Usar a autenticação multifator do Microsoft Entra com o Synapse SQL (suporte do SSMS para MFA)
O SQL do Synapse dá suporte a conexões do SSMS (SQL Server Management Studio) usando a Autenticação Universal do Active Directory.
Este artigo discute as diferenças entre as várias opções de autenticação e também as limitações associadas ao uso da autenticação universal.
Baixar a última versão do SSMS - No computador cliente, baixe a última versão do SSMS em Baixar o SQL Server Management Studio (SSMS).
Para todos os recursos neste artigo, use a versão 17.2 de julho de 2017 ou posterior. A caixa de diálogo de conexão mais recente deve ser semelhante à seguinte imagem:
As cinco opções de autenticação
A Autenticação Universal do Active Directory dá suporte a dois métodos de autenticação não interativa: - Active Directory - Password autenticação - Active Directory - Integrated autenticação
Também há dois modelos de autenticação não interativos, que podem ser usados em vários aplicativos diferentes (ADO.NET, JDCB, ODC etc.). Esses dois métodos nunca resultam em caixas de diálogo pop-up:
Active Directory - PasswordActive Directory - Integrated
O método interativo também dá suporte à autenticação multifator (MFA) do Microsoft Entra:
Active Directory - Universal with MFA
A autenticação multifator do Microsoft Entra ajuda a proteger o acesso aos dados e aplicativos enquanto atende à demanda do usuário por um processo de entrada simples. Ele fornece autenticação eficiente com uma variedade de opções de verificação fáceis, como chamada telefônica, mensagem de texto, cartões inteligentes com PIN ou notificação por aplicativos móveis, os quais permitem que os usuários escolham seu método de preferência. A MFA interativa com o Microsoft Entra ID pode resultar em uma caixa de diálogo pop-up para validação.
Para obter uma descrição da autenticação multifator, consulte autenticação multifator.
Nome de domínio ou parâmetro de ID do locatário do Microsoft Entra
Começando com SSMS versão 17, os usuários importados para o Active Directory atual de outros Azure Active Directories como usuários convidados podem fornecer o nome de domínio do Microsoft Entra ou a ID do locatário quando se conectarem.
Usuários convidados incluem usuários convidados de outros Azure ADs e contas Microsoft como outlook.com, hotmail.com, live.com ou outras contas como gmail.com. Essa informação, permite que o Active Directory Universal com Autenticação MFA identifique a autoridade de autenticação correta. Essa opção também é necessária para dar suporte a contas da Microsoft (MSA), como outlook.com, hotmail.com, live.com ou contas que não são MSA.
Todos esses usuários que desejam ser autenticados usando a Autenticação Universal devem inserir seu nome de domínio ou ID de locatário do Microsoft Entra. Esse parâmetro representa a ID de locatário/nome de domínio do Microsoft Entra atual com a qual o Servidor do Azure está vinculado.
Por exemplo, se o Azure Server estiver associado ao domínio do Microsoft Entra contosotest.onmicrosoft.com em que o usuário joe@contosodev.onmicrosoft.com estiver hospedado como um usuário importado do domínio do Microsoft Entra contosodev.onmicrosoft.com, o nome de domínio necessário para autenticar esse usuário será contosotest.onmicrosoft.com.
Quando o usuário for um usuário nativo da ID do Microsoft Entra vinculado ao Azure Server e não for uma conta MSA, nenhum nome de domínio ou ID de locatário será necessário.
Para inserir o parâmetro (começando com o SSMS versão 17.2), na caixa de diálogo Conectar-se ao Banco de Dados, preencha a caixa de diálogo selecionando a autenticação Active Directory – Universal com MFA, escolha Opções, preencha a caixa Nome de usuário e selecione a guia Propriedades da Conexão.
Marque a caixa ID de locatário ou nome de domínio do AD e forneça a autoridade de autenticação, como o nome de domínio (contosotest.onmicrosoft.com) ou o GUID da ID do locatário.
Se você estiver executando o SSMS 18.x ou posterior, o nome de domínio do AD ou a ID do locatário não será mais necessário para usuários convidados, pois a versão 18.x ou posterior o reconhecerá automaticamente.
Suporte comercial para empresas do Microsoft Entra
Os usuários do Microsoft Entra compatíveis com cenários do Microsoft Entra B2B como usuários convidados (consulte O que é a colaboração B2B do Azure podem se conectar ao SQL do Synapse apenas como parte de membros de um grupo criado na ID atual do Microsoft Entra e mapeados manualmente usando a instrução CREATE USER Transact-SQL em um determinado banco de dados.
Por exemplo, se steve@gmail.com for convidado para o Azure AD contosotest (com o domínio do Microsoft Entra contosotest.onmicrosoft.com), um grupo do Microsoft Entra, como usergroup, deverá ser criado na ID do Microsoft Entra que contiver o membro steve@gmail.com. Em seguida, esse grupo deve ser criado em um banco de dados específico (ou seja, MyDatabase) pelo administrador do Microsoft Entra SQL ou pelo Microsoft Entra DBO executando uma instrução Transact-SQL CREATE USER [usergroup] FROM EXTERNAL PROVIDER.
Depois que o usuário de banco de dados for criado, o usuário steve@gmail.com poderá fazer logon em MyDatabase usando a opção de autenticação de SSMS Active Directory – Universal with MFA support.
O grupo de usuários, por padrão, possui somente a permissão de conexão e qualquer acesso a dados adicional precisará ser concedido da maneira normal.
Como usuário convidado, steve@gmail.com precisa marcar a caixa e adicionar o nome de domínio do AD contosotest.onmicrosoft.com na caixa de diálogo Propriedade da Conexão do SSMS. A opção ID de locatário ou nome de domínio do AD tem suporte apenas para opções de conexão Universal com MFA, caso contrário, ela fica acinzentada.
Limitações de autenticação universal para o SQL do Synapse
- O SSMS e o SqlPackage.exe são as únicas ferramentas atualmente habilitadas para MFA por meio da Autenticação Universal do Active Directory.
- O SSMS versão 17.2, dá suporte a acesso simultâneo de vários usuário usando a Autenticação Universal com MFA. As versões 17.0 e 17.1 restringiram um logon para uma instância do SSMS usando a Autenticação Universal para uma única conta do Microsoft Entra. Para fazer logon como outra conta do Microsoft Entra, você deve usar outra instância do SSMS. (Essa restrição é limitada à Autenticação Universal do Active Directory, você pode fazer logon em diferentes servidores usando a Autenticação de Senha do Active Directory, a Autenticação Integrada do Active Directory ou a Autenticação do SQL Server).
- O SSMS dá suporte à Autenticação Universal do Active Directory para a visualização do Pesquisador de Objetos, do Editor de Consultas e do Repositório de Consultas.
- O SSMS versão 17.2 fornece suporte ao Assistente de DacFx para Eportação/Extração/Implantação de Dados de banco de dados. Depois que um usuário específico é autenticado por meio da caixa de diálogo de autenticação inicial usando a Autenticação Universal, o Assistente de DacFx funciona da mesma maneira que faz para todos os outros métodos de autenticação.
- O Designer de Tabela do SSMS não dá suporte à Autenticação Universal.
- Não há nenhum requisito de software adicional para a Autenticação Universal do Active Directory, exceto que você deve usar uma versão do SSMS com suporte.
- A versão da Biblioteca de Autenticação do Active Directory (ADAL) para autenticação Universal foi atualizada para a última versão lançada disponível de ADAL.dll 3.13.9. Consulte Biblioteca de Autenticação do Active Directory 3.14.1.
Próximas etapas
Para obter mais informações, confira o artigo Conectar-se ao SQL do Synapse com o SQL Server Management Studio.