Проверка подлинности с помощью идентификатора Microsoft Entra в sqlcmd

Применимо к:SQL Server База данных SQL Azure Управляемый экземпляр SQL Azure Azure Synapse Analytics AnalyticsPlatform System (PDW)

sqlcmd поддерживает различные модели проверки подлинности Microsoft Entra в зависимости от установленной версии.

Примечание.

Хотя идентификатор Microsoft Entra — это новое имя Azure Active Directory (Azure AD), чтобы предотвратить нарушение существующих сред, Azure AD по-прежнему остается в некоторых жестко закодированных элементах, таких как поля пользовательского интерфейса, поставщики подключений, коды ошибок и командлеты. В этой статье два имени являются взаимозаменяемыми.

Дополнительные сведения о разнице между версиями sqlcmd см. в служебной программе sqlcmd.

sqlcmd (Go)

sqlcmd (Go) поддерживает больше моделей проверки подлинности Microsoft Entra на основе пакета azidentity. Реализация использует соединитель Microsoft Entra в драйвере go-sqlcmd.

Command line arguments

Чтобы использовать проверку подлинности Microsoft Entra, можно использовать один из двух коммутаторов командной строки.

-G (в основном) совместим с его использованием в sqlcmd (ODBC). Если указано имя пользователя и пароль, он проходит проверку подлинности с помощью проверки подлинности паролей Microsoft Entra. Если указано имя пользователя, он использует интерактивную проверку подлинности Microsoft Entra, которая может отображать веб-браузер. Если имя пользователя или пароль не указан, он использует DefaultAzureCredentialметод, который пытается пройти проверку подлинности с помощью различных механизмов.

Для указания одного из следующих типов проверки подлинности можно использовать --authentication-method=.

ActiveDirectoryDefault

• Общие сведения о типах проверки подлинности, используемых в этом режиме, см. в разделе "Учетные данные Azure по умолчанию".
• Выберите этот метод, если скрипты автоматизации базы данных предназначены для выполнения как в локальных средах разработки, так и в рабочем развертывании в Azure. В среде разработки можно использовать секрет клиента или имя входа Azure CLI. Без изменения скрипта из среды разработки можно использовать управляемое удостоверение или секрет клиента в рабочем развертывании.
• Установка переменных среды и AZURE_CLIENT_ID необходимы для DefaultAzureCredential начала проверка конфигурации среды и поиска одной из следующих дополнительных переменных AZURE_TENANT_ID среды для проверки подлинности:
  • Настройка переменной AZURE_CLIENT_SECRET среды настраивает DefaultAzureCredential выбор ClientSecretCredential.
  • Настройка переменной AZURE_CLIENT_CERTIFICATE_PATH среды настраивает DefaultAzureCredential выбор ClientCertificateCredential , если AZURE_CLIENT_SECRET он не задан.
• Настройка переменной среды AZURE_USERNAME настраивает DefaultAzureCredential выбор, UsernamePasswordCredential если AZURE_CLIENT_SECRET и AZURE_CLIENT_CERTIFICATE_PATH не заданы.

ActiveDirectoryIntegrated

Этот метод в настоящее время не реализуется и возвращается в ActiveDirectoryDefault.

ActiveDirectoryPassword

• Этот метод проходит проверку подлинности с помощью имени пользователя и пароля. Он не работает, если требуется многофакторная проверка подлинности.

• Вы предоставляете имя пользователя и пароль с помощью обычных коммутаторов командной строки или SQLCMD переменных среды.

• Задайте для переменной среды AZURE_TENANT_ID идентификатор клиента сервера, если не используется клиент пользователя по умолчанию.

ActiveDirectoryInteractive

Этот метод запускает веб-браузер для проверки подлинности пользователя.

ActiveDirectoryManagedIdentity

Используйте этот метод при запуске sqlcmd (Go) на виртуальной машине Azure, которая имеет управляемое удостоверение, назначаемое системой или назначаемое пользователем. При использовании управляемого удостоверения, назначаемого пользователем, задайте для имени пользователя идентификатор управляемого удостоверения. Если используется удостоверение, назначаемое системой, оставьте имя пользователя пустым.

ActiveDirectoryServicePrincipal

Этот метод проверяет подлинность указанного имени пользователя в качестве идентификатора субъекта-службы и пароль в качестве секрета клиента для субъекта-службы. Укажите имя пользователя в формате <service principal id>@<tenant id>. Задайте для переменной SQLCMDPASSWORD секрет клиента. При использовании сертификата вместо секрета клиента задайте для переменной среды AZURE_CLIENT_CERTIFICATE_PATH путь к файлу сертификата.

Переменные среды для проверки подлинности Microsoft Entra

Некоторые параметры проверки подлинности Microsoft Entra не имеют входных данных командной строки, а некоторые переменные среды используются непосредственно azidentity пакетом, используемым sqlcmd (Go).

Эти переменные среды можно задать для настройки некоторых аспектов проверки подлинности Microsoft Entra и обхода поведения по умолчанию. Помимо перечисленных ранее переменных, следующие относятся к sqlcmd (Go) и применяются к нескольким методам.

SQLCMDCLIENTID

Задайте для этой переменной среды идентификатор приложения, зарегистрированного в Microsoft Entra, который авторизован для проверки подлинности в База данных SQL Azure. Применяется к методам ActiveDirectoryInteractive и ActiveDirectoryPassword.

sqlcmd (ODBC)

Этот -G параметр используется sqlcmd (ODBC) при подключении к База данных SQL Azure или Azure Synapse Analytics, чтобы указать, что пользователь проходит проверку подлинности с помощью проверки подлинности Microsoft Entra. Этот параметр задает переменную SQLCMDUSEAAD=trueскриптов sqlcmd.

• Для -G этого параметра требуется по крайней мере sqlcmd версии 13.1. Для интерактивной проверки подлинности Microsoft Entra требуется sqlcmd (ODBC) версии 15.0.1000.34 и более поздних версий, а также ODBC версии 17.2 и более поздних версий.

• Для интегрированной проверки подлинности Microsoft Entra требуется Microsoft ODBC Driver 17 для SQL Server версии 17.6.1 и более поздних версий, а также правильно настроенная среда Kerberos.

• Параметр -G применяется только для Базы данных SQL Azure и Azure Synapse Analytics.

• Интерактивная проверка подлинности Microsoft Entra в настоящее время не поддерживается в Linux или macOS.

Чтобы определить версию, выполните sqlcmd "-?". Дополнительные сведения см. в статье Подключение к базе данных SQL или Azure Synapse Analytics с использованием проверки подлинности Azure Active Directory. Параметр -A не поддерживается с параметром -G .

Имя пользователя и пароль Microsoft Entra

Если вы хотите использовать имя пользователя и пароль Microsoft Entra, можно указать -G параметр с именем пользователя и паролем, используя -U параметры и -P параметры.

sqlcmd -S testsrv.database.windows.net -d Target_DB_or_DW -U bob@contoso.com -P MyAzureADPassword -G

Параметр -G создает следующие строка подключения в серверной части:

SERVER = Target_DB_or_DW.testsrv.database.windows.net;UID=bob@contoso.com;PWD=MyAzureADPassword;AUTHENTICATION=ActiveDirectoryPassword;

Встроенная проверка подлинности Microsoft Entra

Для встроенной проверки подлинности Microsoft Entra укажите -G параметр без имени пользователя или пароля.

sqlcmd -S Target_DB_or_DW.testsrv.database.windows.net -G

Эта команда создает следующие строка подключения в серверной части:

SERVER = Target_DB_or_DW.testsrv.database.windows.net;Authentication=ActiveDirectoryIntegrated;Trusted_Connection=NO;

Примечание.

Параметр -E (Trusted_Connection) нельзя использовать вместе с параметром -G .

Интерактивная проверка подлинности Microsoft Entra

Интерактивная проверка подлинности Microsoft Entra для База данных SQL Azure и Azure Synapse Analytics позволяет использовать интерактивный метод, поддерживающий многофакторную проверку подлинности. Дополнительные сведения см. в разделе Интерактивная проверка подлинности Active Directory.

Чтобы включить интерактивную проверку подлинности, укажите -G параметр только с именем пользователя (-U) без пароля.

В следующем примере экспортируются данные с помощью интерактивного режима Microsoft Entra, указывающего имя пользователя, в котором пользователь представляет учетную запись Microsoft Entra. Это тот же пример, используемый в предыдущем разделе, имя пользователя и пароль Microsoft Entra.

В интерактивном режиме требуется вручную ввести пароль или учетные записи с включенной многофакторной проверкой подлинности, выполнить настроенный метод проверки подлинности MFA.

sqlcmd -S testsrv.database.windows.net -d Target_DB_or_DW -G -U alice@aadtest.onmicrosoft.com

Предыдущая команда создает следующую строку подключения в серверной части:

SERVER = Target_DB_or_DW.testsrv.database.windows.net;UID=alice@aadtest.onmicrosoft.com;AUTHENTICATION=ActiveDirectoryInteractive

Если пользователь Microsoft Entra является федеративным пользователем домена с помощью учетной записи Windows, имя пользователя, необходимое в командной строке, содержит свою учетную запись домена (например joe@contoso.com):

sqlcmd -S testsrv.database.windows.net -d Target_DB_or_DW -G -U joe@contoso.com

Если гостевые пользователи существуют в определенном клиенте Microsoft Entra и являются частью группы, которая существует в База данных SQL Azure с разрешениями базы данных для выполнения команды sqlcmd, используется псевдоним гостевого пользователя (например, keith0@adventureworks.com).

Важно!

Существует известная проблема при использовании -G параметра и -U параметра с sqlcmd (ODBC), при котором параметр помещается -U перед -G параметром, что может привести к сбою проверки подлинности. Всегда начинайте с использования параметра -G, за которым следует параметр -U.

Связанный контент

• Служебная программа sqlcmd
• sqlcmd — запуск служебной программы
• sqlcmd — использование служебной программы