Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Synapse SQL поддерживает подключения из SQL Server Management Studio (SSMS) при использовании универсальной проверки подлинности Active Directory.
В этой статье обсуждаются отличия между различными вариантами проверки подлинности, а также ограничения, связанные с использованием универсальной проверки подлинности.
Скачивание последней версии SSMS. Скачайте последнюю версию SSMS на клиентский компьютер, воспользовавшись страницей Скачивание SQL Server Management Studio (SSMS).
Для всех функций, описанных в этой статье, используйте по крайней мере версию 17.2 за июль 2017 года. Диалоговое окно "Последнее подключение" должно выглядеть следующим образом:
Пять параметров аутентификации
Универсальная аутентификация Active Directory поддерживает два неинтерактивных метода аутентификации: Active Directory - Password и Active Directory - Integrated.
Кроме того, существуют две неинтерактивные модели проверки подлинности, которые можно использовать во многих разных приложениях (ADO.NET, JDBC, ODC и т. д.). При использовании этих двух методов никогда не отображаются всплывающие диалоговые окна:
Active Directory - PasswordActive Directory - Integrated
Интерактивный метод, который также поддерживает многофакторную аутентификацию (MFA) Microsoft Entra, заключается в следующем:
Active Directory - Universal with MFA
Многофакторная проверка подлинности Microsoft Entra помогает защитить доступ к данным и приложениям во время выполнения требований пользователей к простому процессу входа. Она обеспечивает надежную аутентификацию с использованием ряда простых вариантов подтверждения: телефонного звонка, текстового сообщения, смарт-карты с ПИН-кодом или уведомления в мобильном приложении. Пользователи сами выбирают предпочтительный способ подтверждения. Интерактивная многофакторная проверка подлинности в Microsoft Entra ID может вызывать всплывающее диалоговое окно для подтверждения.
Описание многофакторной проверки подлинности см. в разделе "Многофакторная проверка подлинности".
Параметр доменного имени или идентификатора клиента Microsoft Entra
Начиная с SSMS версии 17 пользователи, импортированные в текущий Active Directory из других каталогов Azure Active Directory в качестве гостевых пользователей, могут предоставить доменное имя Microsoft Entra или идентификатор клиента при подключении.
К гостевым пользователям относятся пользователи, приглашенные из других каталогов Azure AD, учетные записи Майкрософт, такие как outlook.com, hotmail.com и live.com, или другие учетные записи, например, gmail.com. Эта информация позволяет универсальному Active Directory с многофакторной аутентификацией (MFA) определить правильный аутентифицирующий орган. Этот параметр также является обязательным для поддержки учетных записей Майкрософт (MSA), таких как outlook.com, hotmail.com или live.com, и сторонних учетных записей.
Все эти пользователи, которые хотят пройти проверку подлинности с помощью универсальной проверки подлинности, должны ввести доменное имя или идентификатор клиента Microsoft Entra. Этот параметр указывает текущее доменное имя или идентификатор клиента Microsoft Entra, с которым связан сервер Azure.
Например, если сервер Azure связан с доменом contosotest.onmicrosoft.com Microsoft Entra, где пользователь joe@contosodev.onmicrosoft.com размещается в качестве импортированного пользователя из домена contosodev.onmicrosoft.comMicrosoft Entra, доменное имя, необходимое для проверки подлинности этого пользователя contosotest.onmicrosoft.com.
Если пользователь является собственным пользователем идентификатора Microsoft Entra, связанного с Azure Server, и не является учетной записью MSA, имя домена или идентификатор клиента не требуется.
Чтобы ввести параметр (начиная с SSMS версии 17.2), заполните поля в диалоговом окне Подключение к базе данных, выбрав аутентификацию Active Directory — универсальная с поддержкой MFA, нажмите кнопку Параметры, введите данные в поле Имя пользователя, а затем щелкните вкладку Свойства подключения.
Установите флажок Доменное имя AD или идентификатор арендатора и укажите уполномоченный орган аутентификации, например, доменное имя (contosotest.onmicrosoft.com) или GUID идентификатора арендатора.
Если вы используете SSMS 18.x или более поздней версии, для гостевых пользователей больше не требуется имя домена AD или идентификатор арендатора, поскольку версия 18.x или более поздние распознают их автоматически.
Microsoft Entra business to business support
Microsoft Entra users supported for Microsoft Entra B2B scenarios as guest users (see What is Azure B2B collaboration can connect to Synapse SQL only as part of members of a group created in current Microsoft Entra ID and mapped manually using the Transact-SQL CREATE USER statement in a given database.
For example, if steve@gmail.com is invited to Azure AD contosotest (with the Microsoft Entra domain contosotest.onmicrosoft.com), a Microsoft Entra group, such as usergroup must be created in the Microsoft Entra ID that contains the steve@gmail.com member. Затем эту группу необходимо создать для определенной базы данных (то есть MyDatabase) администратором Microsoft Entra SQL или Microsoft Entra DBO, выполнив инструкцию Transact-SQL CREATE USER [usergroup] FROM EXTERNAL PROVIDER .
После создания пользователя базы данных пользователь steve@gmail.com сможет войти в MyDatabase с помощью параметра аутентификации SSMS Active Directory – Universal with MFA support.
Группа пользователей по умолчанию имеет только разрешение на подключение, и дополнительные возможности доступа к данным потребуется предоставить обычным способом.
Пользователь steve@gmail.com как гость должен установить флажок и добавить доменное имя AD contosotest.onmicrosoft.com в диалоговом окне SSMS Свойства подключения. The AD domain name or tenant ID option is only supported for the Universal with MFA connection options, otherwise it is greyed out.
Ограничения универсальной проверки подлинности для Synapse SQL
- SSMS и SqlPackage.exe — единственные инструменты, в настоящее время поддерживающее MFA с помощью универсальной аутентификации Active Directory.
- SSMS версии 17.2 поддерживает одновременный доступ нескольких пользователей с помощью универсальной аутентификации с MFA. Version 17.0 and 17.1, restricted a login for an instance of SSMS using Universal Authentication to a single Microsoft Entra account. To log in as another Microsoft Entra account, you must use another instance of SSMS. (Это ограничение относится только к универсальной аутентификации Active Directory. Вы можете войти на разные серверы, используя проверку пароля Active Directory, встроенную аутентификацию Active Directory или аутентификацию SQL Server).
- SSMS поддерживает универсальную аутентификацию Active Directory для отображения обозревателя объектов, редактора запросов и хранилища запросов.
- SSMS версии 17.2 поддерживает мастер DacFx для экспорта, извлечения и развертывания данных базы данных. После того, как пользователь пройдет универсальную аутентификацию в диалоговом окне начальной аутентификации, мастер DacFx функционирует так же, как и для всех других методов аутентификации.
- Конструктор таблиц SSMS не поддерживает универсальную аутентификацию.
- Для универсальной аутентификации Active Directory не требуется дополнительное программное обеспечение, за исключением того, что необходимо использовать поддерживаемую версию SSMS.
- Версия библиотеки аутентификации Active Directory (ADAL) для универсальной аутентификации была обновлена до последней выпущенной версии ADAL.dll — 3.13.9. Ознакомьтесь с библиотекой аутентификации Active Directory версии 3.14.1.
Следующие шаги
Дополнительные сведения см. в статье Подключение к Synapse SQL с помощью SQL Server Management Studio.