Azure SQL ile yalnızca Azure AD kimlik doğrulaması

Şunlar için geçerlidir: Azure SQL Veritabanı Azure SQL Yönetilen Örneği Azure Synapse Analytics (yalnızca ayrılmış SQL havuzları)

Yalnızca Azure AD kimlik doğrulaması, Azure SQL içinde hizmetin yalnızca Azure AD kimlik doğrulamasını desteklemesine olanak tanıyan ve Azure SQL Veritabanı ve Azure SQL Yönetilen Örneği için desteklenen bir özelliktir.

Yalnızca Azure AD kimlik doğrulaması, tek başına sunuculardaki ayrılmış SQL havuzları (eski adı SQL DW) için de kullanılabilir. Azure Synapse çalışma alanı için yalnızca Azure AD kimlik doğrulaması etkinleştirilebilir. Daha fazla bilgi için bkz. Azure Synapse çalışma alanlarıyla yalnızca Azure AD kimlik doğrulaması.

SQL server yöneticilerinin, oturum açma bilgilerinin ve kullanıcıların bağlantıları dahil olmak üzere Azure SQL ortamında yalnızca Azure AD kimlik doğrulaması etkinleştirilirken SQL kimlik doğrulaması devre dışı bırakılır. Yalnızca Azure AD kimlik doğrulaması kullanan kullanıcıların sunucuya veya veritabanına bağlanma yetkisi vardır.

yalnızca Azure AD kimlik doğrulaması Azure portal, Azure CLI, PowerShell veya REST API kullanılarak etkinleştirilebilir veya devre dışı bırakılabilir. Yalnızca Azure AD kimlik doğrulaması bir Azure Resource Manager (ARM) şablonuyla sunucu oluşturma sırasında da yapılandırılabilir.

Azure SQL kimlik doğrulaması hakkında daha fazla bilgi için bkz. Kimlik doğrulaması ve yetkilendirme.

Özellik açıklaması

Yalnızca Azure AD kimlik doğrulamasını etkinleştirirken, SQL kimlik doğrulaması sunucu veya yönetilen örnek düzeyinde devre dışı bırakılır ve herhangi bir SQL kimlik doğrulaması kimlik bilgilerine dayalı kimlik doğrulamasını önler. SQL kimlik doğrulaması kullanıcıları, tüm veritabanları dahil olmak üzere Azure SQL Veritabanı veya yönetilen örneği için mantıksal sunucuya bağlanamaz. SQL kimlik doğrulaması devre dışı bırakılsa da, yeni SQL kimlik doğrulaması oturum açma bilgileri ve kullanıcılar uygun izinlere sahip Azure AD hesapları tarafından oluşturulmaya devam edebilir. Yeni oluşturulan SQL kimlik doğrulama hesaplarının sunucuya bağlanmasına izin verilmez. Yalnızca Azure AD kimlik doğrulamasının etkinleştirilmesi, mevcut SQL kimlik doğrulaması oturum açma bilgilerini ve kullanıcı hesaplarını kaldırmaz. Bu özellik yalnızca bu hesapların sunucuya bağlanmasını ve bu sunucu için oluşturulan tüm veritabanlarını engeller.

Ayrıca, Azure İlkesi kullanarak yalnızca Azure AD kimlik doğrulaması etkinleştirildiğinde sunucuların oluşturulmasını zorlayabilirsiniz. Daha fazla bilgi için bkz. yalnızca Azure AD kimlik doğrulaması için Azure İlkesi.

İzinler

Yalnızca Azure AD kimlik doğrulaması Azure aboneliği Sahipleri, Katkıda Bulunanlar ve Genel Yöneticiler gibi yüksek ayrıcalıklı Azure AD yerleşik rollerin üyesi olan Azure AD kullanıcılar tarafından etkinleştirilebilir veya devre dışı bırakılabilir. Ayrıca, SQL Security Manager rolü yalnızca Azure AD kimlik doğrulama özelliğini etkinleştirebilir veya devre dışı bırakabilir.

SQL Server Katkıda Bulunan ve SQL Yönetilen Örneği Katkıda Bulunan rolleri, yalnızca Azure AD kimlik doğrulama özelliğini etkinleştirme veya devre dışı bırakma izinlerine sahip olmaz. Bu, Azure SQL sunucu oluşturabilen veya Azure AD yöneticisi oluşturabilen kullanıcıların güvenlik özelliklerini etkinleştirebildiği veya devre dışı bırakabildiği Görev Ayrımı yaklaşımıyla tutarlıdır.

Yapılması gereken eylemler

Yalnızca Azure AD kimlik doğrulama özelliğinin yönetimine izin vermek için SQL Security Manager rolüne aşağıdaki eylemler eklenir.

  • Microsoft.Sql/servers/azureADOnlyAuthentications/*
  • Microsoft.Sql/servers/administrators/read - yalnızca Azure portal Azure Active Directory menüsüne erişen kullanıcılar için gereklidir
  • Microsoft.Sql/managedInstances/azureADOnlyAuthentications/*
  • Microsoft.Sql/managedInstances/read

Yalnızca Azure AD kimlik doğrulamasını yönetmek için yukarıdaki eylemler özel bir role de eklenebilir. Daha fazla bilgi için Azure Active Directory’de özel bir rol oluşturma ve atama konusuna bakın.

API'leri kullanarak yalnızca Azure AD kimlik doğrulamasını yönetme

Önemli

Yalnızca Azure AD kimlik doğrulamasını etkinleştirmeden önce Azure AD yöneticisi ayarlanmalıdır.

Azure CLI sürüm 2.14.2 veya üzeri olmalıdır.

name sunucu veya örnek adının (örneğin, myserver) ön ekine karşılık gelir ve resource-group sunucunun ait olduğu kaynağa karşılık gelir (örneğin, myresource).

Azure SQL Veritabanı

Daha fazla bilgi için bkz. az sql server ad-only-auth.

SQL Veritabanı'de etkinleştirme veya devre dışı bırakma

Etkinleştirme

az sql server ad-only-auth enable --resource-group myresource --name myserver

Devre Dışı Bırak

az sql server ad-only-auth disable --resource-group myresource --name myserver

SQL Veritabanı'de durumu denetleme

az sql server ad-only-auth get --resource-group myresource --name myserver

Azure SQL Yönetilen Örnek

Daha fazla bilgi için bkz. az sql mi ad-only-auth.

Etkinleştirme

az sql mi ad-only-auth enable --resource-group myresource --name myserver

Devre Dışı Bırak

az sql mi ad-only-auth disable --resource-group myresource --name myserver

SQL Yönetilen Örneği'de durumu denetleme

az sql mi ad-only-auth get --resource-group myresource --name myserver

T-SQL kullanarak yalnızca Azure AD kimlik doğrulamayı denetleme

Sunucunuzda veya yönetilen örneğinizde yalnızca Azure AD kimlik doğrulamasının etkinleştirilip etkinleştirilmediğini denetlemek için SEVERPROPERTYIsExternalAuthenticationOnly eklendi. 1 özelliğin etkinleştirildiğini ve 0 özelliğin devre dışı bırakıldığını gösterir.

SELECT SERVERPROPERTY('IsExternalAuthenticationOnly') 

Açıklamalar

  • SQL Server Katkıda Bulunanı bir Azure AD yöneticisini ayarlayabilir veya kaldırabilir, ancak yalnızca Azure Active Directory kimlik doğrulaması ayarını yapamaz. SQL Güvenlik Yöneticisi bir Azure AD yöneticisi ayarlayamaz veya kaldıramaz, ancak yalnızca Azure Active Directory kimlik doğrulaması ayarını ayarlayabilir. Yalnızca daha yüksek Azure RBAC rollerine veya her iki izni de içeren özel rollere sahip hesaplar bir Azure AD yöneticisini ayarlayıp kaldırabilir ve yalnızca Azure Active Directory kimlik doğrulaması ayarını yapabilir. Bu rollerden biri Katkıda Bulunan rolüdür.
  • Azure Active Directory kimlik doğrulamasını yalnızca Azure portal etkinleştirdikten veya devre dışı bırakdıktan sonra, SQL sunucusu menüsünde bir Etkinlik günlüğü girişi görülebilir. Azure portal etkinlik günlüğü girdisi
  • Yalnızca Azure Active Directory kimlik doğrulaması ayarı, yalnızca Azure Active Directory yöneticisi belirtilmişse doğru izinlere sahip kullanıcılar tarafından etkinleştirilebilir veya devre dışı bırakılabilir. Azure AD yöneticisi ayarlı değilse, yalnızca Azure Active Directory kimlik doğrulaması ayarı etkin değildir ve etkinleştirilemez veya devre dışı bırakılamaz. yalnızca Azure AD kimlik doğrulamasını etkinleştirmek için API'leri kullanmak, Azure AD yöneticisi ayarlanmamışsa da başarısız olur.
  • Yalnızca Azure AD kimlik doğrulaması etkinleştirildiğinde Azure AD yöneticisinin değiştirilmesi, uygun izinlere sahip kullanıcılar için desteklenir.
  • Azure AD yöneticisini değiştirme ve yalnızca Azure AD kimlik doğrulamasını etkinleştirmeye veya devre dışı bırakmaya uygun izinlere sahip kullanıcılar için Azure portal izin verilir. her iki işlem de Azure portal tek bir Kaydet ile tamamlanabilir. Yalnızca Azure AD kimlik doğrulamasını etkinleştirmek için Azure AD yöneticisinin ayarlanması gerekir.
  • Yalnızca Azure AD kimlik doğrulama özelliği etkinleştirildiğinde bir Azure AD yöneticisinin kaldırılması desteklenmez. Yalnızca Azure AD kimlik doğrulaması etkinleştirilirse Azure AD yöneticiyi kaldırmak için API kullanma başarısız olur.
    • Yalnızca Azure Active Directory kimlik doğrulaması ayarı etkinse, yöneticiyi kaldır düğmesi Azure portal etkin değildir.
  • bir Azure AD yöneticisinin kaldırılmasına ve yalnızca Azure Active Directory kimlik doğrulaması ayarının devre dışı bırakılmasına izin verilir, ancak işlemleri tamamlamak için doğru kullanıcı izni gerekir. her iki işlem de Azure portal tek bir Kaydet ile tamamlanabilir.
  • Uygun izinlere sahip Azure AD kullanıcılar mevcut SQL kullanıcılarının kimliğine bürünebilir.
    • Kimliğe bürünme, yalnızca Azure AD kimlik doğrulaması özelliği etkinleştirildiğinde bile SQL kimlik doğrulaması kullanıcıları arasında çalışmaya devam eder.

SQL Veritabanı'da yalnızca Azure AD kimlik doğrulamasına yönelik sınırlamalar

SQL Veritabanı için yalnızca Azure AD kimlik doğrulaması etkinleştirildiğinde aşağıdaki özellikler desteklenmez:

  • Azure SQL Veritabanı sunucu rolleriAzure AD sunucu sorumluları için desteklenir, ancak Azure AD oturum açma işlemi bir grupsa desteklenmez.
  • Esnek işler
  • SQL Data Sync
  • Veri yakalamayı değiştirme (CDC) - Azure AD bir kullanıcı olarak Azure SQL Veritabanında veritabanı oluşturur ve üzerinde değişiklik verisi yakalamayı etkinleştirirseniz, SQL kullanıcısı CDC yapıtlarını devre dışı bırakamaz veya üzerinde değişiklik yapamaz. Ancak, başka bir Azure AD kullanıcı aynı veritabanında CDC'yi etkinleştirebilir veya devre dışı bırakabilir. Benzer şekilde, SQL kullanıcısı olarak bir Azure SQL Veritabanı oluşturursanız CDC'yi Azure AD kullanıcı olarak etkinleştirme veya devre dışı bırakma çalışmaz
  • İşlem çoğaltması - Çoğaltma katılımcıları arasındaki bağlantı için SQL kimlik doğrulaması gerektiğinden, yalnızca Azure AD kimlik doğrulaması etkinleştirildiğinde, işlem çoğaltmanın bir Azure SQL Yönetilen Örneği yapılan değişiklikleri göndermek için kullanıldığı senaryolarda SQL Veritabanı için işlem çoğaltması desteklenmez, şirket içi SQL Server veya Azure SQL Veritabanındaki bir veritabanına örnek SQL Server Bir Azure VM
  • SQL İçgörüleri (önizleme)
  • Azure AD grup üyesi hesapları için EXEC AS deyimi

Yönetilen Örnekte yalnızca Azure AD kimlik doğrulamasına yönelik sınırlamalar

Yönetilen Örnek için yalnızca Azure AD kimlik doğrulaması etkinleştirildiğinde aşağıdaki özellikler desteklenmez:

Daha fazla sınırlama için bkz. SQL Server Azure SQL Yönetilen Örneği & arasındaki T-SQL farkları.

Sonraki adımlar