Skydda med Microsoft Entra-autentisering

Slutförd

Att hantera databassäkerhet kan bli komplext när databasmiljöns storlek och komplexitet växer, vilket gör det svårt att upprätthålla en konsekvent säkerhetsstatus i alla databaser och system.

Microsoft Entra ID tillhandahåller en molnbaserad centraliserad autentiseringsutfärdare som använder avancerade autentiseringsmetoder. SQL Server 2022 har infört stöd för inloggningar och användare som baseras på Microsoft Entra-konton.

Arkitektur

Nu ska vi gå igenom hur Microsoft Entra-autentisering fungerar för SQL Server 2022:

Diagram how Microsoft Entra ID works for SQL Server.

  1. Azure-tillägget för SQL Server hämtar data från Microsoft Entra-ID och lagrar dem i Windows-registret.
  2. Användaren loggar in på SQL Server 2022 med hjälp av Microsoft Entra-ID.
  3. SQL Server söker i registret efter metadata som innehåller nödvändig information för att ansluta till Microsoft Entra-ID och upprätta en anslutning.

Precis som Azure SQL Managed Instance och Azure SQL Database stöder SQL Server 2022 en ny syntax för CREATE LOGIN och CREATE USER för att stödja EXTERNAL PROVIDER. Använd T-SQL-instruktionen CREATE USER med ett Microsoft Entra-konto för att tillhandahålla autentisering till användare i en databas utan att behöva logga in.

Som vi ser använder SQL Server 2022 Microsoft Entra-ID för att tillhandahålla säker och förenklad åtkomsthantering för användare.

Information om vilka Microsoft Entra-autentiseringsmetoder som är tillgängliga på SQL Server 2022 finns i Microsoft Entra-autentisering för SQL Server

Övning: Konfigurera Microsoft Entra-autentisering för SQL Server 2022

Om du vill köra den här övningen måste du uppfylla dessa krav innan du börjar:

  • SQL Server 2022 (16.x) eller senare installeras.
  • SQL Server är ansluten till Azure.
  • Azure Key Vault. Användaren som konfigurerar Microsoft Entra-administratören bör ha rollen Deltagare i Azure Key Vault.
  • SQL Server – Azure Arc-resursen bör ha rollen Deltagare för servern.

Konfigurera Microsoft Entra-administratör för SQL Server med hjälp av Azure-portalen

  1. Gå till SQL Server – Azure Arc på Azure-portalen och välj instansen för SQL Server-värden. Kontrollera att den är ansluten genom att gå till menyn Egenskaper .

  2. Välj Microsoft Entra-ID i den vänstra kolumnen och välj sedan Ange administratör. Välj ett konto som ska läggas till som administratör för SQL Server.

  3. Välj Tjänsthanterat certifikat och välj sedan Ändra nyckelvalv och välj din befintliga Azure Key Vault-resurs.

  4. Välj Tjänsthanterad appregistrering och sedan Spara.

    Kommentar

    Vänta tills processen har slutförts innan du fortsätter till nästa steg.

Bevilja behörighet till Microsoft Entra-programmet

  1. Gå till Microsoft Entra-ID på Azure-portalen.

  2. Välj Appregistreringar.

    Screenshot showing App registrations menu in the Azure portal.

  3. Välj det nyligen skapade programmet. Programmet ska ha ett namn i formatet <hostname>-<instanceName><uniqueNumber>.

  4. Välj menyn API-behörigheter och välj sedan Bevilja administratörsmedgivande.

Anslut till SQL Server med Microsoft Entra-autentisering

Nu kan du ansluta till SQL Server med Microsoft Entra-autentisering:

Screenshot showing SQL Server Management Studio with authentication dialog.

Som vi har sett tillhandahåller SQL Server 2022 förenklad åtkomsthantering för SQL Server-användare som autentiserar med Microsoft Entra-ID.