Partilhar via

Usar autenticação multifator do Microsoft Entra com Synapse SQL (suporte a SSMS para MFA)

  • Artigo

O Synapse SQL oferece suporte a conexões do SQL Server Management Studio (SSMS) usando a Autenticação Universal do Ative Directory.

Este artigo discute as diferenças entre as várias opções de autenticação e também as limitações associadas ao uso da Autenticação Universal.

Baixe o SSMS mais recente - No computador cliente, baixe a versão mais recente do SSMS, em Baixar o SQL Server Management Studio (SSMS).

Para todos os recursos discutidos neste artigo, use pelo menos julho de 2017, versão 17.2. A caixa de diálogo de conexão mais recente deve ser semelhante à imagem a seguir:

Screenshot shows Connect to Server dialog box where you can select a server name and authentication option.

As cinco opções de autenticação

A Autenticação Universal do Ative Directory suporta os dois métodos de autenticação não interativos: - autenticação - Active Directory - PasswordActive Directory - Integrated autenticação

Existem também dois modelos de autenticação não interativos, que podem ser usados em muitos aplicativos diferentes (ADO.NET, JDCB, ODC, etc.). Esses dois métodos nunca resultam em caixas de diálogo pop-up:

  • Active Directory - Password
  • Active Directory - Integrated

O método interativo que também suporta a autenticação multifator (MFA) do Microsoft Entra é:

  • Active Directory - Universal with MFA

A autenticação multifator do Microsoft Entra ajuda a proteger o acesso a dados e aplicativos e, ao mesmo tempo, atende à demanda do usuário por um processo de entrada simples. Ele oferece autenticação forte com uma variedade de opções de verificação fáceis (chamada telefônica, mensagem de texto, cartões inteligentes com PIN ou notificação de aplicativo móvel), permitindo que os usuários escolham o método que preferirem. A MFA interativa com o Microsoft Entra ID pode resultar numa caixa de diálogo de pop-up para validação.

Para obter uma descrição da autenticação multifator, consulte Autenticação multifator.

Nome de domínio do Microsoft Entra ou parâmetro de ID do locatário

A partir da versão 17 do SSMS, os usuários importados para o Ative Directory atual de outros Diretórios Ativos do Azure como usuários convidados podem fornecer o nome de domínio do Microsoft Entra ou a ID do locatário quando se conectarem.

Os usuários convidados incluem usuários convidados de outros Azure ADs, contas da Microsoft, como outlook.com, hotmail.com, live.com ou outras contas, como gmail.com. Essas informações permitem que o Ative Directory Universal com Autenticação MFA identifique a autoridade de autenticação correta. Esta opção também é necessária para suportar contas Microsoft (MSA), tais como contas outlook.com, hotmail.com, live.com ou não MSA.

Todos esses usuários que desejam ser autenticados usando a Autenticação Universal devem inserir seu nome de domínio ou ID de locatário do Microsoft Entra. Este parâmetro representa o nome de domínio/ID de locatário atual do Microsoft Entra ao qual o Servidor do Azure está vinculado.

Por exemplo, se o Servidor do Azure estiver associado ao domínio Microsoft Entra onde o usuário está hospedado como um usuário importado do domínio Microsoft Entra, o nome de domínio contosotest.onmicrosoft.comcontosodev.onmicrosoft.comnecessário para autenticar esse usuário joe@contosodev.onmicrosoft.com será contosotest.onmicrosoft.com.

Quando o usuário é um usuário nativo da ID do Microsoft Entra vinculada ao Servidor do Azure e não é uma conta MSA, nenhum nome de domínio ou ID de locatário é necessário.

Para inserir o parâmetro (começando com o SSMS versão 17.2), na caixa de diálogo Conectar ao Banco de Dados, preencha a caixa de diálogo, selecionando Ative Directory - Universal com autenticação MFA, selecione Opções, preencha a caixa Nome de usuário e selecione a guia Propriedades da Conexão.

Marque a caixa Nome de domínio ou ID do locatário do AD e forneça autoridade de autenticação, como o nome de domínio (contosotest.onmicrosoft.com) ou o GUID da ID do locatário.

Screenshot shows Connect to Server in the Connection Properties tab with values entered.

Se você estiver executando o SSMS 18.x ou posterior, o nome de domínio ou ID de locatário do AD não será mais necessário para usuários convidados porque o 18.x ou posterior o reconhece automaticamente.

mfa-tenant-ssms

Suporte ao Microsoft Entra business to business

Usuários do Microsoft Entra com suporte para cenários do Microsoft Entra B2B como usuários convidados (consulte O que é a colaboração B2B do Azure pode se conectar ao Synapse SQL somente como parte de membros de um grupo criado na ID atual do Microsoft Entra e mapeado manualmente usando a instrução Transact-SQL CREATE USER em um determinado banco de dados.

Por exemplo, se steve@gmail.com for convidado para o Azure AD contosotest (com o domínio contosotest.onmicrosoft.comMicrosoft Entra ), um grupo Microsoft Entra, como usergroup deve ser criado na ID do Microsoft Entra que contém o steve@gmail.com membro. Em seguida, esse grupo deve ser criado para um banco de dados específico (ou seja, MyDatabase) pelo administrador do Microsoft Entra SQL ou pelo Microsoft Entra DBO executando uma instrução Transact-SQL CREATE USER [usergroup] FROM EXTERNAL PROVIDER .

Depois que o usuário do banco de dados for criado, o usuário steve@gmail.com poderá fazer login MyDatabase usando a opção Active Directory – Universal with MFA supportde autenticação do SSMS.

O grupo de usuários, por padrão, tem apenas a permissão de conexão e qualquer acesso adicional a dados que precisará ser concedido da maneira normal.

Como usuário convidado, steve@gmail.com deve marcar a caixa e adicionar o nome contosotest.onmicrosoft.com de domínio do AD na caixa de diálogo Propriedade de Conexão do SSMS. A opção de nome de domínio ou ID de locatário do AD só é suportada para as opções de conexão Universal com MFA, caso contrário, ficará acinzentada.

Limitações de autenticação universal para Synapse SQL

  • SSMS e SqlPackage.exe são as únicas ferramentas atualmente habilitadas para MFA por meio da Autenticação Universal do Ative Directory.
  • SSMS versão 17.2, suporta acesso simultâneo multiusuário usando autenticação universal com MFA. As versões 17.0 e 17.1 restringiram um login para uma instância do SSMS usando a Autenticação Universal a uma única conta do Microsoft Entra. Para iniciar sessão como outra conta Microsoft Entra, tem de utilizar outra instância do SSMS. (Essa restrição é limitada à Autenticação Universal do Ative Directory; você pode fazer logon em servidores diferentes usando a Autenticação de Senha do Ative Directory, a Autenticação Integrada do Ative Directory ou a Autenticação do SQL Server).
  • O SSMS oferece suporte à Autenticação Universal do Ative Directory para visualização do Pesquisador de Objetos, do Editor de Consultas e do Repositório de Consultas.
  • O SSMS versão 17.2 fornece suporte ao Assistente DacFx para exportar/extrair/implantar banco de dados de dados. Depois que um usuário específico é autenticado por meio da caixa de diálogo de autenticação inicial usando a Autenticação Universal, o Assistente DacFx funciona da mesma forma que para todos os outros métodos de autenticação.
  • O Designer de Tabela do SSMS não oferece suporte à Autenticação Universal.
  • Não há requisitos de software adicionais para a Autenticação Universal do Ative Directory, exceto que você deve usar uma versão suportada do SSMS.
  • A versão da Biblioteca de Autenticação do Ative Directory (ADAL) para autenticação Universal foi atualizada para sua versão mais recente do ADAL.dll 3.13.9 disponível. Consulte Biblioteca de Autenticação do Ative Directory 3.14.1.

Próximos passos

Para obter mais informações, consulte o artigo Conectar-se ao Synapse SQL com o SQL Server Management Studio .