Använda Multi-Factor AAD-autentisering med Synapse SQL (SSMS-stöd för MFA)

Synapse SQL stöder anslutningar från SQL Server Management Studio (SSMS) med hjälp av Active Directory Universal Authentication.

Den här artikeln beskriver skillnaderna mellan de olika autentiseringsalternativen och de begränsningar som är associerade med att använda universell autentisering.

Ladda ned den senaste SSMS - På klientdatorn laddar du ned den senaste versionen av SSMS från Download SQL Server Management Studio (SSMS).

Använd åtminstone juli 2017 version 17.2 för alla funktioner som beskrivs i den här artikeln. Den senaste anslutningsdialogrutan bör se ut ungefär så här:

Skärmbild som visar dialogrutan Anslut till server där du kan välja ett alternativ för servernamn och autentisering.

De fem autentiseringsalternativen

Active Directory Universal Authentication stöder de två icke-interaktiva autentiseringsmetoderna: - Active Directory - Password autentisering – Active Directory - Integrated autentisering

Det finns också två icke-interaktiva autentiseringsmodeller som kan användas i många olika program (ADO.NET, JDCB, ODC osv.). Dessa två metoder resulterar aldrig i popup-dialogrutor:

  • Active Directory - Password
  • Active Directory - Integrated

Den interaktiva metoden är som också stöder Azure AD Multi-Factor Authentication (MFA) är:

  • Active Directory - Universal with MFA

Azure AD MFA bidrar till att skydda åtkomsten till data och program och tillgodoser samtidigt användarens önskemål om en enkel inloggningsprocess. Det ger stark autentisering med en rad enkla verifieringsalternativ (telefonsamtal, sms, smartkort med pin-kod eller mobilappsavisering), så att användarna kan välja vilken metod de föredrar. Interaktiv MFA med Azure AD kan resultera i en popup-dialogruta för validering.

En beskrivning av Multi-Factor Authentication finns i Multi-Factor Authentication.

Azure AD domännamn eller parameter för klientorganisations-ID

Från och med SSMS version 17 kan användare som importeras till den aktuella Active Directory från andra Azure Active Directories som gästanvändare ange Azure AD domännamn eller klientorganisations-ID när de ansluter.

Gästanvändare inkluderar användare som bjudits in från andra Azure-AD:ar, Microsoft konton som outlook.com, hotmail.com, live.com eller andra konton som gmail.com. Med den här informationen kan Active Directory Universal med MFA-autentisering identifiera rätt autentiserande utfärdare. Det här alternativet krävs också för att stödja Microsoft-konton (MSA) som outlook.com, hotmail.com, live.com eller icke-MSA-konton.

Alla dessa användare som vill autentiseras med universell autentisering måste ange sitt Azure AD domännamn eller klientorganisations-ID. Den här parametern representerar den aktuella Azure AD domännamn/klientorganisations-ID som Azure Server är länkad till.

Om Azure Server till exempel är associerat med Azure AD domän contosotest.onmicrosoft.com där användaren joe@contosodev.onmicrosoft.com finns som importerad användare från Azure AD domän contosodev.onmicrosoft.comär contosotest.onmicrosoft.comdet domännamn som krävs för att autentisera den här användaren .

När användaren är en intern användare av Azure AD som är länkad till Azure Server och inte är ett MSA-konto krävs inget domännamn eller klient-ID.

Om du vill ange parametern (från och med SSMS version 17.2) i dialogrutan Anslut till databas slutför du dialogrutan, väljer Active Directory – Universal med MFA-autentisering , väljer Alternativ, slutför rutan Användarnamn och väljer sedan fliken Anslutningsegenskaper .

Markera rutan AD-domännamn eller klient-ID och ange autentiserande utfärdare, till exempel domännamnet (contosotest.onmicrosoft.com) eller GUID för klientorganisations-ID:t.

Skärmbild som visar Anslut till server på fliken Anslutningsegenskaper med angivna värden.

Om du kör SSMS 18.x eller senare behövs inte längre AD-domännamnet eller klientorganisations-ID:t för gästanvändare eftersom 18.x eller senare automatiskt känner igen det.

mfa-tenant-ssms

Azure AD support för företag till företag

Azure AD användare som stöds för Azure AD B2B-scenarier som gästanvändare (se Vad är Azure B2B-samarbete kan endast ansluta till Synapse SQL som en del av medlemmar i en grupp som skapats i aktuell Azure AD och mappats manuellt med transact-SQL-instruktionen CREATE USER i en viss databas.

Om steve@gmail.com du till exempel uppmanas att Azure AD contosotest (med Azure Ad-domänen contosotest.onmicrosoft.com), en Azure AD grupp, till exempel usergroup måste skapas i Azure AD som innehåller steve@gmail.com medlemmen. Sedan måste den här gruppen skapas för en specifik databas (det vill säga MyDatabase) av Azure AD SQL-administratör eller Azure AD DBO genom att köra en Transact-SQL-instruktionCREATE USER [usergroup] FROM EXTERNAL PROVIDER.

När databasanvändaren har skapats kan användaren steve@gmail.com logga in MyDatabase med autentiseringsalternativet Active Directory – Universal with MFA supportSSMS .

Usergroup har som standard endast anslutningsbehörigheten och eventuell ytterligare dataåtkomst som måste beviljas på normalt sätt.

Som gästanvändare steve@gmail.com måste du markera kryssrutan och lägga till AD-domännamnet contosotest.onmicrosoft.com i dialogrutan SSMS-anslutningsegenskap. Alternativet AD-domännamn eller klient-ID stöds bara för anslutningsalternativen Universal med MFA, annars är det nedtonat.

Begränsningar för universell autentisering för Synapse SQL

  • SSMS och SqlPackage.exe är de enda verktyg som för närvarande är aktiverade för MFA via Active Directory Universal Authentication.
  • SSMS version 17.2 stöder samtidig åtkomst för flera användare med hjälp av universell autentisering med MFA. Version 17.0 och 17.1 begränsade en inloggning för en instans av SSMS med universell autentisering till ett enda Azure Active Directory-konto. Om du vill logga in som ett annat Azure AD konto måste du använda en annan instans av SSMS. (Den här begränsningen är begränsad till Active Directory Universal Authentication. Du kan logga in på olika servrar med active directory-lösenordsautentisering, active directory-integrerad autentisering eller SQL Server autentisering).
  • SSMS stöder Active Directory Universal Authentication för オブジェクト エクスプローラー, Editor Power Query och 查询存储 visualisering.
  • SSMS version 17.2 har stöd för DacFx-guiden för databas för export/extrahera/distribuera data. När en specifik användare autentiseras via den inledande autentiseringsdialogrutan med universell autentisering fungerar DacFx-guiden på samma sätt som för alla andra autentiseringsmetoder.
  • SSMS-tabelldesignern stöder inte universell autentisering.
  • Det finns inga ytterligare programvarukrav för Active Directory Universal Authentication förutom att du måste använda en version av SSMS som stöds.
  • ADAL-versionen (Active Directory Authentication Library) för universell autentisering uppdaterades till den senaste versionen ADAL.dll 3.13.9. Se Active Directory Authentication Library 3.14.1.

Nästa steg

Mer information finns i artikeln Anslut till Synapse SQL med SQL Server Management Studio.