Autenticar com o Microsoft Entra ID no sqlcmd

Aplica-se a: SQL Server Banco de Dados SQL do Azure Instância Gerenciada de SQL do Azure Azure Synapse Analytics PDW (Analytics Platform System)

O sqlcmd oferece suporte a vários modelos de autenticação do Microsoft Entra, dependendo da versão instalada.

Observação

Embora o Microsoft Entra ID seja o novo nome do Azure Active Directory (Azure AD), para evitar a interrupção de ambientes existentes, o Azure AD ainda permanecerá em alguns elementos codificados, como campos de interface do usuário, provedores de conexão, códigos de erro e cmdlets. Neste artigo, os dois nomes são intercambiáveis.

Para obter mais informações sobre a diferença entre as versões do sqlcmd, consulte Utilitário sqlcmd.

sqlcmd (Go)

O sqlcmd (Go) oferece suporte a mais modelos de autenticação do Microsoft Entra, com base no pacote azidentity. A implementação depende de um conector do Microsoft Entra no driver go-sqlcmd.

Argumentos de linha de comando

Para usar a autenticação do Microsoft Entra, você pode usar uma das duas opções de linha de comando.

O -G é (principalmente) compatível com seu uso em sqlcmd (ODBC). Se houver um nome de usuário e senha, ele será autenticado usando a autenticação de senha do Microsoft Entra. Se houver um nome de usuário, ele usará a autenticação interativa do Microsoft Entra, que poderá exibir um navegador da Web. Se nenhum nome de usuário ou senha for fornecido, ele usará um DefaultAzureCredential, que tentará se autenticar usando vários mecanismos.

--authentication-method= pode ser usado para especificar um dos seguintes tipos de autenticação.

ActiveDirectoryDefault

• Para obter uma visão geral dos tipos de autenticação que esse modo usará, confira Credencial padrão do Azure.
• Escolha esse método se os scripts de automação de banco de dados forem executados em ambientes de desenvolvimento local e em uma implantação de produção no Azure. No seu ambiente de desenvolvimento você poderá usar um segredo do cliente ou um logon da CLI do Azure. Sem alterar o script do ambiente de desenvolvimento, você poderá usar uma identidade gerenciada ou um segredo do cliente na implantação de produção.
• É necessário definir as variáveis de ambiente AZURE_TENANT_ID e AZURE_CLIENT_ID para que o DefaultAzureCredential comece a verificar a configuração de ambiente e procure uma das seguintes variáveis de ambiente adicionais para autenticar:
  • Definir a variável de ambiente AZURE_CLIENT_SECRET configura o DefaultAzureCredential para escolher ClientSecretCredential.
  • Definir a variável de ambiente AZURE_CLIENT_CERTIFICATE_PATH vai configurar o DefaultAzureCredential para escolher ClientCertificateCredential se AZURE_CLIENT_SECRET não estiver definido.
• Definir a variável de ambiente AZURE_USERNAME vai configurar o DefaultAzureCredential para escolher UsernamePasswordCredential se AZURE_CLIENT_SECRET e AZURE_CLIENT_CERTIFICATE_PATH não estiverem definidos.

ActiveDirectoryIntegrated

No momento, esse método não está implementado e retornará para ActiveDirectoryDefault.

ActiveDirectoryPassword

• Esse método será autenticado usando um nome de usuário e uma senha. Ele não funcionará se o MFA for exigido.

• Você fornece o nome de usuário e a senha usando as opções de linha de comando usuais ou as variáveis de ambiente do SQLCMD.

• Defina a variável de ambiente AZURE_TENANT_ID como a ID do locatário do servidor se não estiver usando o locatário padrão do usuário.

ActiveDirectoryInteractive

Esse método inicia um navegador da Web para autenticar o usuário.

ActiveDirectoryManagedIdentity

Use esse método ao executar o sqlcmd (Go) em uma VM do Azure que tenha uma identidade gerenciada atribuída pelo sistema ou pelo usuário. Se estiver usando uma identidade gerenciada atribuída pelo usuário, defina o nome de usuário como a ID do cliente da identidade gerenciada. Se estiver usando uma identidade atribuída pelo sistema, deixe o nome de usuário vazio.

Este exemplo mostra como se conectar usando uma SAMI (Identidade gerenciada atribuída pelo serviço):

-S testsrv.database.windows.net -d Target_DB_or_DW --authentication-method ActiveDirectoryManagedIdentity

Este exemplo mostra como se conectar a uma UAMI (Identidade gerenciada atribuída pelo usuário) adicionando a ID do Cliente da identidade gerenciada atribuída ao usuário:

-S testsrv.database.windows.net -d Target_DB_or_DW --authentication-method ActiveDirectoryManagedIdentity -U <user-assigned-managed-identity-client-id>

ActiveDirectoryServicePrincipal

Esse método autentica o nome de usuário fornecido como uma ID da entidade de serviço e a senha como o segredo do cliente na entidade de serviço. Forneça um nome de usuário no formulário <service principal id>@<tenant id>. Defina a variável SQLCMDPASSWORD como o segredo do cliente. Se estiver usando um certificado em vez de um segredo do cliente, defina a variável de ambiente AZURE_CLIENT_CERTIFICATE_PATH como o caminho do arquivo de certificado.

Variáveis de ambiente para autenticação do Microsoft Entra

Algumas configurações de autenticação do Microsoft Entra não têm entradas de linha de comando e algumas variáveis de ambiente são consumidas diretamente pelo pacote azidentity usado pelo sqlcmd (Go).

É possível definir essas variáveis de ambiente para configurar alguns aspectos da autenticação do Microsoft Entra e para ignorar comportamentos padrão. Além das variáveis listadas anteriormente, as variáveis a seguir são específicas do sqlcmd (Go) e se aplicam a vários métodos.

SQLCMDCLIENTID

Defina essa variável de ambiente como o identificador de um aplicativo registrado no Microsoft Entra, que está autorizado a autenticar o Banco de Dados SQL do Azure. Aplica-se aos métodos ActiveDirectoryInteractive e ActiveDirectoryPassword.

sqlcmd (ODBC)

A opção -G é usada pelo sqlcmd (ODBC) ao se conectar ao Banco de Dados SQL do Azure ou ao Azure Synapse Analytics para especificar que o usuário seja autenticado usando a autenticação do Microsoft Entra. Essa opção define a variável de script do sqlcmdSQLCMDUSEAAD=true.

• A opção -G exige, no mínimo, o sqlcmd versão 13.1. A autenticação interativa do Microsoft Entra requer o sqlcmd (ODBC) versão 15.0.1000.34 e posteriores, bem como o ODBC versão 17.2 e posteriores.

• A autenticação integrada do Microsoft Entra requer o Microsoft ODBC Driver 17 for SQL Server versão 17.6.1 e posteriores e um ambiente Kerberos configurado corretamente.

• A opção -G só se aplica ao Banco de Dados SQL do Azure e ao Azure Synapse Analytics.

• A Autenticação interativa do Microsoft Entra não tem suporte no Linux nem no macOS.

Para determinar a versão, execute sqlcmd "-?". Para obter mais informações, confira Conectando-se ao Banco de Dados SQL ou ao Azure Synapse Analytics usando a Autenticação do Azure Active Directory. A opção -A não é compatível com a opção -G.

Nome de usuário e senha do Microsoft Entra

Quando quiser usar um nome de usuário e senha do Microsoft Entra, você poderá fornecer a opção -G com nome de usuário e a senha usando as opções -U e -P.

sqlcmd -S testsrv.database.windows.net -d Target_DB_or_DW -U bob@contoso.com -P MyAzureADPassword -G

O parâmetro -G gera a seguinte cadeia de conexão no back-end:

SERVER = Target_DB_or_DW.testsrv.database.windows.net;UID=bob@contoso.com;PWD=MyAzureADPassword;AUTHENTICATION=ActiveDirectoryPassword;

Autenticação integrada do Microsoft Entra

Para a autenticação integrada do Microsoft Entra, forneça a opção -G sem um nome de usuário ou uma senha.

sqlcmd -S Target_DB_or_DW.testsrv.database.windows.net -G

Esse comando gera a seguinte cadeia de conexão no back-end:

SERVER = Target_DB_or_DW.testsrv.database.windows.net;Authentication=ActiveDirectoryIntegrated;Trusted_Connection=NO;

Observação

A opção -E (Trusted_Connection) não pode ser usada com a opção -G.

Autenticação interativa do Microsoft Entra

A autenticação interativa do Microsoft Entra para o Banco de Dados SQL do Azure e o Azure Synapse Analytics permitem que você use um método interativo compatível com a autenticação multifator. Para obter mais informações, confira Autenticação interativa do Active Directory.

Para habilitar a autenticação interativa, forneça a opção -G apenas com o nome de usuário (-U), sem uma senha.

O exemplo a seguir exporta dados usando o modo interativo do Microsoft Entra, indicando o nome de usuário que representa uma conta do Microsoft Entra. Esse é o mesmo exemplo usado na seção anterior, Nome de usuário e senha do Microsoft Entra.

O modo interativo requer a inserção manual de uma senha ou, em contas com a autenticação multifator habilitada, a conclusão do método de autenticação MFA configurado.

sqlcmd -S testsrv.database.windows.net -d Target_DB_or_DW -G -U alice@aadtest.onmicrosoft.com

O comando anterior gera a seguinte cadeia de conexão no back-end:

SERVER = Target_DB_or_DW.testsrv.database.windows.net;UID=alice@aadtest.onmicrosoft.com;AUTHENTICATION=ActiveDirectoryInteractive

Caso um usuário do Microsoft Entra seja um usuário federado de domínio usando uma conta do Windows, o nome de usuário necessário na linha de comando vai conter a própria conta de domínio (por exemplo, joe@contoso.com):

sqlcmd -S testsrv.database.windows.net -d Target_DB_or_DW -G -U joe@contoso.com

Se os usuários convidados existirem em um locatário do Microsoft Entra específico e fizerem parte de um grupo que exista no Banco de Dados SQL do Azure que tenha permissões para executar o comando sqlcmd, o alias de usuário convidado será usado (por exemplo, keith0@adventureworks.com).

Importante

Há um problema conhecido ao usar as opções -G e -U com sqlcmd (ODBC), em que colocar a opção -U antes da opção -G pode causar falha na autenticação. Sempre comece com a opção -G seguida pela opção -U.

Conteúdo relacionado

• Utilitário sqlcmd
• sqlcmd: iniciar o utilitário
• sqlcmd: usar o utilitário