Aracılığıyla paylaş

Synapse SQL ile çok faktörlü Microsoft Entra kimlik doğrulamasını kullanma (MFA için SSMS desteği)

Synapse SQL, Active Directory Evrensel Kimlik Doğrulaması kullanılarak SQL Server Management Studio'dan (SSMS) gelen bağlantıları destekler.

Bu makalede, çeşitli kimlik doğrulama seçenekleri arasındaki farklar ve evrensel kimlik doğrulamasını kullanmayla ilgili sınırlamalar ele alınmaktadır.

En son SSMS'yi indirme - İstemci bilgisayarda SQL Server Management Studio'yu (SSMS) İndir'den SSMS'nin en son sürümünü indirin.

Bu makalede açıklanan tüm özellikler için en az Temmuz 2017, sürüm 17.2'yi kullanın. En son bağlantı iletişim kutusu aşağıdaki görüntüye benzer olmalıdır:

Sunucu adı ve kimlik doğrulama seçeneğini belirleyebileceğiniz Sunucuya Bağlan iletişim kutusunu gösteren ekran görüntüsü.

Beş kimlik doğrulama seçeneği

Active Directory Evrensel Kimlik Doğrulaması etkileşimli olmayan iki kimlik doğrulama yöntemini destekler: - Active Directory - Password kimlik doğrulaması - Active Directory - Integrated kimlik doğrulaması

Birçok farklı uygulamada (ADO.NET, JDBC, ODC vb.) kullanılabilen etkileşimli olmayan iki kimlik doğrulama modeli de vardır. Bu iki yöntem hiçbir zaman açılır iletişim kutularına neden olmaz:

  • Active Directory - Password
  • Active Directory - Integrated

Etkileşimli yöntem, Microsoft Entra çok faktörlü kimlik doğrulamasını (MFA) da destekler:

  • Active Directory - Universal with MFA

Microsoft Entra çok faktörlü kimlik doğrulaması, basit bir oturum açma işlemi için kullanıcı talebini karşılarken verilere ve uygulamalara erişimin korunmasına yardımcı olur. Kullanıcıların tercih ettikleri yöntemi seçmesine olanak sağlayan bir dizi kolay doğrulama seçeneği (telefon araması, kısa mesaj, pinli akıllı kartlar veya mobil uygulama bildirimi) ile güçlü kimlik doğrulaması sağlar. Microsoft Entra ID ile etkileşimli MFA, doğrulama için bir açılan pencere görüntüleyebilir.

Çok faktörlü kimlik doğrulamasının açıklaması için bkz . çok faktörlü kimlik doğrulaması.

Microsoft Entra etki alanı adı veya kiracı kimliği parametresi

SSMS sürüm 17'den başlayarak, diğer Azure Active Dizinlerinden konuk kullanıcı olarak geçerli Active Directory'ye aktarılan kullanıcılar, bağlandıklarında Microsoft Entra etki alanı adını veya kiracı kimliğini sağlayabilir.

Konuk kullanıcılar, diğer Azure AD'lerinden davet edilen kullanıcılar, outlook.com, hotmail.com, live.com gibi Microsoft hesapları veya gmail.com gibi diğer hesapları içerir. Bu bilgiler, MFA Kimlik Doğrulaması ile Active Directory Evrensel'in doğru kimlik doğrulama yetkilisini tanımlamasına olanak tanır. Bu seçenek outlook.com, hotmail.com, live.com veya MSA olmayan hesaplar gibi Microsoft hesaplarını (MSA) desteklemek için de gereklidir.

Evrensel Kimlik Doğrulaması kullanılarak kimlik doğrulaması yapmak isteyen tüm bu kullanıcıların Microsoft Entra etki alanı adını veya kiracı kimliğini girmesi gerekir. Bu parametre, Azure Server'ın bağlı olduğu geçerli Microsoft Entra etki alanı adını/kiracı kimliğini temsil eder.

Örneğin, Azure Server, contosodev.onmicrosoft.com Microsoft Entra etki alanından içeri aktarılan bir kullanıcı olan joe@contosodev.onmicrosoft.com'in barındırıldığı contosotest.onmicrosoft.com Microsoft Entra etki alanıyla ilişkiliyse, bu kullanıcının kimliğini doğrulamak için gerekli etki alanı adı contosotest.onmicrosoft.com olur.

Kullanıcı, Azure Server'a bağlı Microsoft Entra Id'nin yerel bir kullanıcısıysa ve bir MSA hesabı değilse, etki alanı adı veya kiracı kimliği gerekmez.

Parametresini girmek için (SSMS sürüm 17.2 ile başlayarak) Veritabanına Bağlan iletişim kutusunda, iletişim kutusunu doldurun, Active Directory - MFA kimlik doğrulaması ile Evrensel'i seçin, Seçenekler'i seçin, Kullanıcı adı kutusunu doldurun ve ardından Bağlantı Özellikleri sekmesini seçin.

AD etki alanı adı veya kiracı kimliği kutusunu işaretleyin ve etki alanı adı (contosotest.onmicrosoft.com) veya kiracı kimliğinin GUID'si gibi kimlik doğrulama otoritesi sağlayın.

Bağlantı Özellikleri sekmesinde, girilen değerlerin gösterildiği Sunucuya Bağlan'ı gösteren ekran görüntüsü.

SSMS 18.x veya üzerini çalıştırıyorsanız, 18.x veya üzeri otomatik olarak tanıdığından konuk kullanıcılar için AD etki alanı adı veya kiracı kimliği artık gerekli değildir.

mfa-tenant-ssms

Microsoft Entra işletmeler arası destek

Microsoft Entra B2B senaryolarında konuk kullanıcı olarak desteklenen Microsoft Entra kullanıcıları (bkz Azure B2B işbirliği nedir), yalnızca geçerli Microsoft Entra Kimliği'nde oluşturulan ve belirli bir veritabanında Transact-SQL CREATE USER ifadesi kullanılarak manuel olarak eşlenen bir grubun üyeleri olarak Synapse SQL'e bağlanabilir.

Örneğin, steve@gmail.com Microsoft Entra etki alanı contosotest.onmicrosoft.com içeren Azure AD'ye (contosotest ile) davet edilirse, steve@gmail.com üyesini içeren Microsoft Entra Kimliği'nde usergroup gibi bir Microsoft Entra grubu oluşturulmalıdır. Daha sonra bu grup, Transact-SQL CREATE USER [usergroup] FROM EXTERNAL PROVIDER deyimi yürütülerek Microsoft Entra SQL yöneticisi veya Microsoft Entra DBO tarafından belirli bir veritabanı (myDatabase) için oluşturulmalıdır.

Veritabanı kullanıcısı oluşturulduktan sonra, kullanıcı steve@gmail.com SSMS kimlik doğrulama seçeneğini MyDatabasekullanarak oturum açabilirActive Directory – Universal with MFA support.

Kullanıcı grubu varsayılan olarak yalnızca bağlanma iznine ve normal şekilde verilmesi gereken diğer veri erişimine sahiptir.

Konuk kullanıcı olarak, steve@gmail.com kutuyu işaretlemeli ve SSMS contosotest.onmicrosoft.com iletişim kutusuna AD etki alanı adını eklemelidir. AD etki alanı adı veya kiracı kimliği seçeneği yalnızca MFA ile Evrensel bağlantı seçenekleri için desteklenir, aksi takdirde devre dışı bırakılır.

Synapse SQL için Evrensel Kimlik Doğrulama sınırlamaları

  • SSMS ve SqlPackage.exe, Active Directory Evrensel Kimlik Doğrulaması aracılığıyla MFA için şu anda etkinleştirilen tek araçlardır.
  • SSMS sürüm 17.2, MFA ile Evrensel Kimlik Doğrulaması kullanarak çok kullanıcılı eşzamanlı erişimi destekler. Sürüm 17.0 ve 17.1, Evrensel Kimlik Doğrulaması kullanarak SSMS örneğinde oturum açmayı tek bir Microsoft Entra hesabıyla kısıtlamıştı. Başka bir Microsoft Entra hesabı olarak oturum açmak için başka bir SSMS örneği kullanmanız gerekir. (Bu kısıtlama Active Directory Evrensel Kimlik Doğrulaması ile sınırlıdır; Active Directory Parola Kimlik Doğrulaması, Active Directory Tümleşik Kimlik Doğrulaması veya SQL Server Kimlik Doğrulaması kullanarak farklı sunucularda oturum açabilirsiniz).
  • SSMS, Nesne Gezgini, Sorgu Düzenleyicisi ve Sorgu Deposu görselleştirmesi için Active Directory Evrensel Kimlik Doğrulamasını destekler.
  • SSMS sürüm 17.2, Veri Veritabanını Dışarı Aktarma/Ayıklama/Dağıtma için DacFx Sihirbazı desteği sağlar. Evrensel Kimlik Doğrulaması kullanılarak ilk kimlik doğrulaması iletişim kutusu aracılığıyla belirli bir kullanıcının kimliği doğrulandıktan sonra, DacFx Sihirbazı diğer tüm kimlik doğrulama yöntemlerinde olduğu gibi çalışır.
  • SSMS Tablo Tasarımcısı Evrensel Kimlik Doğrulamasını desteklemez.
  • Active Directory Evrensel Kimlik Doğrulaması için SSMS'nin desteklenen bir sürümünü kullanmanız dışında ek yazılım gereksinimi yoktur.
  • Evrensel kimlik doğrulaması için Active Directory Kimlik Doğrulama Kitaplığı (ADAL) sürümü, kullanıma sunulan en son ADAL.dll 3.13.9 sürümüne güncelleştirildi. Bkz . Active Directory Kimlik Doğrulama Kitaplığı 3.14.1.

Sonraki adımlar

Daha fazla bilgi için SQL Server Management Studio ile Synapse SQL'e bağlanma makalesine bakın.

  • Last updated on