeld, toepassingen zoals BizTalk Server, die CREATE LOGIN FROM WINDOWS en CREATE USER FROM WINDOWS opdrachten uitvoeren, kunnen blijven werken zonder wijzigingen bij het migreren naar SQL Managed Instance. Andere gebruikers kunnen een Microsoft Entra-aanmelding gebruiken die is gesynchroniseerd met AD om te verifiëren bij SQL Managed Instance.

Hoewel de Managed Instance-koppeling bijna realtime gegevensreplicatie tussen SQL Server en SQL Managed Instance mogelijk maakt, voorkomt de alleen-lezen replica in de cloud, het aanmaken van Microsoft Entra-principals. Met de modus Windows-verificatiemetagegevens kunnen klanten een bestaande Windows-aanmelding gebruiken om zich bij de replica te authenticeren in het geval van een failover.

Microsoft Entra-verificatie voor SQL Server 2022 en hoger

SQL Server 2022 introduceert ondersteuning voor Microsoft Entra-verificatie. Veel gebruikers willen de authenticatiemodi beperken zodat alleen moderne authenticatie wordt gebruikt en alle Windows-principals migreren naar Microsoft Entra ID. Er zijn echter scenario's waarin Windows-verificatie nog steeds vereist is, zoals toepassingscode die is gekoppeld aan Windows-principals. Met de Windows-verificatie metagegevensmodus kunnen klanten Windows-principals blijven gebruiken voor autorisatie binnen SQL Server, terwijl ze gesynchroniseerde Microsoft Entra-principals voor verificatie gebruiken.

SQL Server begrijpt de synchronisatie tussen Active Directory en Microsoft Entra-id niet. Hoewel gebruikers en groepen worden gesynchroniseerd tussen AD en Microsoft Entra ID, moest u nog steeds een aanmelding maken met behulp van de syntaxis CREATE LOGIN FROM EXTERNAL PROVIDER en machtigingen toevoegen aan de aanmelding. De windows-verificatiemetagegevensmodus vermindert de noodzaak om aanmeldingen handmatig te migreren naar Microsoft Entra-id.

Vergelijking van verificatiemetagegevensmodus

Hier volgt het stroomdiagram waarin wordt uitgelegd hoe de verificatiemetagegevensmodus werkt met SQL Managed Instance:

Diagram van het stroomdiagram voor de verificatiemetagegevensmodus.

Voorheen konden klanten die gebruikers tussen AD en Microsoft Entra ID synchroniseren, zich niet verifiëren met een aanmelding die is gemaakt op basis van een Windows-principal, ongeacht of ze Windows-verificatie of Microsoft Entra-verificatie hebben gebruikt die vanuit AD zijn gesynchroniseerd. Met de Windows-verificatiemetagegevensmodus kunnen klanten zich nu authenticeren met inloggegevens die zijn gemaakt op basis van een Windows-principal met behulp van Windows-verificatie of de gesynchroniseerde Microsoft Entra-principal.

Voor gesynchroniseerde gebruikers slaagt of mislukt de verificatie op basis van de volgende configuraties en het aanmeldingstype:

Verificatiemetagegevensmodus VANUIT WINDOWS VAN EXTERNE PROVIDER
Windows-modus
Microsoft Entra-authenticatie Slaagt Mislukt
Windows-authenticatie Slaagt Mislukt
Microsoft Entra ID-modus
Microsoft Entra-authenticatie Mislukt Slaagt
Windows-authenticatie Mislukt Slaagt
Gekoppelde modus
Microsoft Entra-authenticatie Mislukt Slaagt
Windows-authenticatie Slaagt Mislukt

Verwante inhoud

Meer informatie over het implementeren van Windows-verificatie voor Microsoft Entra-principals in SQL Managed Instance: