Azure Active Directory kimlik doğrulaması kullanma

Şunlar için geçerlidir: Azure SQL Veritabanı Azure SQL Yönetilen Örneği Azure Synapse Analytics

Bu makalede Windows Azure VM'lerinde Azure SQL Veritabanı, Azure SQL Yönetilen Örneği SQL Server, Azure Synapse Analytics'te Synapse SQL ve SQL Server kimlik doğrulaması yapmak için Azure Active Directory'yi kullanmaya genel bir bakış sağlanır Azure AD kimlikleri kullanarak Windows ve Linux için.

Azure Synapse Analytics'te Azure AD oluşturmayı ve doldurmayı ve ardından Azure SQL Veritabanı, Azure SQL Yönetilen Örneği ve Synapse SQL ile Azure AD yapılandırmayı öğrenmek için Azure AD yapılandırma ve Azure VM'lerinde SQL Server ile Azure AD.

Genel Bakış

Azure Active Directory (Azure AD) kimlik doğrulaması, Azure AD kimlikleri kullanarak SQL kaynağınıza bağlanma mekanizmasıdır.

Azure AD kimlik doğrulaması ile veritabanı kullanıcılarının ve diğer Microsoft hizmetlerinin kimliklerini tek merkezden yönetebilirsiniz. Merkezi kimlik yönetimi, tüm veritabanı kullanıcılarını aynı yerden yönetmenizi sağlar ve izin yönetimini kolaylaştırır. Avantajları şunlardır:

  • SQL Server kimlik doğrulamasına alternatif sağlar.

  • Sunucularda kullanıcı kimliklerinin çoğaltılması durdurulmasına yardımcı olur.

  • Parolanın tek bir yerde döndürülmesini sağlar.

  • Müşteriler dış (Azure AD) grupları kullanarak veritabanı izinlerini yönetebilir.

  • Tümleşik Windows kimlik doğrulamasını ve Azure Active Directory tarafından desteklenen diğer kimlik doğrulama biçimlerini etkinleştirerek parolaların depolanmasını ortadan kaldırabilir.

  • Azure AD kimlik doğrulaması, kimlikleri veritabanı düzeyinde doğrulamak için bağımsız veritabanı kullanıcılarını kullanır.

  • Azure AD, SQL Veritabanı ve SQL Yönetilen Örneği bağlanan uygulamalar için belirteç tabanlı kimlik doğrulamasını destekler.

  • Azure AD kimlik doğrulaması şu desteği destekler:

    • Yalnızca bulut kimliklerini Azure AD.
    • Azure AD destekleyen karma kimlikler:
      • Sorunsuz çoklu oturum açma (SSO) Geçişli kimlik doğrulaması ve parola karması kimlik doğrulaması ile birlikte iki seçenekle birlikte bulut kimlik doğrulaması.
      • Federasyon kimlik doğrulaması.
    • Azure AD kimlik doğrulama yöntemleri ve hangisinin seçileceği hakkında daha fazla bilgi için aşağıdaki makaleye bakın:
  • Azure AD, Multi-Factor Authentication içeren Active Directory Evrensel Kimlik Doğrulaması kullanan SQL Server Management Studio bağlantılarını destekler. Multi-Factor Authentication; telefon araması, kısa mesaj, pinli akıllı kartlar veya mobil uygulama bildirimi gibi çeşitli kolay doğrulama seçenekleriyle güçlü kimlik doğrulaması içerir. Daha fazla bilgi için bkz. Azure SQL Veritabanı, SQL Yönetilen Örneği ve Azure Synapse ile Azure AD Multi-Factor Authentication için SSMS desteği

  • Azure AD, Active Directory Etkileşimli Kimlik Doğrulaması'nın kullanıldığı SQL Server Veri Araçları'ndan (SSDT) gelen benzer bağlantıları destekler. Daha fazla bilgi için bkz. SQL Server Veri Araçları'de (SSDT) Azure Active Directory desteği

Yapılandırma adımları, Azure Active Directory kimlik doğrulamasını yapılandırmak ve kullanmak için aşağıdaki yordamları içerir.

  1. Azure AD oluşturun ve doldurun.
  2. İsteğe bağlı: Şu anda Azure Aboneliğinizle ilişkili active directory'yi ilişkilendirin veya değiştirin.
  3. Azure Active Directory yöneticisi oluşturun.
  4. İstemci bilgisayarlarınızı yapılandırın.
  5. Veritabanınızda Azure AD kimliklere eşlenmiş bağımsız veritabanı kullanıcıları oluşturun.
  6. Azure AD kimlikleri kullanarak veritabanınıza bağlanın.

Not

Azure SQL, Azure VM'leri ve SQL Server 2022 için Azure AD kimlik doğrulaması yalnızca Azure AD kaynaklı erişim belirteçlerini destekler ve üçüncü taraf erişim belirteçlerini desteklemez. Azure AD, Azure AD sorguların üçüncü taraf uç noktalarına yönlendirilmesini de desteklemez. Bu, tüm SQL platformları ve Azure AD kimlik doğrulamasını destekleyen tüm işletim sistemleri için geçerlidir.

Güven mimarisi

  • Azure AD, SQL Veritabanı, SQL Yönetilen Örneği, [Windows Azure VM'lerinde SQL Server] ve Azure Synapse yalnızca bulut bölümü Azure AD yerel kullanıcı parolalarını destekleyecek şekilde kabul edilir.
  • Windows çoklu oturum açma kimlik bilgilerini (veya Windows kimlik bilgileri için kullanıcı/parola) desteklemek için, geçiş ve parola karması kimlik doğrulaması için sorunsuz çoklu oturum açma için yapılandırılmış federasyon veya yönetilen etki alanından Azure Active Directory kimlik bilgilerini kullanın. Daha fazla bilgi için bkz. Azure Active Directory Sorunsuz Çoklu Oturum Açma.
  • Federasyon kimlik doğrulamasını (veya Windows kimlik bilgileri için kullanıcı/parolayı) desteklemek için ADFS bloğuyla iletişim gereklidir.

Karma kimlikler, kurulum ve eşitleme Azure AD hakkında daha fazla bilgi için aşağıdaki makalelere bakın:

ADFS altyapısıyla örnek bir federasyon kimlik doğrulaması (veya Windows kimlik bilgileri için kullanıcı/parola) için aşağıdaki diyagrama bakın. Oklar iletişim yollarını gösterir.

aad kimlik doğrulaması diyagramı

Aşağıdaki diyagramda, istemcinin belirteç göndererek veritabanına bağlanmasına olanak sağlayan federasyon, güven ve barındırma ilişkileri gösterilir. Belirtecin kimliği bir Azure AD tarafından doğrulanır ve veritabanı tarafından güvenilir. Müşteri 1, yerel kullanıcılara sahip bir Azure Active Directory'yi veya federasyon kullanıcıları olan bir Azure AD temsil edebilir. Müşteri 2, içeri aktarılan kullanıcılar da dahil olmak üzere olası bir çözümü temsil eder. Bu örnekte, azure active directory ile eşitlenen ADFS ile federasyon Azure Active Directory'den gelir. Azure AD kimlik doğrulaması kullanarak bir veritabanına erişimin barındırma aboneliğinin Azure AD ile ilişkilendirildiğini anlamak önemlidir. Azure SQL Veritabanı, SQL Yönetilen Örneği veya Azure Synapse kaynakları oluşturmak için aynı abonelik kullanılmalıdır.

abonelik ilişkisi

Yönetici yapısı

Azure AD kimlik doğrulaması kullanılırken iki Yönetici hesabı vardır: özgün Azure SQL Veritabanı yöneticisi ve Azure AD yöneticisi. Aynı kavramlar Azure Synapse için de geçerlidir. Yalnızca bir Azure AD hesabını temel alan yönetici, bir kullanıcı veritabanındaki ilk Azure AD bağımsız veritabanı kullanıcısını oluşturabilir. Azure AD yönetici oturum açma bilgileri Azure AD bir kullanıcı veya Azure AD grubu olabilir. Yönetici bir grup hesabı olduğunda, herhangi bir grup üyesi tarafından kullanılabilir ve sunucu için birden çok Azure AD yöneticisi etkinleştirilir. Grup hesabını yönetici olarak kullanmak, SQL Veritabanı veya Azure Synapse kullanıcıları veya izinleri değiştirmeden Azure AD grup üyelerini merkezi olarak eklemenizi ve kaldırmanızı sağlayarak yönetilebilirliği artırır. Herhangi bir anda yalnızca bir Azure AD yöneticisi (kullanıcı veya grup) yapılandırılabilir.

yönetici yapısı

İzinler

Yeni kullanıcılar oluşturmak için veritabanında izinlere ALTER ANY USER sahip olmanız gerekir. İzin ALTER ANY USER herhangi bir veritabanı kullanıcısına verilebilir. İzinALTER ANY USER, sunucu yöneticisi hesapları ve bu veritabanı için veya ALTER ON DATABASE iznine CONTROL ON DATABASE sahip veritabanı kullanıcıları ve veritabanı rolünün db_owner üyeleri tarafından da tutulur.

Azure SQL Veritabanı, SQL Yönetilen Örneği veya Azure Synapse bağımsız veritabanı kullanıcısı oluşturmak için, Azure AD kimliği kullanarak veritabanına veya örneğe bağlanmanız gerekir. İlk bağımsız veritabanı kullanıcısını oluşturmak için bir Azure AD yöneticisi (veritabanının sahibi olan) kullanarak veritabanına bağlanmanız gerekir. Bu, SQL Veritabanı veya Azure Synapse ile Azure Active Directory kimlik doğrulamasını yapılandırma ve yönetme bölümünde gösterilmiştir. Azure AD kimlik doğrulaması yalnızca Azure SQL Veritabanı, SQL Yönetilen Örneği veya Azure Synapse için Azure AD yöneticisi oluşturulduysa mümkündür. Azure Active Directory yöneticisi sunucudan kaldırıldıysa, daha önce SQL Server içinde oluşturulan mevcut Azure Active Directory kullanıcıları artık Azure Active Directory kimlik bilgilerini kullanarak veritabanına bağlanamıyor.

Azure AD özellikleri ve sınırlamaları

  • Azure SQL Veritabanı için aşağıdaki Azure AD üyeleri sağlanabilir:

  • Sunucu rolüne sahip db_owner bir grubun parçası olan kullanıcılar Azure AD, Azure SQL Veritabanı ve Azure Synapse için CREATE DATABASE SCOPED CREDENTIAL söz dizimini kullanamaz. Aşağıdaki hatayı görürsünüz:

    SQL Error [2760] [S0001]: The specified schema name 'user@mydomain.com' either does not exist or you do not have permission to use it.

    db_ownerCREATE DATABASE SCOPED CREDENTIAL sorununu azaltmak için rolü doğrudan tek tek Azure AD kullanıcıya verin.

  • Bu sistem işlevleri, Azure AD sorumluları altında yürütürken NULL değerler döndürür:

    • SUSER_ID()
    • SUSER_NAME(<admin ID>)
    • SUSER_SNAME(<admin SID>)
    • SUSER_ID(<admin name>)
    • SUSER_SID(<admin name>)

SQL Yönetilen Örnek

  • Azure AD sunucu sorumluları (oturum açma bilgileri) ve kullanıcılar SQL Yönetilen Örneği için desteklenir.
  • veritabanı sahibi olarak bir Azure AD grubuna eşlenen Azure AD sunucu sorumlularının (oturum açma bilgileri) ayarlanması SQL Yönetilen Örneği desteklenmez.
    • Bunun bir uzantısı, sunucu rolünün dbcreator bir parçası olarak bir grup eklendiğinde, bu gruptaki kullanıcıların SQL Yönetilen Örneği bağlanabilmesi ve yeni veritabanları oluşturabilmesi, ancak veritabanına erişemeyecek olmasıdır. Bunun nedeni, yeni veritabanı sahibinin SA olması ve Azure AD kullanıcı olmamasıdır. Tek tek kullanıcı sunucu rolüne dbcreator eklendiğinde bu sorun bildirilmez.
  • SQL Aracısı yönetimi ve işleri yürütme, Azure AD sunucu sorumluları (oturum açma bilgileri) için desteklenir.
  • Veritabanı yedekleme ve geri yükleme işlemleri Azure AD sunucu sorumluları (oturum açma bilgileri) tarafından yürütülebilir.
  • Azure AD sunucu sorumlularıyla (oturum açma bilgileri) ve kimlik doğrulama olaylarıyla ilgili tüm deyimlerin denetlenilmesi desteklenir.
  • Sysadmin sunucu rolünün üyesi olan Azure AD sunucu sorumluları (oturum açma bilgileri) için ayrılmış yönetici bağlantısı desteklenir.
    • SQLCMD Yardımcı Programı ve SQL Server Management Studio aracılığıyla desteklenir.
  • Oturum açma tetikleyicileri, Azure AD sunucu sorumlularından (oturum açma bilgileri) gelen oturum açma olayları için desteklenir.
  • Hizmet Aracısı ve VERITABANı postası, Azure AD sunucu sorumlusu (oturum açma) kullanılarak ayarlanabilir.

Azure AD kimliklerini kullanarak bağlanma

Azure Active Directory kimlik doğrulaması, Azure AD kimlikleri kullanarak veritabanına bağlanmak için aşağıdaki yöntemleri destekler:

  • Azure Active Directory Parolası
  • Azure Active Directory Tümleşik
  • Multi-Factor Authentication ile Azure Active Directory Evrensel
  • Uygulama belirteci kimlik doğrulamayı kullanma

Aşağıdaki kimlik doğrulama yöntemleri Azure AD sunucu sorumluları (oturum açma bilgileri) için desteklenir:

  • Azure Active Directory Parolası
  • Azure Active Directory Tümleşik
  • Multi-Factor Authentication ile Azure Active Directory Evrensel

Diğer konular

  • Yönetilebilirliği geliştirmek için yönetici olarak ayrılmış bir Azure AD grubu sağlamanızı öneririz.
  • SQL Veritabanı veya Azure Synapse herhangi bir zamanda bir sunucu için yalnızca bir Azure AD yöneticisi (kullanıcı veya grup) yapılandırılabilir.
    • SQL Yönetilen Örneği için Azure AD sunucu sorumlularının (oturum açma bilgileri) eklenmesi, role eklenebilen sysadmin birden çok Azure AD sunucu sorumlusu (oturum açma) oluşturma olanağı sağlar.
  • Başlangıçta bir Azure Active Directory hesabı kullanarak sunucuya veya yönetilen örneğe yalnızca Azure AD yöneticisi bağlanabilir. Active Directory yöneticisi sonraki Azure AD veritabanı kullanıcılarını yapılandırabilir.
  • 2048'den fazla Azure AD güvenlik grubunun üyesi olan Azure AD kullanıcıların ve hizmet sorumlularının (Azure AD uygulamalar) SQL Veritabanı, Yönetilen Örnek veya Azure Synapse veritabanında oturum açması desteklenmez.
  • Bağlantı zaman aşımını 30 saniye olarak ayarlamanızı öneririz.
  • SQL Server 2016 Management Studio ve Visual Studio 2015 için SQL Server Veri Araçları (sürüm 14.0.60311.1Sil 2016 veya üzeri) Azure Active Directory kimlik doğrulamasını destekler. (Azure AD kimlik doğrulaması SqlServer için .NET Framework Veri Sağlayıcısı tarafından desteklenir; en az sürüm .NET Framework 4.6). Bu nedenle, bu araçların ve veri katmanı uygulamalarının (DAC ve BACPAC) en yeni sürümleri Azure AD kimlik doğrulamasını kullanabilir.
  • 15.0.1 sürümünden başlayarak , sqlcmd yardımcı programı ve bcp yardımcı programı Multi-Factor Authentication ile Active Directory Etkileşimli kimlik doğrulamasını destekler.
  • Visual Studio 2015 için SQL Server Veri Araçları en azından Veri Araçları'nın Nisan 2016 sürümünü (sürüm 14.0.60311.1) gerektirir. Şu anda Azure AD kullanıcılar SSDT Nesne Gezgini gösterilmez. Geçici bir çözüm olarak , kullanıcıları sys.database_principals'de görüntüleyin.
  • SQL Server için Microsoft JDBC Driver 6.0, Azure AD kimlik doğrulamasını destekler. Ayrıca bkz . Bağlantı Özelliklerini Ayarlama.
  • PolyBase, Azure AD kimlik doğrulaması kullanarak kimlik doğrulaması yapamaz.
  • Azure AD kimlik doğrulaması Azure SQL Veritabanı için desteklenir ve veritabanını içeri ve dışarı aktarma dikey Azure portal kullanılarak Azure Synapse. Azure AD kimlik doğrulaması kullanarak içeri ve dışarı aktarma, PowerShell komutundan da desteklenir.
  • Azure AD kimlik doğrulaması CLI kullanarak SQL Veritabanı, SQL Yönetilen Örneği ve Azure Synapse için desteklenir. Daha fazla bilgi için bkz. SQL Veritabanı veya Azure Synapse ile Azure AD kimlik doğrulamasını yapılandırma ve yönetme ve SQL Server - az sql server.

Sonraki adımlar