Conectar-se ao recurso SQL do Azure com a autenticação do Microsoft Entra

Aplica-se a:Banco de Dados SQL do AzureInstância Gerenciada SQL do Azure do Azure Synapse Analytics

Este artigo mostra como usar a autenticação do Microsoft Entra para se conectar ao Banco de Dados SQL do Azure, à Instância Gerenciada SQL do Azure e ao Azure Synapse Analytics.

Pré-requisitos

Para se conectar ao seu recurso SQL do Azure, você precisa ter configurado a autenticação do Microsoft Entra para seu recurso.

Para confirmar se o administrador do Microsoft Entra está configurado corretamente, conecte-se ao master banco de dados usando a conta de administrador do Microsoft Entra. Para criar um utilizador de base de dados isolada baseado no Microsoft Entra, conecte-se ao banco de dados com uma identidade Microsoft Entra que tenha acesso ao banco de dados e pelo menos a permissão ALTER ANY USER.

Conecte-se com SSMS ou SSDT

Os procedimentos a seguir mostram como se conectar ao Banco de Dados SQL com uma identidade do Microsoft Entra usando o SQL Server Management Studio (SSMS) ou o SSDT (SQL Server Database Tools).

Microsoft Entra Integrado

Utilize este método quando pretender iniciar sessão utilizando as credenciais do Windows que estão federadas no Microsoft Entra ID. Para obter mais informações, consulte Microsoft Entra seamless single sign-on.

1. Inicie o SSMS ou SSDT e na guia Login da caixa de diálogo Conectar ao Servidor (ou Conectar ao Mecanismo de Banco de Dados):

   1. Forneça o nome do servidor no formato <server-name>.database.windows.net.
   2. Em Autenticação, selecione Microsoft Entra Integrado. Não é necessário introduzir uma palavra-passe porque as suas credenciais existentes são apresentadas para a ligação.
   3. Em Criptografia, selecione a opção Estrito (SQL Server 2022 e Azure SQL), que deve ser utilizada para se conectar aos recursos do Azure SQL.

   

2. Na guia Propriedades da conexão , no campo Conectar ao banco de dados , digite o nome do banco de dados do usuário ao qual você deseja se conectar.

   

Senha do Microsoft Entra

Use esse método ao se conectar com um nome principal do Microsoft Entra usando o domínio gerenciado do Microsoft Entra. Você também pode usá-lo para contas federadas sem acesso ao domínio quando, por exemplo, estiver trabalhando remotamente.

Use este método para autenticar-se na base de dados no SQL Database ou na Instância Gerida SQL com utilizadores de identidade exclusivamente na nuvem do Microsoft Entra ou aqueles que usam identidades híbridas do Microsoft Entra. Esse método oferece suporte a usuários que desejam usar suas credenciais do Windows, mas sua máquina local não está associada ao domínio (por exemplo, usando acesso remoto). Nesse caso, um usuário do Windows pode indicar sua conta de domínio e senha e pode autenticar no banco de dados no Banco de dados SQL, na Instância Gerenciada SQL ou na Sinapse do Azure.

1. Inicie o SSMS ou SSDT e na guia Login da caixa de diálogo Conectar ao Servidor (ou Conectar ao Mecanismo de Banco de Dados):

   1. Forneça o nome do servidor no formato <server-name>.database.windows.net.
   2. Em Autenticação, selecione Senha do Microsoft Entra.
   3. Na caixa Nome de usuário , digite seu nome de usuário do Microsoft Entra no formato username@domain.com. Os nomes de usuário devem ser uma conta do Microsoft Entra ID ou uma conta de um domínio gerenciado ou federado com o Microsoft Entra ID.
   4. Na caixa Senha , digite sua senha de usuário para a conta do Microsoft Entra ou conta de domínio gerenciado/federado.
   5. Em Criptografia, selecione a opção Estrito (SQL Server 2022 e Azure SQL), que deve ser utilizada para se conectar aos recursos do Azure SQL.

   

2. Na guia Propriedades da conexão , no campo Conectar ao banco de dados , digite o nome do banco de dados do usuário ao qual você deseja se conectar.

   

Microsoft Entra MFA

Use este método para autenticação interativa com autenticação multifator (MFA), com a senha sendo solicitada interativamente. Esse método pode ser usado para autenticar bancos de dados no Banco de Dados SQL, na Instância Gerenciada SQL e no Azure Synapse Analytics para usuários de identidade somente na nuvem do Microsoft Entra ou aqueles que usam identidades híbridas do Microsoft Entra.

As etapas a seguir mostram como se conectar usando a autenticação multifator na versão mais recente do SSMS.

1. Para se conectar usando MFA, na caixa de diálogo Conectar ao Servidor no SSMS, selecione Microsoft Entra MFA.

   

2. Preencha a caixa Nome do servidor com o nome do servidor. Preencha a caixa Nome de usuário com suas credenciais do Microsoft Entra, no formato user_name@domain.com.

   

3. Selecione Conectar.

4. Quando a caixa de diálogo Entrar na sua conta for exibida, ela deverá ser preenchida previamente com o Nome de usuário fornecido na etapa 2. Nenhuma senha é necessária se um usuário fizer parte de um domínio federado com o Microsoft Entra ID.

   

5. Você será solicitado a autenticar usando um dos métodos configurados com base na configuração do administrador de MFA.

6. Quando a verificação é concluída, o SSMS se conecta normalmente, presumindo credenciais válidas e acesso ao firewall.

Entidade de Serviço Microsoft Entra

Use esse método para autenticar no banco de dados no Banco de dados SQL ou na Instância Gerenciada SQL com entidades de serviço do Microsoft Entra (aplicativos Microsoft Entra). Para obter mais informações, consulte principais de serviço do Microsoft Entra no Azure SQL.

Identidade gerenciada do Microsoft Entra

Use esse método para autenticar no banco de dados no Banco de dados SQL ou na Instância Gerenciada do SQL com identidades gerenciadas do Microsoft Entra. Para obter mais informações, consulte Identidades gerenciadas no Microsoft Entra para Azure SQL.

Microsoft Entra Padrão

A opção Autenticação padrão com ID do Microsoft Entra permite a autenticação realizada por meio de mecanismos sem senha e não interativos, incluindo identidades gerenciadas.

Conectar-se a partir de um aplicativo cliente

Os procedimentos a seguir mostram como se conectar a um Banco de Dados SQL com uma identidade do Microsoft Entra de um aplicativo cliente. Esta não é uma lista abrangente de métodos de autenticação ao usar uma identidade do Microsoft Entra. Para obter mais informações, consulte Conectar-se ao SQL do Azure com autenticação do Microsoft Entra e SqlClient.

Configurar seus aplicativos cliente

Observação

System.Data.SqlClient usa a Biblioteca de Autenticação do Ative Directory do Azure (ADAL), que foi preterida. Se você estiver usando o namespace System.Data.SqlClient para autenticação do Microsoft Entra, migre aplicativos para Microsoft.Data.SqlClient e a Microsoft Authentication Library (MSAL). Para entender os métodos de conexão disponíveis no .NET, consulte Conectar-se ao SQL do Azure com autenticação do Microsoft Entra e SqlClient.

Se você precisar continuar usando ADAL.DLL em seus aplicativos, poderá usar os links nesta seção para instalar o driver ODBC ou OLE DB mais recente, que contém a biblioteca de ADAL.DLL mais recente.

Em todas as máquinas cliente a partir das quais seus aplicativos ou usuários se conectam ao Banco de Dados SQL ou ao Azure Synapse Analytics usando identidades do Microsoft Entra, você deve instalar o seguinte software:

• .NET Framework 4.6 ou posterior.
• Biblioteca de Autenticação da Microsoft (MSAL) ou Biblioteca de Autenticação da Microsoft para SQL Server (ADAL.DLL). Os links para instalar o driver SSMS, ODBC e OLE DB mais recente que contém a biblioteca de ADAL.DLL estão disponíveis aqui:
  • SQL Server Management Studio (Estúdio de Gestão do Servidor SQL)
  • Driver ODBC 17 para SQL Server
  • Driver OLE DB 18 para SQL Server

Você pode atender a esses requisitos:

• Instalando a versão mais recente do SQL Server Management Studio ou do SQL Server Data Tools para atender ao requisito do .NET Framework 4.6.
  • O SSMS instala a versão x86 do ADAL.DLL.
  • O SSDT instala a versão amd64 do ADAL.DLL.
  • O mais recente Visual Studio dos Visual Studio Downloads atende ao requisito do .NET Framework 4.6, mas não instala a versão amd64 necessária do ADAL.DLL.

Autenticação integrada do Microsoft Entra

Para usar a autenticação integrada do Windows, o Ative Directory do seu domínio deve ser federado com o Microsoft Entra ID ou deve ser um domínio gerenciado configurado para logon único contínuo para autenticação de hash de passagem ou senha. Para obter mais informações, consulte Microsoft Entra seamless single sign-on.

Seu aplicativo cliente (ou um serviço) que se conecta ao banco de dados deve estar em execução em uma máquina associada a um domínio sob as credenciais de domínio de um usuário.

Para se conectar a um banco de dados usando autenticação integrada e uma identidade do Microsoft Entra, a Authentication palavra-chave na cadeia de conexão do banco de dados deve ser definida como Active Directory Integrated. Substitua <server_name> pelo nome do servidor lógico. O exemplo de código C# a seguir usa o ADO .NET.

string ConnectionString = @"Data Source=<server-name>.database.windows.net; Authentication=Active Directory Integrated; Initial Catalog=testdb;";
SqlConnection conn = new SqlConnection(ConnectionString);
conn.Open();

A palavra-chave Integrated Security=True da cadeia de conexão não tem suporte para conexão com o Banco de Dados SQL do Azure. Ao fazer uma conexão ODBC, você precisa remover espaços e definir a autenticação como ActiveDirectoryIntegrated.

Autenticação de senha do Microsoft Entra

Para se conectar a um banco de dados usando contas de usuário de identidade somente na nuvem do Microsoft Entra ou aqueles que usam identidades híbridas do Microsoft Entra, a palavra-chave Authentication deve ser definida como Active Directory Password. A cadeia de conexão deve conter as palavras-chave e valores ID de usuárioUID e senha/PWD. Substitua <server_name>, <email_address>e <password> com os valores apropriados. O exemplo de código C# a seguir usa o ADO .NET.

string ConnectionString =
@"Data Source=<server-name>.database.windows.net; Authentication=Active Directory Password; Initial Catalog=testdb; UID=<email_address>; PWD=<password>";
SqlConnection conn = new SqlConnection(ConnectionString);
conn.Open();

Saiba mais sobre os métodos de autenticação do Microsoft Entra usando os exemplos de código de demonstração disponíveis em Microsoft Entra authentication GitHub Demo.

Token de acesso do Microsoft Entra ID

Esse método de autenticação permite que os serviços de camada intermediária obtenham JSON Web Tokens (JWT) para se conectar ao banco de dados no Banco de Dados SQL, na Instância Gerenciada SQL ou no Azure Synapse obtendo um token da ID do Microsoft Entra. Esse método permite vários cenários de aplicativo, incluindo identidades de serviço, entidades de serviço e aplicativos que usam autenticação baseada em certificado. Você deve concluir quatro etapas básicas para usar a autenticação de token do Microsoft Entra:

1. Registe a sua aplicação com o Microsoft Entra ID e obtenha o ID de cliente para o seu código.
2. Crie um usuário de banco de dados representando o aplicativo (conforme descrito na seção Criar usuários contidos mapeados para identidades do Microsoft Entra .)
3. Crie um certificado no computador cliente que executa o aplicativo.
4. Adicione o certificado como uma chave para o seu aplicativo.

Exemplo de cadeia de conexão. Substitua <server-name> pelo nome do servidor lógico:

string ConnectionString = @"Data Source=<server-name>.database.windows.net; Initial Catalog=testdb;";
SqlConnection conn = new SqlConnection(ConnectionString);
conn.AccessToken = "Your JWT token";
conn.Open();

Para obter mais informações, consulte Blog de segurança do SQL Server. Para obter informações sobre como adicionar um certificado, consulte Introdução à autenticação baseada em certificado no Microsoft Entra ID.

Autenticação multifator do Microsoft Entra

A autenticação multifator do Microsoft Entra é um método de autenticação suportado para todas as ferramentas SQL. Para obter informações sobre a autenticação programática com o Microsoft Entra ID, consulte a Visão geral da Biblioteca de Autenticação da Microsoft (MSAL).

sqlcmd

As declarações a seguir conectam-se usando a versão 13.1 do sqlcmd. Baixe o Microsoft Command Line Utilities 14.0 para SQL Server.

Observação

sqlcmd com o comando não funciona com identidades do -G sistema e requer um login principal do usuário.

sqlcmd -S <database or datawarehouse name>.<server-name>.database.windows.net -G
sqlcmd -S <database or datawarehouse name>.<server-name>.database.windows.net -U adrian@contoso.com -P <password> -G -l 30

Conectar-se no editor de consultas do portal do Azure (Banco de Dados SQL do Azure)

Para obter mais informações sobre o editor de consultas do portal do Azure para o Banco de Dados SQL do Azure, consulte Guia de início rápido: usar o editor de consultas do portal do Azure para consultar o Banco de Dados SQL do Azure.

1. Navegue até seu banco de dados SQL no portal do Azure. Por exemplo, visite sua página do hub SQL do Azure e selecione seu Banco de Dados SQL do Azure.

2. Na página Visão geral do banco de dados SQL no portal do Azure, selecione Editor de consultas no menu de recursos.

3. Na tela de entrada, em Bem-vindo ao Editor de Consultas do Banco de Dados SQL, selecione Continuar como <sua ID> de usuário ou grupo.

Conteúdo relacionado

• Autorizar acesso ao Banco de Dados SQL, à Instância Gerida SQL e ao Azure Synapse Analytics
• Princípios
• Funções do banco de dados
• Azure SQL Database e regras de firewall IP do Azure Synapse
• Crie usuários convidados do Microsoft Entra e defina-os como um administrador do Microsoft Entra
• Tutorial: Criar usuários do Microsoft Entra usando aplicativos do Microsoft Entra