SQL-aanmeldingen en -groepen migreren
Voor een naadloze en veilige overgang van uw SQL Server-databases naar Azure SQL is het essentieel om de migratie van beveiligingsgegevens te begrijpen en effectief te beheren.
Bepalen wanneer SQL-aanmeldingen en -groepen moeten worden gemigreerd
Stel u een grote organisatie voor met een aanzienlijke on-premises SQL Server-infrastructuur die verschillende bedrijfseenheden bedient. Elke bedrijfseenheid heeft een eigen set SQL-aanmeldingen, gebruikersrollen en machtigingen die zijn aangepast aan hun specifieke behoeften. De organisatie besluit deze databases te migreren naar Azure SQL Database om de schaalbaarheidsvoordelen van de cloud te gebruiken.
In dit scenario kan het migreren van de aanmeldingen vooraf, vóór de databasemigratie, onnodige complexiteit voor de testfase veroorzaken.
Het migreren van aanmeldingen aan het einde van een databasemigratieproject kan het testen vergemakkelijken, met name in complexe scenario's. Als aanmeldingen vooraf worden gemigreerd, kan dit leiden tot het testen van vertragingen vanwege veranderende databaseschema's. Als u wacht tot aanmeldingen worden gemigreerd, kunnen beveiligingsconfiguraties worden afgestemd op de uiteindelijke structuur, waardoor het migratieproces wordt vereenvoudigd, met name wanneer tabelafhankelijke beveiliging cruciaal is voor gegevensbeveiliging.
| Uitdagingen | Uitleg |
|---|---|
| Structuur van complexe machtigingen | Als u aanmeldingen later migreert, kunnen machtigingen worden aangepast naarmate de databasestructuur zich ontwikkelt tijdens de migratie. |
| Testvertragingen | Als u aanmeldingen vroeg migreert, kan het testen worden vertraagd, waardoor de beveiligingsvalidatie wordt gedupliceerd naast schemawijzigingen. |
| Tabelafhankelijke beveiliging | Door de aanmeldingsmigratie uit te stellen, kunnen beveiligingsconfiguraties worden aangepast aan de uiteindelijke databasestructuren als deze tijdens de migratie worden gewijzigd. |
In ons scenario kunt u zich met deze aanpak richten op het garanderen dat beveiligingsmaatregelen perfect zijn afgestemd op de voltooide databasestructuur, waardoor potentiële complicaties worden verminderd en het migratieproject beter beheersbaar wordt.
Aanmeldingen migreren met behulp van PowerShell of Azure CLI
U kunt de Azure Database Migration Service gebruiken met PowerShell (Az.DataMigration-module) of Azure CLI om aanmeldingen en serverfuncties van uw on-premises SQL Server naar het Azure SQL-doel te migreren. Dit aanmeldingsmigratieproces automatiseert handmatige taken, zoals de synchronisatie van aanmeldingen met de bijbehorende gebruikerstoewijzingen en het repliceren van servermachtigingen en serverfuncties.
Aanmeldingsmigratie ondersteunt momenteel Azure SQL Managed Instance of SQL Server op Azure VM-doelconfiguraties.
- Azure SQL Managed Instance : zowel Windows-accounts als SQL-aanmeldingen.
- SQL Server op Azure VM : alleen SQL-aanmeldingen.
Als u de databasemigratie nog niet hebt voltooid en het aanmeldingsmigratieproces wordt gestart, gebeurt de migratie van aanmeldingen en serverfuncties nog steeds, maar worden aanmeldings-/roltoewijzingen niet correct uitgevoerd.
In het volgende voorbeeld ziet u hoe u aanmeldingen migreert met behulp van PowerShell:
New-AzDataMigrationLoginsMigration `
-SourceSqlConnectionString "<YourSourceConnectionString>" `
-TargetSqlConnectionString "<YourTargetConnectionString>" `
-ListOfLogin "login1" "login2" `
-AADDomainName "<YourAADDomainName>" # Required for Windows logins
Gebruik de az datamigration login-migration opdracht voor Azure CLI:
az datamigration login-migration \
--src-sql-connection-str "<YourSourceConnectionString>" \
--tgt-sql-connection-str "<YourTargetConnectionString>" \
--list-of-login "login1" "login2" \
--aad-domain-name "<YourAADDomainName>"
Voor grote aantallen aanmeldingen kunt u de --csv-file-path parameter gebruiken om een CSV-bestand door te geven met de lijst met aanmeldingen die moeten worden gemigreerd.
MoveLogins-script
Het MoveLogins-script helpt bij het overdragen van aanmeldingsgegevens van on-premises SQL-servers naar Azure SQL Database of andere PaaS-aanbiedingen.
Met het Script MoveLogins kunt u een Active Directory-zoekopdracht voor gebruikers inschakelen, zodat u hun UPN (User Principal Name) kunt verkrijgen.
Het script, geschreven in PowerShell, genereert een T-SQL-script dat kan worden toegepast op de doel-SQL-omgeving om aanmeldingen, databasegebruikers, rollen en machtigingen over te dragen. De opdrachten worden niet uitgevoerd in de doelomgeving. U moet de gegenereerde scriptuitvoer zorgvuldig controleren voordat u deze toepast op de doelomgeving.
Het script genereert verschillende resultaten, afhankelijk van of u Azure SQL Database of Azure SQL Managed Instance gebruikt. In Azure SQL Database kunt u geen Microsoft Entra-aanmeldingen en gerelateerde databasegebruikers maken; In plaats daarvan worden Microsoft Entra-gebruikers gemaakt op databaseniveau. Voor Azure SQL Managed Instance is het vergelijkbaar met on-premises SQL Server met aanmeldingen op serverniveau en databasegebruikers.
Notitie
We raden u aan om te beginnen met PowerShell of Azure CLI om aanmeldingen over te dragen. Als u problemen ondervindt met deze aanbevolen hulpprogramma's, kunt u alternatieve methoden overwegen, zoals het Script MoveLogins.