Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Dotyczy:
SQL Server 2022 (16.x)
Program SQL Server 2022 (16.x) wprowadza obsługę uwierzytelniania przy użyciu identyfikatora Entra firmy Microsoft (dawniej Azure Active Directory) zarówno w środowisku lokalnym, jak i w systemie Linux oraz w programie SQL Server na maszynach wirtualnych z systemem Windows platformy Azure.
Użyj Microsoft Entra ID z autonomicznymi wystąpieniami programu SQL Server lub grupami dostępności Always On. Instancje klastrowe trybu failover programu SQL Server nie obsługują obecnie uwierzytelniania Microsoft Entra.
Przegląd
Teraz możesz nawiązać połączenie z programem SQL Server przy użyciu następujących metod uwierzytelniania firmy Microsoft Entra:
- Domyślne uwierzytelnianie
- Nazwa użytkownika i hasło
- Zintegrowany
- Uniwersalne z uwierzytelnianiem wieloskładnikowymi
- Główna usługa
- Tożsamość zarządzana
- Token dostępu
Istniejące tryby uwierzytelniania, uwierzytelnianie SQL i uwierzytelnianie systemu Windows pozostają niezmienione.
Microsoft Entra ID to oparta na chmurze usługa zarządzania tożsamościami i dostępem na platformie Azure. Identyfikator Entra firmy Microsoft jest koncepcyjnie podobny do usługi Active Directory, zapewniając scentralizowane repozytorium do zarządzania dostępem do zasobów organizacji. Tożsamości to obiekty w identyfikatorze Entra firmy Microsoft, które reprezentują użytkowników, grupy lub aplikacje. Można im przypisać uprawnienia za pomocą kontroli dostępu opartej na rolach i użyć ich do uwierzytelniania w zasobach platformy Azure. Uwierzytelnianie Microsoft Entra jest obsługiwane dla:
- Azure SQL Database
- Azure SQL Managed Instance
- SQL Server na maszynach wirtualnych Windows Azure
- Azure Synapse Analytics
- SQL Server
Aby uzyskać więcej informacji, zobacz Use Microsoft Entra authentication with Azure SQL and Configure and manage Microsoft Entra authentication with Azure SQL (Używanie uwierzytelniania entra firmy Microsoft za pomocą usługi Azure SQL) i Manage Microsoft Entra authentication with Azure SQL (Konfigurowanie uwierzytelniania entra firmy Microsoft i zarządzanie nim za pomocą usługi Azure SQL).
Jeśli usługa Active Directory systemu Windows Server jest sfederowana z Microsoft Entra ID, użytkownicy mogą uwierzytelniać się w programie SQL Server używając poświadczeń systemu Windows, jako logowania systemu Windows lub logowania Microsoft Entra. Microsoft Entra ID nie obsługuje wszystkich funkcji Active Directory wspieranych przez Windows Server Active Directory, takich jak konta usług czy złożona architektura lasu sieci. Istnieją inne możliwości identyfikatora Entra firmy Microsoft, takie jak uwierzytelnianie wieloskładnikowe, które nie jest dostępne w usłudze Active Directory. Porównaj identyfikator entra firmy Microsoft z usługą Active Directory , aby dowiedzieć się więcej.
Łączenie programu SQL Server z platformą Azure przy użyciu identyfikatora Entra firmy Microsoft
Konfigurowanie uwierzytelniania w usłudze Microsoft Entra za pomocą usługi Azure Arc
Aby program SQL Server komunikował się z platformą Azure, zarówno program SQL Server, jak i host systemu Windows lub Linux, na nim działa, można zarejestrować w usłudze Azure Arc. Aby umożliwić komunikację programu SQL Server z platformą Azure, należy zainstalować agenta usługi Azure Arc i rozszerzenie platformy Azure dla programu SQL Server.
Aby rozpocząć, zobacz Łączenie programu SQL Server z usługą Azure Arc.
Uwaga / Notatka
Jeśli używasz programu SQL Server na maszynie wirtualnej platformy Azure, nie musisz rejestrować maszyny wirtualnej w usłudze Azure Arc, musisz zarejestrować maszynę wirtualną w rozszerzeniu agenta IaaS SQL. Po zarejestrowaniu maszyny wirtualnej zobacz Włączanie uwierzytelniania usługi Azure AD dla programu SQL Server na maszynach wirtualnych platformy Azure , aby uzyskać więcej informacji.
Konfigurowanie uwierzytelniania Microsoft Entra bez Azure Arc
Możesz również skonfigurować uwierzytelnianie microsoft Entra dla programu SQL Server w systemie Windows bez korzystania z usługi Azure Arc. Takie podejście obejmuje ręczne konfigurowanie certyfikatów, ustawień rejestru i rejestracji aplikacji Microsoft Entra ID. Aby uzyskać szczegółowe instrukcje, zobacz Samouczek: Włączanie Microsoft Entra do uwierzytelniania dla programu SQL Server w systemie Windows bez użycia usługi Azure Arc.
Domyślne uwierzytelnianie
Domyślna opcja uwierzytelniania w Microsoft Entra ID, która umożliwia uwierzytelnianie za pomocą mechanizmów bezhasłowych i bezinterakcyjnych, w tym tożsamości zarządzanych, Visual Studio, Visual Studio Code, Azure CLI i nie tylko.
Nazwa użytkownika i hasło
Umożliwia określenie nazwy użytkownika i hasła do klienta i sterownika. Metoda nazwy użytkownika i hasła jest często wyłączona w wielu dzierżawach ze względów bezpieczeństwa. Mimo że połączenia są szyfrowane, najlepszym rozwiązaniem jest unikanie używania nazwy użytkownika i hasła, jeśli jest to możliwe, ponieważ wymaga wysyłania haseł za pośrednictwem sieci.
Zintegrowany
Dzięki zintegrowanemu uwierzytelnianiu systemu Windows (IWA) identyfikator Entra firmy Microsoft udostępnia organizacjom rozwiązanie zarówno w infrastrukturze lokalnej, jak i w chmurze. Lokalne domeny usługi Active Directory można synchronizować z identyfikatorem Entra firmy Microsoft za pośrednictwem federacji, umożliwiając zarządzanie i kontrolę dostępu w ramach identyfikatora Entra firmy Microsoft, podczas gdy uwierzytelnianie użytkownika pozostaje lokalne. W przypadku IWA poświadczenia systemu Windows użytkownika są uwierzytelniane w usłudze Active Directory, a po pomyślnym zakończeniu token uwierzytelniania użytkownika z Microsoft Entra ID jest zwracany do usługi SQL.
Uniwersalne z uwierzytelnianiem wieloskładnikowymi
Jest to standardowa metoda interaktywna z opcją uwierzytelniania wieloskładnikowego dla kont Microsoft Entra. Działa to w większości scenariuszy.
Główna usługa
Jednostka usługi to tożsamość, którą można utworzyć do użycia z zautomatyzowanymi narzędziami, zadaniami i aplikacjami. Z metodą uwierzytelniania tożsamości usługi można nawiązać połączenie z wystąpieniem SQL Server przy użyciu identyfikatora klienta i tajnego klucza tożsamości usługi.
Tożsamość zarządzana
Tożsamości zarządzane to specjalne formy elementów usługi. Istnieją dwa typy tożsamości zarządzanych: przypisana przez system i przypisana przez użytkownika. Tożsamości zarządzane przypisane przez system są włączane bezpośrednio w zasobie platformy Azure, natomiast tożsamości zarządzane przypisane przez użytkownika są zasobem autonomicznym, który można przypisać do co najmniej jednego zasobu platformy Azure.
Uwaga / Notatka
Aby można było używać tożsamości zarządzanej do nawiązywania połączenia z zasobem SQL za pośrednictwem klientów z graficznym interfejsem użytkownika, takich jak program SSMS i ADS, maszyna z uruchomioną aplikacją kliencką musi mieć klienta firmy Microsoft Entra uruchomionego przy użyciu certyfikatu tożsamości przechowywanego w nim. Jest to najczęściej osiągane za pośrednictwem maszyny wirtualnej platformy Azure, ponieważ tożsamość można łatwo przypisać do maszyny za pośrednictwem okienka portalu maszyny wirtualnej.
W przypadku narzędzi korzystających z bibliotek tożsamości platformy Azure, takich jak SQL Server Management Studio (SSMS), podczas nawiązywania połączenia z tożsamością zarządzaną należy użyć identyfikatora GUID do logowania, takiego jak abcd1234-abcd-1234-abcd-abcd1234abcd1234. Aby uzyskać więcej informacji, zobacz (ManagedIdentityCredential). Jeśli niepoprawnie przekażesz nazwę użytkownika, wystąpi błąd, taki jak:
ManagedIdentityCredential authentication unavailable. The requested identity has not been assigned to this resource.
Status: 400 (Bad Request)
Content:
{"error":"invalid_request","error_description":"Identity not found"}
Token dostępu
Niektórzy klienci niezwiązani z graficznym interfejsem użytkownika, tacy jak Invoke-sqlcmd , zezwalają na udostępnianie tokenu dostępu. Zakres lub odbiorcy tokenu dostępu muszą mieć wartość https://database.windows.net/.
Uwagi
- Tylko program SQL Server 2022 (16.x) lokalnie z obsługiwanym systemem operacyjnym Windows lub Linux lub SQL Server 2022 na maszynach wirtualnych platformy Windows Azure jest obsługiwany w przypadku uwierzytelniania firmy Microsoft Entra.
- Aby połączyć program SQL Server z usługą Azure Arc, konto Microsoft Entra wymaga następujących uprawnień:
- Członek grupy Azure Connected Machine Onboarding lub roli Współpracownik w grupie zasobów.
- Członek roli Azure Connected Machine Resource Administrator w grupie zasobów.
- Członek roli Czytelnik w grupie zasobowej.
- Uwierzytelnianie Microsoft Entra nie jest obsługiwane w przypadku wystąpień klastrów przełączania awaryjnego programu SQL Server.
Treści powiązane
- Uwierzytelnianie Microsoft Entra
- Połączony serwer dla SQL Server z uwierzytelnianiem Microsoft Entra
- samouczek : konfigurowanie administratora usługi Microsoft Entra dla programu SQL Server przy użyciu automatyzacji
- Samouczek : Ustawianie uwierzytelniania Microsoft Entra w programie SQL Server
- Samouczek: włącz uwierzytelnianie Microsoft Entra dla SQL Server w systemie Windows bez usługi Azure Arc
- Odnowienie certyfikatów
- Łączenie programu SQL Server z usługą Azure Arc