Реализация проверки подлинности Windows для Управляемый экземпляр SQL Azure с помощью Azure Active Directory и Kerberos

Проверка подлинности Windows для субъектов Azure AD в Управляемом экземпляре SQL Azure позволяет клиентам перемещать существующие службы в облако, сохраняя при этом простой пользовательский интерфейс и предоставляя основу для модернизации инфраструктуры. Чтобы включить проверку подлинности Windows для субъектов Azure Active Directory (Azure AD), необходимо превратить клиент Azure AD в независимую область Kerberos и создать входящее доверие в домене клиента.

Эта конфигурация позволяет пользователям в домене клиента получать доступ к ресурсам в клиенте Azure AD. Она не позволит пользователям в клиенте Azure AD получить доступ к ресурсам в домене клиента.

На следующей схеме представлен обзор реализации проверки подлинности Windows для управляемого экземпляра с помощью Azure AD и Kerberos:

Обзор проверки подлинности: клиент отправляет зашифрованный билет Kerberos в рамках запроса проверки подлинности в управляемый экземпляр. Управляемый экземпляр отправляет зашифрованный билет Kerberos в Azure AD, который обменивается им на маркер Azure AD, возвращенный управляемым экземпляром. Управляемый экземпляр использует этот маркер для проверки подлинности пользователя.

Принципы работы аутентификации Kerberos в Azure AD

Чтобы создать независимую область Kerberos для клиента Azure AD, клиенты устанавливают модуль PowerShell для управления гибридной проверкой подлинности Azure AD на любом сервере Windows и запускают командлет для создания объекта Azure AD Kerberos в своем облаке и в Active Directory. Доверие, созданное таким образом, позволяет существующим клиентам Windows обращаться к Azure AD с помощью Kerberos.

Облегченные клиенты с Windows 10 21H1 и более поздней версии поддерживают интерактивный режим, и для них не требуется настраивать интерактивные потоки входа. Клиенты, работающие под управлением предыдущих версий Windows, могут быть настроены на использование прокси-серверов Центра распространения ключей (KDC) Kerberos, чтобы использовать проверку подлинности Kerberos.

Проверка подлинности Kerberos в Azure AD обеспечивает следующие результаты:

  • Перенос традиционных локальных приложений в облако без изменения их базовой схемы аутентификации.

  • Приложения, работающие на облегченных клиентах, выполняют непосредственную проверку подлинности в Azure AD.

Работа Управляемого экземпляра SQL Azure с Azure AD и Kerberos

Клиенты используют портал Azure, чтобы включить назначаемый системой субъект-службу на каждом управляемом экземпляре. Субъект-служба позволяет пользователям управляемого экземпляра проходить проверку подлинности с помощью протокола Kerberos.

Дальнейшие действия

Дополнительные сведения о включении проверки подлинности Windows для субъектов Azure AD в Управляемом экземпляре SQL Azure см. в следующих разделах: