Настройка Многофакторной идентификации для SQL Server Management Studio и Azure AD

Область применения: База данных SQL Azure Управляемый экземпляр SQL Azure Azure Synapse Analytics

В этой статье говорится о том, как использовать многофакторную проверку подлинности (MFA) для Azure Active Directory (Azure AD) при работе с SQL Server Management Studio (SSMS). Azure AD MFA можно использовать при подключении SSMS или файла SqlPackage.exe к Базе данных SQL Azure, службе Управляемый экземпляр SQL Azure и Azure Synapse Analytics. Обзор многофакторной проверки подлинности см. в статье Универсальная проверка подлинности для Базы данных SQL, службы "Управляемый экземпляр SQL Azure" и Azure Synapse (поддержка SSMS для MFA).

Важно!

В оставшейся части этой статьи собирательным термином "базы данных" называются базы данных SQL Azure, службы "Управляемый экземпляр SQL Azure" и Azure Synapse, а термином "сервер" — сервер, на котором размещены базы данных SQL Azure и Azure Synapse.

Этапы настройки

  1. Настройка Azure Active Directory. Дополнительные сведения см. в статьях Управление каталогом Azure AD, Интеграция локальных удостоверений с Azure Active Directory и AzureADHelp и записях блога Add your own domain name to Azure AD (Добавление собственного имени домена в Azure AD) и Microsoft Azure now supports federation with Windows Server Active Directory (Microsoft Azure теперь поддерживает федерацию с Windows Server Active Directory).
  2. Настройка MFA. Пошаговые инструкции см. в статьях Что такое многофакторная проверка подлинности Azure AD? и Условный доступ (MFA), База данных SQL Azure и Хранилище данных. (Для полного условного доступа требуется выпуск Azure Active Directory Premium. В выпуске Azure AD Standard доступна ограниченная многофакторная проверка подлинности.)
  3. Настройка проверки подлинности Azure AD. Пошаговые инструкции см. в статье Подключение к Базе данных SQL, Управляемому экземпляру SQL или Azure Synapse с использованием проверки подлинности Azure Active Directory.
  4. Скачивание SSMS. Скачайте последнюю версию SSMS на клиентский компьютер, воспользовавшись страницей Скачивание SQL Server Management Studio (SSMS).

Подключение с помощью универсальной аутентификации и SSMS

Далее указаны шаги, выполняемые для подключения с помощью последней версии SSMS.

Примечание

В декабре 2021 г. выпуски SSMS до версии 18.6 перестанут использовать многофакторную проверку подлинности через Azure Active Directory.

Чтобы и дальше использовать проверку подлинности Azure Active Directory с MFA, установите SSMS 18.6 или более поздней версии.

  1. Чтобы выполнить подключение с использованием универсальной проверки подлинности, выберите в диалоговом окне Соединение с сервером SQL Server Management Studio (SSMS) вариант Active Directory — универсальная с поддержкой MFA. (Если отображается параметр Универсальная проверка подлинности Active Directory, значит, у вас не самая последняя версия SSMS.)

    Снимок экрана с вкладкой

  2. Заполните поле Имя пользователя учетными данными Azure Active Directory в формате user_name@domain.com.

    Снимок экрана с такими параметрами диалогового окна

  3. Если вы подключаетесь от имени гостевого пользователя, больше не нужно заполнять поле "Доменное имя AD или идентификатор клиента" для гостевых пользователей, так как в SSMS версии 18. x или более поздней версии оно распознается автоматически. Дополнительные сведения см. в статье Универсальная проверка подлинности для Базы данных SQL, службы "Управляемый экземпляр SQL Azure" и Azure Synapse (поддержка SSMS для MFA).

    Снимок экрана с вкладкой

    Однако, если подключение выполняется в SSMS версии 17.x или более поздней версии от имени гостевого пользователя, необходимо нажать кнопку Параметры, а в диалоговом окне Свойства подключения заполнить поле Доменное имя AD или идентификатор клиента.

    Снимок экрана с вкладкой

  4. Нажмите кнопку Параметры и укажите базу данных в диалоговом окне Параметры. Если подключенный пользователь является гостевым (то есть, если у него адрес joe@outlook.com), нужно установить флажок и добавить в состав параметров текущее доменное имя AD или идентификатор клиента. См. статью Универсальная проверка подлинности для Базы данных SQL и Azure Synapse Analytics (поддержка SSMS для MFA). Щелкните Подключить.

  5. Когда откроется диалоговое окно Вход в учетную запись , укажите учетную запись и пароль своего удостоверения Azure Active Directory. Пароль не требуется, если пользователь является частью домена в федерации с Azure AD.

    Снимок экрана: диалоговое окно входа в учетную запись для базы данных Azure SQL и Data Warehouse. Учетная запись и пароль заполняются.

    Примечание

    Если для этой учетной записи не требуется MFA, то на этом этапе универсальной аутентификации устанавливается подключение. Пользователям, которым требуется MFA, следует выполнить приведенные ниже действия.

  6. Могут отобразиться два диалоговых окна настройки MFA. Эта одноразовая операция зависит от параметра администратора MFA, то есть может быть необязательной. Для домена с поддержкой MFA этот шаг иногда бывает предварительно определен (например, домен требует от пользователя использовать смарт-карту и ПИН-код).

    Снимок экрана с диалоговым окном

  7. В диалоговом окне второй одноразовой операции можно выбрать параметры метода аутентификации. Возможные параметры настраиваются администратором.

    Снимок экрана с диалоговым окном

  8. Azure Active Directory отправляет вам информациею о подтверждении. Получив код проверки, введите его в поле Введите проверочный код и нажмите кнопку Вход.

    Снимок экрана с диалоговым окном

Обычно по завершении проверки выполняется подключение SSMS при условии, что указаны действительные учетные данные и в брандмауэре разрешен доступ.

Дальнейшие действия