Что такое проверка подлинности Windows для субъектов Microsoft Entra в Управляемом экземпляре SQL Azure?
Область применения: Управляемый экземпляр SQL Azure
Управляемый экземпляр SQL Azure представляет собой интеллектуальную масштабируемую облачную службу базы данных, которая сочетает в себе широкую совместимость с ядром СУБД SQL Server и преимущества полностью управляемой и актуальной платформы PaaS. Проверка подлинности Kerberos для идентификатора Microsoft Entra (ранее Azure Active Directory) обеспечивает доступ к Управляемый экземпляр SQL Azure проверки подлинности Windows. Проверка подлинности Windows для управляемых экземпляров позволяет клиентам перемещать существующие службы в облако, сохраняя при этом простой пользовательский интерфейс и предоставляя основу для модернизации инфраструктуры.
Примечание.
Идентификатор Microsoft Entra ранее был известен как Azure Active Directory (Azure AD).
Основные возможности и сценарии
При модернизации инфраструктуры, приложений и уровней данных клиенты также модернизируют свои возможности управления удостоверениями, переключив их на идентификатор Microsoft Entra. Azure SQL предлагает несколько вариантов проверки подлинности Microsoft Entra:
- Пароль обеспечивает проверку подлинности с помощью учетных данных Microsoft Entra
- Универсальная с MFA добавляет многофакторную проверку подлинности
- Интегрированные поставщики федерации, такие как службы федерации Active Directory (AD FS) (ADFS), позволяют включить единый вход (SSO)
- Субъект-служба включает проверку подлинности из приложений Azure
- Управляемое удостоверение включает проверку подлинности из приложений, назначенных удостоверениям Microsoft Entra
Однако некоторые устаревшие приложения не могут изменить проверку подлинности на идентификатор Microsoft Entra ID: устаревший код приложения может быть доступен дольше, может быть зависимость от устаревших драйверов, клиенты могут не быть изменены и т. д. Проверка подлинности Windows для субъектов Microsoft Entra удаляет этот блокировщик миграции и обеспечивает поддержку более широкого спектра клиентских приложений.
Проверка подлинности Windows для субъектов Microsoft Entra в управляемых экземплярах доступна для устройств или виртуальных машин, присоединенных к Active Directory, идентификатору Microsoft Entra ID или гибридному идентификатору Microsoft Entra. Гибридное удостоверение пользователя Microsoft Entra существует как в Microsoft Entra ID, так и в Active Directory и может получить доступ к управляемому экземпляру в Azure с помощью Microsoft Entra Kerberos.
Включение проверки подлинности Windows для управляемого экземпляра не требует от клиентов развертывания новой локальной инфраструктуры или управления накладными расходами на настройку доменных служб.
Проверка подлинности Windows для субъектов Microsoft Entra в Управляемый экземпляр SQL Azure включает два ключевых сценария: перенос локальных серверов SQL Server в Azure с минимальными изменениями и модернизацией инфраструктуры безопасности.
Перенос локальных серверов SQL Server в Azure с минимальными изменениями с использованием подхода lift-and-shift
Включив проверку подлинности Windows для субъектов Microsoft Entra, клиенты могут выполнить миграцию в Управляемый экземпляр SQL Azure без внедрения изменений в стеки проверки подлинности приложений или развертывания доменных служб Microsoft Entra. Клиенты также могут использовать проверку подлинности Windows для доступа к управляемому экземпляру с устройств, присоединенных к Active Directory или Microsoft Entra.
Проверка подлинности Windows для субъектов Microsoft Entra также включает следующие шаблоны в управляемых экземплярах. Эти шаблоны часто используются в традиционных локальных серверах SQL Server:
- Проверка подлинности с двойным прыжком. Веб-приложения используют олицетворение удостоверений IIS для выполнения запросов к экземпляру в контексте безопасности конечного пользователя.
- Трассировка с использованием расширенных событий и SQL Server Profiler может быть запущена с помощью проверки подлинности Windows, обеспечивая удобство для администраторов баз данных и разработчиков, которые привыкли к этому рабочему процессу. Узнайте, как выполнить трассировку для Управляемый экземпляр SQL Azure с помощью проверки подлинности Windows для субъектов Microsoft Entra.
Модернизация инфраструктуры безопасности
Включение проверки подлинности Windows для субъектов Microsoft Entra на Управляемый экземпляр SQL Azure позволяет клиентам модернизировать свои методики безопасности.
Например, клиент может включить мобильную аналитику, используя проверенные инструменты на основе проверки подлинности Windows для выполнения проверки подлинности в управляемом экземпляре с помощью биометрических учетных данных. Это можно сделать, даже если мобильный аналитик работает с ноутбука, присоединенного к идентификатору Microsoft Entra.
Следующие шаги
Дополнительные сведения о реализации проверки подлинности Windows для субъектов Microsoft Entra в Управляемый экземпляр SQL Azure: