Проверка подлинности Azure Active Directory для SQL Server

Область применения: SQL Server 2022 (16.x)

SQL Server 2022 (16.x) предоставляет поддержку проверки подлинности Azure Active Directory (Azure AD) в локальной среде Windows и Linux, а также SQL Server на виртуальных машинах Windows Azure.

Обзор

Теперь вы можете подключиться к SQL Server, используя следующие методы проверки подлинности с помощью удостоверений Azure AD:

  • Пароль Azure Active Directory.
  • Встроенная служба Azure Active Directory.
  • Azure Active Directory — универсальная служба с многофакторной проверкой подлинности
  • Маркер доступа Azure Active Directory

Текущие режимы проверки подлинности, такие как проверка подлинности SQL и проверка подлинности Windows, остаются без изменений.

Azure AD как центральный репозиторий проверки подлинности, который используется Azure, позволяет хранить такие объекты, как пользователи, группы или субъекты-службы в качестве удостоверений. Azure AD также позволяет использовать эти удостоверения для проверки подлинности в разных службах Azure. Azure AD проверка подлинности поддерживается для базы данных Azure SQL, Управляемый экземпляр SQL Azure, SQL Server на виртуальных машинах Windows Azure, Azure Synapse Analytics и SQL Server. Дополнительные сведения см. в разделе Использование проверки подлинности Azure Active Directory, а также в статье Настройка проверки подлинности Azure AD и управлении ею с помощью Azure SQL.

Если ваш экземпляр Windows Server Active Directory входит в федерацию с Azure AD, пользователи могут пройти проверку подлинности с помощью SQL Server, используя учетные данные Windows в качестве имени входа Windows или имени входа Azure AD. Azure AD поддерживает не все функции AD, такие как учетные записи служб или сложная сетевая архитектура леса, поддерживаемая для Windows Server Active Directory.

Подключение SQL Server к Azure с помощью Azure AD

Чтобы SQL Server взаимодействовать с Azure, SQL Server и узел Windows или Linux, на котором он работает, должны быть зарегистрированы в Azure Arc. Для этого необходимо установить агент Azure Arc и расширение Azure для SQL Server. Это упростит взаимодействие SQL Server с Azure.

Инструкции по началу работы см. в разделе Подключение SQL Server к Azure Arc.

Методы проверки подлинности

При подключении к SQL Server с использованием проверки подлинности Azure AD доступны следующие методы проверки подлинности.

Пароль Azure Active Directory.

Позволяет указать имя пользователя и пароль для клиента и драйвера, но эта функция отключена во многих клиентах по соображениям безопасности. По возможности рекомендуется избегать этого, так как для этого требуется отправка паролей по сети. Эти подключения шифруются, но рекомендуется не отправлять их в первую очередь.

Встроенная служба Azure Active Directory.

Когда домен Windows синхронизирован с Azure AD и пользователь выполнил вход в домен Windows, учетные данные пользователя Windows используются для проверки подлинности Azure AD.

Azure Active Directory — универсальная служба с многофакторной проверкой подлинности

Это стандартный интерактивный метод с использованием многофакторной проверки подлинности для учетных записей Azure AD. Это будет эффективно в большинстве сценариев.

Маркер доступа Azure Active Directory

Некоторые клиенты, не использующие графический пользовательский интерфейс, такие как Invoke-sqlcmd, предоставляют маркер доступа. Область действия или аудитория маркера доступа должна быть https://database.windows.net/.

Комментарии

  • Для проверки подлинности Azure AD поддерживается только SQL Server 2022 (16.x) локально с поддерживаемой операционной системой Windows или Linux или SQL Server 2022 на виртуальных машинах Windows Azure.
  • Чтобы подключить SQL Server к Azure Arc, учетной записи Azure AD требуются следующие разрешения:
    • Участник группы Подключение Azure Connected Machine или Участник в группе ресурсов.
    • Участник роли Администратор ресурсов Azure Connected Machine в группе ресурсов.
    • Участник роли Читатель в группе ресурсов.

См. также раздел

Дальнейшие действия