Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Tip
Microsoft Fabric Data Warehouse — это реляционное хранилище корпоративного масштаба на основе озера данных, с архитектурой, готовой к будущему, встроенной ИИ и новыми функциями. Если вы не знакомы с хранилищем данных, начните с Fabric Data Warehouse. Существующие рабочие нагрузки выделенного пула SQL могут обновляться до Fabric для доступа к новым возможностям в области науки о данных, аналитики в реальном времени и отчетности.
Synapse SQL поддерживает подключения из SQL Server Management Studio (SSMS) при использовании универсальной проверки подлинности Active Directory.
В этой статье обсуждаются отличия между различными вариантами проверки подлинности, а также ограничения, связанные с использованием универсальной проверки подлинности.
Скачивание последней версии SSMS. Скачайте последнюю версию SSMS на клиентский компьютер, воспользовавшись страницей Скачивание SQL Server Management Studio (SSMS).
Для всех функций, описанных в этой статье, используйте по крайней мере версию 17.2 за июль 2017 года. Диалоговое окно "Последнее подключение" должно выглядеть следующим образом:
Пять параметров аутентификации
Универсальная аутентификация Active Directory поддерживает два неинтерактивных метода аутентификации: Active Directory - Password и Active Directory - Integrated.
Кроме того, существуют две неинтерактивные модели проверки подлинности, которые можно использовать во многих разных приложениях (ADO.NET, JDBC, ODC и т. д.). При использовании этих двух методов никогда не отображаются всплывающие диалоговые окна:
Active Directory - PasswordActive Directory - Integrated
Интерактивный метод, который также поддерживает многофакторную аутентификацию (MFA) Microsoft Entra, заключается в следующем:
Active Directory - Universal with MFA
Многофакторная проверка подлинности Microsoft Entra помогает защитить доступ к данным и приложениям во время выполнения требований пользователей к простому процессу входа. Она обеспечивает надежную аутентификацию с использованием ряда простых вариантов подтверждения: телефонного звонка, текстового сообщения, смарт-карты с ПИН-кодом или уведомления в мобильном приложении. Пользователи сами выбирают предпочтительный способ подтверждения. Интерактивная многофакторная проверка подлинности в Microsoft Entra ID может вызывать всплывающее диалоговое окно для подтверждения.
Описание многофакторной проверки подлинности см. в разделе "Многофакторная проверка подлинности".
Параметр доменного имени или идентификатора клиента Microsoft Entra
Начиная с SSMS версии 17 пользователи, импортированные в текущий Active Directory из других каталогов Azure Active Directory в качестве гостевых пользователей, могут предоставить доменное имя Microsoft Entra или идентификатор клиента при подключении.
К гостевым пользователям относятся пользователи, приглашенные из других каталогов Azure AD, учетные записи Майкрософт, такие как outlook.com, hotmail.com и live.com, или другие учетные записи, например, gmail.com. Эта информация позволяет универсальному Active Directory с многофакторной аутентификацией (MFA) определить правильный аутентифицирующий орган. Этот параметр также является обязательным для поддержки учетных записей Майкрософт (MSA), таких как outlook.com, hotmail.com или live.com, и сторонних учетных записей.
Все эти пользователи, которые хотят пройти проверку подлинности с помощью универсальной проверки подлинности, должны ввести доменное имя или идентификатор клиента Microsoft Entra. Этот параметр указывает текущее доменное имя или идентификатор клиента Microsoft Entra, с которым связан сервер Azure.
Например, если сервер Azure связан с доменом contosotest.onmicrosoft.com Microsoft Entra, где пользователь joe@contosodev.onmicrosoft.com размещается в качестве импортированного пользователя из домена contosodev.onmicrosoft.comMicrosoft Entra, доменное имя, необходимое для проверки подлинности этого пользователя contosotest.onmicrosoft.com.
Если пользователь является собственным пользователем идентификатора Microsoft Entra, связанного с Azure Server, и не является учетной записью MSA, имя домена или идентификатор клиента не требуется.
Чтобы ввести параметр (начиная с SSMS версии 17.2), заполните поля в диалоговом окне Подключение к базе данных, выбрав аутентификацию Active Directory — универсальная с поддержкой MFA, нажмите кнопку Параметры, введите данные в поле Имя пользователя, а затем щелкните вкладку Свойства подключения.
Установите флажок Доменное имя AD или идентификатор арендатора и укажите уполномоченный орган аутентификации, например, доменное имя (contosotest.onmicrosoft.com) или GUID идентификатора арендатора.
Если вы используете SSMS 18.x или более поздней версии, для гостевых пользователей больше не требуется имя домена AD или идентификатор арендатора, поскольку версия 18.x или более поздние распознают их автоматически.
Microsoft Entra поддержка между бизнесами
Microsoft Entra пользователи, поддерживаемые для сценариев Microsoft Entra B2B в качестве гостевых пользователей (см. Что такое совместная работа Azure B2B) могут подключаться к Synapse SQL только как члены группы, созданной в текущем Microsoft Entra ID и сопоставленной вручную с помощью инструкции Transact-SQL CREATE USER в данной базе данных.
Например, если steve@gmail.com приглашён в Azure AD contosotest (в домене Microsoft Entra contosotest.onmicrosoft.com), необходимо создать группу Microsoft Entra, такую как usergroup, в Microsoft Entra ID, содержащую участника steve@gmail.com. Затем эту группу необходимо создать для определенной базы данных (то есть MyDatabase) администратором Microsoft Entra SQL или Microsoft Entra DBO, выполнив инструкцию Transact-SQL CREATE USER [usergroup] FROM EXTERNAL PROVIDER .
После создания пользователя базы данных пользователь steve@gmail.com сможет войти в MyDatabase с помощью параметра аутентификации SSMS Active Directory – Universal with MFA support.
Группа пользователей по умолчанию имеет только разрешение на подключение, и дополнительные возможности доступа к данным потребуется предоставить обычным способом.
Пользователь steve@gmail.com как гость должен установить флажок и добавить доменное имя AD contosotest.onmicrosoft.com в диалоговом окне SSMS Свойства подключения. Параметр доменного имени или идентификатора арендатора AD поддерживается только для универсальных параметров подключения с MFA, в противном случае он неактивен.
Ограничения универсальной проверки подлинности для Synapse SQL
- SSMS и SqlPackage.exe — единственные инструменты, в настоящее время поддерживающее MFA с помощью универсальной аутентификации Active Directory.
- SSMS версии 17.2 поддерживает одновременный доступ нескольких пользователей с помощью универсальной аутентификации с MFA. Версия 17.0 и 17.1 ограничивает возможность входа в экземпляр SSMS с помощью универсальной аутентификации на одну учетную запись Microsoft Entra. Чтобы войти под другой учетной записью Microsoft Entra, необходимо использовать другой экземпляр SSMS. (Это ограничение относится только к универсальной аутентификации Active Directory. Вы можете войти на разные серверы, используя проверку пароля Active Directory, встроенную аутентификацию Active Directory или аутентификацию SQL Server).
- SSMS поддерживает универсальную аутентификацию Active Directory для отображения обозревателя объектов, редактора запросов и хранилища запросов.
- SSMS версии 17.2 поддерживает мастер DacFx для экспорта, извлечения и развертывания данных базы данных. После того, как пользователь пройдет универсальную аутентификацию в диалоговом окне начальной аутентификации, мастер DacFx функционирует так же, как и для всех других методов аутентификации.
- Конструктор таблиц SSMS не поддерживает универсальную аутентификацию.
- Для универсальной аутентификации Active Directory не требуется дополнительное программное обеспечение, за исключением того, что необходимо использовать поддерживаемую версию SSMS.
- Версия библиотеки аутентификации Active Directory (ADAL) для универсальной аутентификации была обновлена до последней выпущенной версии ADAL.dll — 3.13.9. Ознакомьтесь с библиотекой аутентификации Active Directory версии 3.14.1.
Следующие шаги
Дополнительные сведения см. в статье Подключение к Synapse SQL с помощью SQL Server Management Studio.