Partilhar via

Autenticação do Microsoft Entra para SQL Server

Aplica-se a: SQL Server 2022 (16.x)

O SQL Server 2022 (16.x) apresenta suporte para autenticação com o Microsoft Entra ID (anteriormente Azure Active Directory), tanto no Windows como no Linux em instalações locais, e SQL Server em VMs do Windows do Azure.

Utilize o ID do Microsoft Entra com instâncias autónomas do SQL Server ou grupos de disponibilidade "Always On". Atualmente, as instâncias de cluster de failover do SQL Server não oferecem suporte à autenticação do Microsoft Entra.

Visão geral

Agora você pode se conectar ao SQL Server usando os seguintes métodos de autenticação do Microsoft Entra:

  • Autenticação padrão
  • Nome de utilizador e palavra-passe
  • Integrado
  • Universal com autenticação multifator
  • Principal de serviço
  • Identidade gerenciada
  • Token de acesso

Os modos de autenticação existentes, autenticação SQL e autenticação do Windows permanecem inalterados.

O Microsoft Entra ID é o serviço de gerenciamento de identidade e acesso baseado em nuvem do Azure. O Microsoft Entra ID é conceitualmente semelhante ao Ative Directory, fornecendo um repositório centralizado para gerenciar o acesso aos recursos da sua organização. Identidades são objetos no Microsoft Entra ID que representam usuários, grupos ou aplicativos. Elas podem receber permissões por meio do controle de acesso baseado em função e ser usadas para autenticação em recursos do Azure. A autenticação do Microsoft Entra é suportada para:

  • Base de Dados SQL do Azure
  • Azure SQL Managed Instance
  • SQL Server em VMs do Windows Azure
  • Azure Synapse Analytics
  • SQL Server

Para obter mais informações, consulte Usar a autenticação do Microsoft Entra com o SQL do Azure e Configurar e gerenciar a autenticação do Microsoft Entra com o SQLdo Azure.

Se o Active Directory do Windows Server estiver federado com a identificação do Microsoft Entra, os utilizadores poderão autenticar-se no SQL Server usando suas credenciais do Windows, quer como inícios de sessão do Windows ou como inícios de sessão do Microsoft Entra. Embora o Microsoft Entra ID não ofereça suporte a todos os recursos do AD suportados pelo Ative Directory do Windows Server, como contas de serviço ou arquitetura de floresta de rede complexa. Há outros recursos do Microsoft Entra ID, como a autenticação multifator, que não estão disponíveis com o Ative Directory. Compare a Microsoft Entra ID com o Active Directory para saber mais.

Conectar o SQL Server ao Azure com o Microsoft Entra ID

Configurando a autenticação do Microsoft Entra com o Azure Arc

Para que o SQL Server se comunique com o Azure, tanto o SQL Server quanto o host Windows ou Linux em que ele é executado podem ser registrados no Azure Arc. Para habilitar a comunicação do SQL Server com o Azure, você precisa instalar o Azure Arc Agent e a extensão do Azure para SQL Server.

Para começar, consulte Conectar o seu SQL Server ao Azure Arc.

Observação

Se você estiver executando o SQL Server em uma VM do Azure, não precisará registrar a VM com o Azure Arc, mas deverá registrar a VM com a extensão SQL IaaS Agent. Depois que a VM for registrada, consulte Ativar a autenticação do Azure AD para SQL Server em VMs do Azure para mais detalhes.

Configurando a autenticação do Microsoft Entra sem o Azure Arc

Você também pode configurar a autenticação do Microsoft Entra para SQL Server no Windows sem usar o Azure Arc. Essa abordagem envolve a configuração manual de certificados, configurações do Registro e registros de aplicativos do Microsoft Entra ID. Para obter instruções detalhadas, consulte Tutorial: Habilitar a autenticação do Microsoft Entra para SQL Server no Windows sem o Azure Arc.

Autenticação padrão

A opção de autenticação padrão com o Microsoft Entra ID que habilita a autenticação por meio de mecanismos sem senha e não interativos, incluindo identidades gerenciadas, Visual Studio, Visual Studio Code, CLI do Azure e muito mais.

Nome de utilizador e palavra-passe

Permite especificar o nome de usuário e senha para o cliente e driver. O método de nome de usuário e senha é comumente desabilitado em muitos locatários por motivos de segurança. Embora as conexões sejam criptografadas, é uma boa prática/recomendado evitar o uso de nome de usuário e senha quando possível, pois requer o envio de senhas pela rede.

Integrado

Com autenticação integrada do Windows (IWA), o Microsoft Entra ID fornece uma solução para organizações com infraestruturas locais e em nuvem. Os domínios locais do Active Directory podem ser sincronizados com o Microsoft Entra ID através de federação , permitindo que a gestão e o controlo de acesso sejam realizados dentro do Microsoft Entra ID, enquanto a autenticação dos utilizadores permanece local. Com o IWA, as credenciais do Windows do usuário são autenticadas no Ative Directory e, após o sucesso, o token de autenticação do usuário do Microsoft Entra ID é retornado ao SQL.

Universal com autenticação multifator

Este é o método interativo padrão com opção de autenticação multifator para contas Microsoft Entra. Isso funciona na maioria dos cenários.

Principal de serviço

Uma entidade de serviço é uma identidade que pode ser criada para uso com ferramentas, trabalhos e aplicações automatizadas. Com o método de autenticação da entidade de serviço, você pode se conectar à sua instância do SQL Server usando a ID do cliente e o segredo de uma identidade da entidade de serviço.

Identidade gerenciada

As identidades gerenciadas são formas especiais de entidades de serviço. Existem dois tipos de identidades gerenciadas: atribuídas pelo sistema e atribuídas pelo usuário. As identidades gerenciadas atribuídas pelo sistema são habilitadas diretamente em um recurso do Azure, enquanto as identidades gerenciadas atribuídas pelo usuário são um recurso autônomo que pode ser atribuído a um ou mais recursos do Azure.

Observação

Para usar uma identidade gerenciada para se conectar a um recurso SQL por meio de clientes GUI, como SSMS e ADS, a máquina que executa o aplicativo cliente deve ter um cliente Microsoft Entra em execução com o certificado da identidade armazenado nele. Isso geralmente é alcançado por meio de uma VM do Azure, pois a identidade pode ser facilmente atribuída à máquina por meio do painel do portal da VM.

Para ferramentas que usam bibliotecas de identidade do Azure, como o SQL Server Management Studio (SSMS), ao se conectar com uma identidade gerenciada, você precisa usar o GUID para o logon, como abcd1234-abcd-1234-abcd-abcd1234abcd1234. Para obter mais informações, consulte (ManagedIdentityCredential. Se você passar incorretamente o nome de usuário, ocorrerá um erro como:

ManagedIdentityCredential authentication unavailable. The requested identity has not been assigned to this resource.
Status: 400 (Bad Request)
Content:
{"error":"invalid_request","error_description":"Identity not found"}

Token de acesso

Alguns clientes que não são GUI, como Invoke-sqlcmd, permitem fornecer um token de acesso. O escopo ou o público do token de acesso deve corresponder a https://database.windows.net/.

Comentários

  • Apenas o SQL Server 2022 (16.x) no local com um sistema operativo Windows ou Linux suportado, ou SQL Server 2022 nas VMs do Windows Azure, tem suporte para autenticação do Microsoft Entra.
  • Para conectar o SQL Server ao Azure Arc, a conta do Microsoft Entra precisa das seguintes permissões:
    • Membro do grupo de Integração de Máquina Conectada do Azure ou função de Colaborador no grupo de recursos.
    • Membro da função Administrador de Recursos de Máquina Conectada Azure no grupo de recursos.
    • Membro da função Leitor no grupo de recursos.
  • A autenticação do Microsoft Entra não é suportada para instâncias de cluster de failover do SQL Server

Conteúdo relacionado

  • Last updated on