Compartilhar via


Entidades de segurança nativas do Windows

Aplica-se a: Instância Gerenciada de SQL do Azure

O modo de metadados de autenticação do Windows é um novo modo que permite que os usuários usem a autenticação do Windows ou a autenticação do Microsoft Entra (usando metadados de entidade de segurança do Windows) com a Instância Gerenciada de SQL do Azure. Esse modo está disponível apenas para a Instância Gerenciada de SQL. O modo de metadados de autenticação do Windows não está disponível para o Banco de Dados SQL do Azure.

Quando seu ambiente é sincronizado entre o Active Directory (AD) e o Microsoft Entra ID, as contas de usuários do Windows no AD são sincronizadas com as contas de usuários do Microsoft Entra no Microsoft Entra ID.

A autenticação da Instância Gerenciada de SQL e do SQL Server é baseada em metadados vinculados a logons. Para logons de autenticação do Windows, os metadados são criados quando o logon é criado no comando CREATE LOGIN FROM WINDOWS. Para logons do Microsoft Entra, os metadados são criados quando o logon é criado no comando CREATE LOGIN FROM EXTERNAL PROVIDER. Para logons de autenticação de SQL, os metadados são criados quando o comando CREATE LOGIN WITH PASSWORD é executado. O processo de autenticação é fortemente acoplado aos metadados armazenados na Instância Gerenciada de SQL ou no SQL Server.

O vídeo abaixo é um episódio do Data Exposed que explica as entidades de segurança nativas do Windows.

Observação

O uso de entidades de segurança nativas do Windows com o modo de metadados de autenticação do Windows na Instância Gerenciada de SQL está atualmente em preview.

Modos de metadados de autenticação

Os seguintes modos de metadados de autenticação estão disponíveis para a Instância Gerenciada de SQL, e os diferentes modos determinam quais metadados de autenticação são usados para autenticação, junto com a forma como o logon é criado:

A sintaxe CREATE LOGIN FROM WINDOWS e a CREATE USER FROM WINDOWS podem ser usadas para criar um logon ou usuário na Instância Gerenciada de SQL, respectivamente para uma entidade de segurança do Windows no modo de metadados de autenticação do Windows. A entidade de segurança do Windows pode ser um usuário ou um grupo do Windows.

Para usar o modo de metadados de autenticação do Windows, o ambiente do usuário deve Sincronizar o Active Directory (AD) com o Microsoft Entra ID.

Configurar modos de metadados de autenticação

  1. Acesse o Portal do Azure e navegue até o recurso de Instância Gerenciada de SQL.
  2. Vá para Configurações > Microsoft Entra ID.
  3. Escolha seu modo de Metadados de autenticação preferencial na lista suspensa.
  4. Selecione Salvar configuração de metadados de autenticação.

Captura de tela do portal do Azure mostrando a configuração do modo de metadados de autenticação.

Enfrentar desafios de migração usando o modo de metadados de autenticação do Windows

O modo de metadados de autenticação do Windows ajuda a modernizar a autenticação do aplicativo e elimina os desafios de migração para a Instância Gerenciada de SQL. Aqui estão alguns cenários comuns em que o modo de metadados de autenticação do Windows pode ser usado para lidar com os desafios do cliente:

Autenticação do Windows para entidades de segurança do Microsoft Entra

Desde que o ambiente esteja sincronizado entre o AD e o Microsoft Entra ID, o modo de metadados de autenticação do Windows poderá ser usado para autenticar usuários na Instância Gerenciada de SQL usando um logon do Windows ou do Microsoft Entra, se o logon for criado em uma entidade de segurança do Windows (CREATE LOGIN FROM WINDOWS).

Esse recurso é especialmente útil para clientes que têm aplicativos que usam a autenticação do Windows e estão migrando para a Instância Gerenciada de SQL. O modo de metadados de autenticação do Windows permite que os clientes continuem usando a autenticação do Windows para seus aplicativos sem precisar fazer alterações no código do aplicativo. Por exemplo, aplicativos como o BizTalk Server, que executa os comandos CREATE LOGIN FROM WINDOWS e CREATE USER FROM WINDOWS, podem continuar a funcionar sem nenhuma alteração ao migrar para a Instância Gerenciada de SQL. Outros usuários podem usar um logon do Microsoft Entra sincronizado com o AD para autenticar na Instância Gerenciada de SQL.

Embora o link da Instância Gerenciada permita a replicação de dados quase em tempo real entre o SQL Server e a Instância Gerenciada de SQL, a réplica somente leitura na nuvem impede a criação de entidades de segurança do Microsoft Entra. O modo de metadados de autenticação do Windows permite que os clientes usem um logon existente do Windows para se autenticar na réplica caso ocorra um failover.

Autenticação do Microsoft Entra para SQL Server 2022 e posterior

O SSQL Server 2022 apresenta compatibilidade com a autenticação do Microsoft Entra. Muitos usuários gostariam de limitar os modos de autenticação para utilizar apenas a autenticação moderna e migrar todas as entidades de segurança do Windows para o Microsoft Entra ID. No entanto, há cenários em que a autenticação do Windows ainda é necessária, como o código do aplicativo vinculado a entidades de segurança do Windows. O modo de metadados de autenticação do Windows permite que os clientes continuem a usar entidades de segurança do Windows para autorização no SQL Server, enquanto usam entidades de segurança do Microsoft Entra que estão sincronizadas para autenticação.

O SQL Server não entende a sincronização entre o Active Directory e o Microsoft Entra ID. Embora os usuários e grupos sejam sincronizados entre o AD e o Microsoft Entra ID, você ainda precisa criar um logon usando a sintaxe CREATE LOGIN FROM EXTERNAL PROVIDER e adicionar permissões ao logon. O modo de metadados de autenticação do Windows alivia a necessidade de migrar manualmente os logons para o Microsoft Entra ID.

Comparação do modo de metadados de autenticação

Aqui está o fluxograma que explica como o modo de metadados de autenticação funciona com a Instância Gerenciada de SQL:

Diagrama do fluxograma do modo de metadados de autenticação.

Anteriormente, os clientes que sincronizavam usuários entre o AD e o Microsoft Entra ID não podiam se autenticar com um logon criado em uma entidade de segurança do Windows, independentemente se usassem a autenticação do Windows ou a autenticação do Microsoft Entra sincronizada do AD. Com o modo de metadados de autenticação do Windows, os clientes agora podem se autenticar com um logon criado em uma entidade de segurança do Windows usando a autenticação do Windows ou a entidade de segurança sincronizada do Microsoft Entra.

Para usuários sincronizados, a autenticação é bem-sucedida ou falha com base nas seguintes configurações e tipo de logoin:

Modo de metadados de autenticação DO WINDOWS FROM EXTERNAL PROVIDER
Modo Windows
autenticação do Microsoft Entra Tem êxito Falhas
Autenticação do Windows Tem êxito Falhas
Modo Microsoft Entra ID
autenticação do Microsoft Entra Falhas Tem êxito
Autenticação do Windows Falhas Tem êxito
Modo emparelhado
autenticação do Microsoft Entra Falhas Tem êxito
Autenticação do Windows Tem êxito Falhas

Saiba mais sobre como implementar a Autenticação do Windows para entidades de segurança do Microsoft Entra na Instância Gerenciada de SQL: