Что такое проверка подлинности Windows для субъектов Azure Active Directory в Управляемом экземпляре SQL Azure?

Управляемый экземпляр SQL Azure представляет собой интеллектуальную масштабируемую облачную службу базы данных, которая сочетает в себе широкую совместимость с ядром СУБД SQL Server и преимущества полностью управляемой и актуальной платформы PaaS. Проверка подлинности Kerberos для Azure Active Directory (Azure AD) позволяет получать доступ к Управляемому экземпляру SQL Azure с помощью проверки подлинности Windows. Проверка подлинности Windows для управляемых экземпляров позволяет клиентам перемещать существующие службы в облако, сохраняя при этом простой пользовательский интерфейс и предоставляя основу для модернизации инфраструктуры.

Основные возможности и сценарии

По мере того как клиенты модернизируют свою инфраструктуру, приложение и уровни данных, они также модернизируют свои возможности по управлению удостоверениями, переходя на Azure AD. Azure SQL предлагает несколько вариантов проверки подлинности Azure AD:

  • "Azure Active Directory — проверка подлинности с паролем": предоставляет проверку подлинности с использованием учетных данных Azure AD;
  • "Azure Active Directory — универсальная проверка подлинности с MFA": добавляет многофакторную проверку подлинности;
  • "Azure Active Directory — интегрированная проверка подлинности": использует поставщики федерации, такие как службы федерации Active Directory (ADFS), чтобы обеспечить единый вход.

Однако для некоторых устаревших приложений изменить проверку подлинности на Azure AD невозможно: устаревший код приложения может быть недоступен, может существовать зависимость от устаревших драйверов, может отсутствовать возможность изменения клиентов и т. д. Проверка подлинности Windows для субъектов Azure AD позволяет исключить этот фактор, препятствующий миграции, и обеспечивает поддержку более широкого спектра клиентских приложений.

Проверка подлинности Windows для субъектов Azure AD на управляемых экземплярах доступна для устройств и виртуальных машин, присоединенных к Active Directory (AD), Azure AD, а также для устройств и виртуальных машин с гибридным присоединением к Azure AD. Гибридный пользователь Azure AD, удостоверение которого существует как в Azure AD, так и в AD, может получить доступ к управляемому экземпляру в Azure с помощью Azure AD Kerberos.

Включение проверки подлинности Windows для управляемого экземпляра не требует от клиентов развертывания новой локальной инфраструктуры или управления накладными расходами на настройку доменных служб.

Проверка подлинности Windows для субъектов Azure AD в Управляемом экземпляре SQL Azure включает два основных сценария: миграция локальных серверов SQL Server в Azure с минимальными изменениями и модернизация инфраструктуры безопасности.

Перенос локальных серверов SQL Server в Azure с минимальными изменениями с использованием подхода lift-and-shift

Включив проверку подлинности Windows для субъектов Azure Active Directory, клиенты могут перейти на Управляемый экземпляр SQL Azure без реализации изменений в стеках проверки подлинности приложений или развертывания доменных служб Azure AD. Клиенты также могут использовать проверку подлинности Windows для доступа к управляемому экземпляру с устройств, присоединенных к AD или Azure AD.

Проверка подлинности Windows для субъектов Azure Active Directory также включает следующие шаблоны для управляемых экземпляров. Эти шаблоны часто используются в традиционных локальных серверах SQL Server:

Модернизация инфраструктуры безопасности

Включение проверки подлинности Windows для субъектов Azure Active Directory в Управляемом экземпляре SQL Azure предоставляет клиентам возможность модернизировать свои методы обеспечения безопасности.

Например, клиент может включить мобильную аналитику, используя проверенные инструменты на основе проверки подлинности Windows для выполнения проверки подлинности в управляемом экземпляре с помощью биометрических учетных данных. Это можно сделать, даже если мобильная аналитика работает на ноутбуке, присоединенном к Azure AD.

Дальнейшие действия

Дополнительные сведения о реализации проверки подлинности Windows для субъектов Azure AD в Управляемом экземпляре SQL Azure см. в следующих разделах: