Autenticar com o Microsoft Entra ID no sqlcmd

Aplica-se a:SQL Server Azure SQL Database Azure SQL Managed Instance Azure Synapse Analytics Sistema de Plataforma de Análise (PDW)Base de dados SQL no Microsoft Fabric

sqlcmd suporta uma variedade de modelos de autenticação do Microsoft Entra, dependendo da versão instalada.

Note

Embora o Microsoft Entra ID seja o novo nome para o Azure Active Directory (Azure AD), para evitar interromper ambientes existentes, o Azure AD ainda permanece em alguns elementos codificados, como campos de interface do usuário, provedores de conexão, códigos de erro e cmdlets. Neste artigo, os dois nomes são intercambiáveis.

Para descobrir qual variante e versão do sqlcmd está instalada no seu sistema, consulte Verificar a versão instalada do utilitário sqlcmd. Para obter informações sobre como obter o sqlcmd, consulte Baixar e instalar o utilitário sqlcmd.

sqlcmd (Go)
sqlcmd (ODBC)

sqlcmd (Go) suporta mais modelos de autenticação do Microsoft Entra, com base no pacote azidentity. A implementação depende de um conector Microsoft Entra no driver go-sqlcmd .

Argumentos de linha de comando

Para usar a autenticação do Microsoft Entra, você pode usar uma das duas opções de linha de comando.

-G é (principalmente) compatível com seu uso no sqlcmd (ODBC). Se um nome de usuário e senha forem fornecidos, ele será autenticado usando a autenticação de senha do Microsoft Entra. Se um nome de usuário for fornecido, ele usará a autenticação interativa do Microsoft Entra, que pode exibir um navegador da Web. Se nenhum nome de usuário ou senha for fornecido, ele usa um DefaultAzureCredential, que tenta autenticar através de vários mecanismos.

--authentication-method= pode ser usado para especificar um dos seguintes tipos de autenticação.

ActiveDirectoryDefault

Para obter uma visão geral dos tipos de autenticação que esse modo usa, consulte Credencial Padrão do Azure.
Escolha esse método se os scripts de automação de banco de dados se destinarem a ser executados em ambientes de desenvolvimento local e em uma implantação de produção no Azure. Em seu ambiente de desenvolvimento, você pode usar um segredo do cliente ou um logon da CLI do Azure. Sem alterar o script do ambiente de desenvolvimento, você pode usar uma identidade gerenciada ou segredo do cliente em sua implantação de produção.
A definição de variáveis de ambiente AZURE_TENANT_ID e AZURE_CLIENT_ID é necessária para que DefaultAzureCredential comece a verificar a configuração do ambiente e procure uma das seguintes variáveis de ambiente adicionais para autenticar:
- Definir a variável de ambiente AZURE_CLIENT_SECRET configura o DefaultAzureCredential para escolher o ClientSecretCredential.
- Definir a variável de ambiente AZURE_CLIENT_CERTIFICATE_PATH configura a DefaultAzureCredential para escolher ClientCertificateCredential se AZURE_CLIENT_SECRET não estiver definido.
Definir a variável de ambiente AZURE_USERNAME configura o DefaultAzureCredential a escolher UsernamePasswordCredential caso AZURE_CLIENT_SECRET e AZURE_CLIENT_CERTIFICATE_PATH não estejam definidos.

ActiveDirectoryIntegrated

Este método não está atualmente implementado, e recorre a ActiveDirectoryDefault.

ActiveDirectoryPassword

Este método autentica usando um nome de usuário e senha. Não funciona se o MFA for necessário.
Você fornece o nome de usuário e a senha usando as opções de linha de comando usuais ou variáveis de ambiente SQLCMD.
Configure a variável de ambiente AZURE_TENANT_ID como o identificador do tenant do servidor, caso não esteja a usar o tenant padrão do utilizador.

ActiveDirectoryInteractive

Esse método inicia um navegador da Web para autenticar o usuário.

ActiveDirectoryManagedIdentity

Use esse método ao executar sqlcmd (Go) em uma VM do Azure que tenha uma identidade gerenciada atribuída pelo sistema ou pelo usuário. Se estiver usando uma identidade gerenciada atribuída pelo usuário, defina o nome de usuário como a ID do Cliente da identidade gerenciada. Se estiver usando uma identidade atribuída pelo sistema, deixe o nome de usuário vazio.

Este exemplo mostra como se conectar usando uma SAMI (Service Assigned Managed Identity):

sqlcmd -S testsrv.database.windows.net -d Target_DB_or_DW --authentication-method ActiveDirectoryManagedIdentity

Este exemplo mostra como se conectar a uma UAMI (User Assigned Managed Identity) adicionando a ID do cliente da identidade gerenciada atribuída ao usuário:

sqlcmd -S testsrv.database.windows.net -d Target_DB_or_DW --authentication-method ActiveDirectoryManagedIdentity -U <user-assigned-managed-identity-client-id>

ActiveDirectoryServicePrincipal

Esse método autentica o nome de usuário fornecido como uma ID da entidade de serviço e a senha como o segredo do cliente para a entidade de serviço. Forneça um nome de usuário no formato <application (client) ID>. Defina a variável SQLCMDPASSWORD para o segredo do cliente. Se estiver usando um certificado em vez de um segredo do cliente, defina AZURE_CLIENT_CERTIFICATE_PATH variável de ambiente como o caminho do arquivo de certificado.

sqlcmd -S testsrv.database.windows.net -d Target_DB_or_DW --authentication-method ActiveDirectoryServicePrincipal -U <Application (client) ID> -P <client secret>

Variáveis de ambiente para autenticação do Microsoft Entra

Algumas configurações de autenticação do Microsoft Entra não têm entradas de linha de comando e algumas variáveis de ambiente são consumidas diretamente pelo pacote de azidentity usado pelo sqlcmd (Go).

Essas variáveis de ambiente podem ser definidas para configurar alguns aspetos da autenticação do Microsoft Entra e ignorar comportamentos padrão. Além das variáveis listadas anteriormente, as seguintes opções são específicas para sqlcmd (Go) e se aplicam a vários métodos.

SQLCMDCLIENTID

Defina essa variável de ambiente como o identificador de um aplicativo registrado no Microsoft Entra, que está autorizado a se autenticar no Banco de Dados SQL do Azure. Aplica-se aos métodos ActiveDirectoryInteractive e ActiveDirectoryPassword.

A opção -G é usada pelo sqlcmd (ODBC) ao se conectar ao Banco de Dados SQL do Azure ou ao Azure Synapse Analytics, para especificar que o usuário seja autenticado usando a autenticação do Microsoft Entra. Esta opção define o sqlcmd variável de script SQLCMDUSEAAD=true.

A opção -G requer pelo menos sqlcmd versão 13.1. A autenticação interativa do Microsoft Entra requer sqlcmd (ODBC) versão 15.0.1000.34 e versões posteriores, bem como ODBC versão 17.2 e versões posteriores.
A autenticação integrada do Microsoft Entra requer o Microsoft ODBC Driver para SQL Server versão 17.6.1 e versões posteriores e um ambiente Kerberos configurado corretamente.
A opção -G só se aplica ao Banco de Dados SQL do Azure e ao Azure Synapse Analytics.
A autenticação interativa do Microsoft Entra não é suportada atualmente no Linux ou macOS.

Para determinar sua versão, execute sqlcmd "-?". Para obter mais informações, consulte Autenticação do Microsoft Entra para Azure SQL. A opção -A não é suportada com a opção -G.

Nome de utilizador e palavra-passe do Microsoft Entra

Quando você quiser usar um nome de usuário e senha do Microsoft Entra, você pode fornecer a opção -G com o nome de usuário e senha, usando as opções -U e -P.

sqlcmd -S testsrv.database.windows.net -d Target_DB_or_DW -U bob@contoso.com -P MyAzureADPassword -G

O parâmetro -G gera a seguinte cadeia de conexão no back-end:

SERVER = Target_DB_or_DW.testsrv.database.windows.net;UID=bob@contoso.com;PWD=MyAzureADPassword;AUTHENTICATION=ActiveDirectoryPassword;

Autenticação integrada do Microsoft Entra

Para autenticação integrada do Microsoft Entra, forneça a opção -G sem um nome de usuário ou senha.

sqlcmd -S Target_DB_or_DW.testsrv.database.windows.net -G

Este comando gera a seguinte cadeia de conexão no back-end:

SERVER = Target_DB_or_DW.testsrv.database.windows.net;Authentication=ActiveDirectoryIntegrated;Trusted_Connection=NO;

Note

A -E opção (Trusted_Connection) não pode ser usada junto com a -G opção.

Autenticação interativa do Microsoft Entra

A autenticação interativa do Microsoft Entra para o Banco de Dados SQL do Azure e o Azure Synapse Analytics permite que você use um método interativo com suporte à autenticação multifator. Para obter mais informações, consulte autenticação interativa do Active Directory.

Para habilitar a autenticação interativa, forneça a opção -G apenas com o nome de usuário (-U), sem uma senha.

O exemplo a seguir exporta dados usando o modo interativo do Microsoft Entra, indicando um nome de usuário onde o usuário representa uma conta do Microsoft Entra. Este é o mesmo exemplo usado na seção anterior, nome de usuário e senha do Microsoft Entra.

O modo interativo requer a introdução manual de uma palavra-passe ou, para contas com autenticação multifator ativada, conclua o método de autenticação MFA configurado.

sqlcmd -S testsrv.database.windows.net -d Target_DB_or_DW -G -U alice@aadtest.onmicrosoft.com

O comando anterior gera a seguinte cadeia de conexão no back-end:

SERVER = Target_DB_or_DW.testsrv.database.windows.net;UID=alice@aadtest.onmicrosoft.com;AUTHENTICATION=ActiveDirectoryInteractive

No caso de um usuário do Microsoft Entra ser um usuário federado de domínio usando uma conta do Windows, o nome de usuário necessário na linha de comando contém sua conta de domínio (por exemplo, joe@contoso.com):

sqlcmd -S testsrv.database.windows.net -d Target_DB_or_DW -G -U joe@contoso.com

Se os usuários convidados existirem em um locatário específico do Microsoft Entra e fizerem parte de um grupo existente no Banco de Dados SQL do Azure que tenha permissões de banco de dados para executar o comando sqlcmd, seu alias de usuário convidado será usado (por exemplo, keith0@adventureworks.com).

Important

Há um problema conhecido ao usar as opções -G e -U com sqlcmd (ODBC), onde colocar a opção -U antes da opção -G pode fazer com que a autenticação falhe. Comece sempre com a opção -G seguida da opção -U.

Comentários

Esta página foi útil?

Last updated on 2025-11-19