Поделиться через


Руководство по настройке администратора Microsoft Entra для SQL Server с помощью автоматизации

Область применения: SQL Server 2022 (16.x)

Примечание.

Эта функция доступна в SQL Server 2022 (16.x) или более поздних версиях и поддерживается только для локальных версий SQL Server для узлов Windows и Linux и SQL Server 2022 на виртуальных машинах Windows Azure.

В этой статье мы рассмотрим, как настроить администратора Microsoft Entra, чтобы разрешить проверку подлинности с помощью идентификатора Microsoft Entra (ранее Azure Active Directory) для SQL Server с помощью портал Azure и API, таких как:

  • PowerShell
  • Azure CLI
  • Шаблон ARM

Мы также рассмотрим обновленные функции, чтобы настроить администратора Microsoft Entra для SQL Server в портал Azure, что позволит автоматически создавать сертификаты и регистрацию приложений. Ранее настройка проверки подлинности Microsoft Entra для SQL Server требуется ручная настройка администратора Microsoft Entra с помощью сертификата Azure и регистрации приложения.

Примечание.

Хотя идентификатор Microsoft Entra — это новое имя Azure Active Directory (Azure AD), чтобы предотвратить нарушение существующих сред, Azure AD по-прежнему остается в некоторых жестко закодированных элементах, таких как поля пользовательского интерфейса, поставщики подключений, коды ошибок и командлеты. В этой статье два имени являются взаимозаменяемыми.

Необходимые компоненты

  • УСТАНАВЛИВАЕТСЯ SQL Server 2022 (16.x) или более поздней версии.
  • SQL Server подключен к облаку Azure. Дополнительные сведения см. в статье "Подключение SQL Server к Azure Arc".
  • Идентификатор Microsoft Entra настроен для проверки подлинности в том же клиенте, что и экземпляр Azure Arc.
  • Требуется Azure Key Vault.

Подготовка перед настройкой администратора Microsoft Entra

Для настройки администратора Microsoft Entra в SQL Server — ресурсов Azure Arc и хранилища ключей необходимы следующие разрешения.

Настройка разрешений для Azure Arc

Следуйте инструкциям, чтобы убедиться, что SQL Server подключен к Azure Arc. Пользователь, настроив администратора Microsoft Entra для SQL Server — ресурс Azure Arc , должен иметь роль участника для сервера.

  1. Перейдите на портал Azure.
  2. Выберите SQL Server — Azure Arc и выберите экземпляр для узла SQL Server.
  3. Выберите Управление доступом (IAM).
  4. Нажмите кнопку Добавить>назначение ролей, чтобы добавить роль участника в настройку администратора Microsoft Entra.

Настройка разрешений для Azure Key Vault

Создайте Azure Key Vault, если у вас его еще нет. Пользователь, настроив администратор Microsoft Entra, должен иметь роль участника для Azure Key Vault. Чтобы добавить роль пользователю в Azure Key Vault, выполните приведенные действия.

  1. Перейдите на портал Azure.
  2. Перейдите к ресурсу Хранилища ключей.
  3. Выберите элемент управления доступом (IAM).
  4. Нажмите кнопку Добавить>назначение ролей, чтобы добавить роль участника в настройку администратора Microsoft Entra.

Настройка политик доступа для узла SQL Server

  1. В портал Azure перейдите к экземпляру Azure Key Vault и выберите политики доступа.

  2. Выберите Добавить политику доступа.

  3. Для разрешений ключа используйте знак.

  4. Для разрешений "Секрет" выберите " Получить " и "Список".

  5. Для разрешений сертификата выберите "Получить" и "Список".

  6. Выберите Далее.

  7. На главной странице найдите имя экземпляра Azure Arc, который является именем узла узла SQL Server.

    Снимок экрана: ресурс сервера Azure Arc на портале.

  8. Пропустить страницу приложения (необязательно), нажав кнопку "Далее" дважды или выбрав "Просмотр и создание".

    Снимок экрана: портал Azure для просмотра и создания политики доступа.

    Убедитесь, что идентификатор объекта субъекта соответствует идентификатору субъекта управляемого удостоверения, назначенному экземпляру.

    Снимок экрана: элемент управления порталом представления представления JSON определения компьютера.

    Чтобы подтвердить, перейдите на страницу ресурсов и выберите представление JSON в правом верхнем углу поля "Основные сведения" на странице "Обзор". В разделе удостоверений вы найдете субъект-идентификатор.

  9. Нажмите кнопку создания.

Чтобы убедиться, что применены разрешения, необходимо выбрать "Создать ". Чтобы убедиться, что разрешения сохранены, обновите окно браузера и убедитесь, что строка для экземпляра Azure Arc по-прежнему присутствует.

Настройка политик доступа для пользователей Microsoft Entra

  1. В портал Azure перейдите к экземпляру Azure Key Vault и выберите политики доступа.
  2. Выберите Добавить политику доступа.
  3. Для разрешений "Ключи" выберите " Получить", "Список" и "Создать".
  4. Для разрешений "Секрет" выберите " Получить", "Список" и "Задать".
  5. Для разрешений сертификата выберите "Получить", "Список" и "Создать".
  6. Для выбора субъекта добавьте пользователя Microsoft Entra, который вы хотите использовать для подключения к SQL Server.
  7. Нажмите кнопку Добавить, а затем выберите Сохранить.

Настройка администратора Microsoft Entra для SQL Server

Новые api и функции портала позволяют пользователям настраивать администратора Microsoft Entra для SQL Server без необходимости отдельно создавать сертификат Azure и приложение Microsoft Entra. Выберите вкладку, чтобы узнать, как настроить администратора Microsoft Entra для SQL Server, подключенного к Azure Arc, с автоматическим сертификатом и созданием приложений.

Примечание.

Шаблон ARM по-прежнему требует создания сертификата Azure Key Vault и приложения Microsoft Entra перед настройкой администратора Microsoft Entra. Дополнительные сведения об этом процессе см. в руководстве по настройке проверки подлинности Microsoft Entra для SQL Server.

Используйте портал Azure для настройки администратора Microsoft Entra, создайте сертификат Azure Key Vault и приложение Microsoft Entra в том же процессе. Это необходимо для использования проверки подлинности Microsoft Entra с SQL Server.

Примечание.

Ранее перед настройкой администратора Microsoft Entra требуется сертификат Azure Key Vault и регистрация приложения Microsoft Entra. Это больше не требуется, но пользователи по-прежнему могут предоставить свой собственный сертификат и приложение для настройки администратора Microsoft Entra.

Настройка администратора Microsoft Entra с помощью портал Azure

  1. Перейдите к портал Azure и выберите SQL Server — Azure Arc. Выберите экземпляр узла SQL Server.

  2. Проверьте состояние ресурса SQL Server — Azure Arc и убедитесь в том, что он подключен, перейдя в меню Свойства. Дополнительные сведения см. в статье "Проверка ресурсов SQL Server с поддержкой Arc".

  3. Выберите идентификатор Microsoft Entra и Purview в разделе "Параметры " в меню ресурсов.

  4. Выберите " Задать администратора" , чтобы открыть область идентификатора Microsoft Entra, и выберите учетную запись, которая будет добавлена в качестве имени администратора в SQL Server.

  5. Выберите управляемый службой сертификат.

  6. Выберите "Изменить хранилище ключей" и выберите существующий ресурс Хранилища ключей Azure.

  7. Выберите регистрацию приложений, управляемых службой.

  8. Выберите Сохранить. Это отправляет запрос агенту сервера Arc, который настраивает проверку подлинности Microsoft Entra для этого экземпляра SQL Server. Операция может занять несколько минут; Дождитесь подтверждения процесса Saved successfully сохранения перед попыткой входа Microsoft Entra.

    Регистрация приложения, управляемого службой, выполняет следующие действия.

    • Создает сертификат в хранилище ключей с именем в форме <hostname>-<instanceName><uniqueNumber>.
    • Создает приложение Microsoft Entra с таким именем, как <hostname>-<instanceName><uniqueNumber>и назначает необходимые разрешения для этого приложения. Дополнительные сведения см. в разделе "Предоставление разрешений приложения"
    • Назначает новый сертификат в Azure Key Vault приложению.
    • Сохраняет эти параметры в Azure Arc.

    Снимок экрана: настройка проверки подлинности Microsoft Entra с автоматическим созданием сертификатов и приложений в портал Azure.

Примечание.

Сертификаты, созданные для Microsoft Entra, не поворачиваются автоматически. Клиенты могут предоставить собственный сертификат и приложение для настройки администратора Microsoft Entra. Дополнительные сведения см. в руководстве по настройке проверки подлинности Microsoft Entra для SQL Server.

После настройки администратора Microsoft Entra с помощью учетных данных администратора Microsoft Entra можно подключиться к SQL Server. Однако любые дальнейшие действия базы данных, связанные с созданием новых имен входа Microsoft Entra, и пользователи не будут завершать ошибку, пока не будет предоставлено согласие администратора приложению Microsoft Entra.

Примечание.

Чтобы предоставить согласие администратора для приложения, для предоставления согласия учетной записи требуется роль глобального администратора Microsoft Entra ID или администратора привилегированных ролей. Эти роли необходимы для предоставления согласия администратора для приложения, но не требуется настроить администратора Microsoft Entra.

  1. В портал Azure выберите идентификатор Microsoft Entra Регистрация приложений> выберите только что созданное приложение. Приложение должно иметь имя, например <hostname>-<instanceName><uniqueNumber>.

  2. Выберите меню разрешений API.

  3. Выберите Предоставить согласие администратора.

    Снимок экрана: разрешения приложения в портал Azure.

Без предоставления согласия администратора приложению создание имени входа Microsoft Entra или пользователя в SQL Server приведет к следующей ошибке:

Msg 37455, Level 16, State 1, Line 2
Server identity does not have permissions to access MS Graph.

Использование проверки подлинности Microsoft Entra для подключения к SQL Server

Проверка подлинности Microsoft Entra теперь настроена для SQL Server, подключенного к Azure Arc. Следуйте инструкциям в разделах после настройки администратора Microsoft Entra в статье. Руководство. Настройка проверки подлинности Microsoft Entra для SQL Server для подключения к SQL Server с помощью проверки подлинности Microsoft Entra.

См. также