Microsoft Entra ID ve Kerberos kullanarak AZure SQL Yönetilen Örneği için Windows Kimlik Doğrulaması'nı ayarlama
Bu makalede, Microsoft Entra ID (eski adıyla Azure Active Directory) ile Azure SQL Yönetilen Örneği'da sorumlular için Windows Kimlik Doğrulaması uygulamak üzere altyapı ve yönetilen örneklerin nasıl ayarlanacağına ilişkin genel bir bakış sunun.
Microsoft Entra Id ve Kerberos kullanarak Azure SQL Yönetilen Örneği için Windows Kimlik Doğrulamasını ayarlamanın iki aşaması vardır.
- Tek seferlik altyapı kurulumu.
- Henüz yapılmadıysa Active Directory (AD) ile Microsoft Entra ID'yi eşitleyin.
- Kullanılabilir olduğunda modern etkileşimli kimlik doğrulama akışını etkinleştirin. Modern etkileşimli akış, Windows 10 20H1 / Windows Server 2022 ve üzeri çalıştıran Microsoft Entra'ya katılmış veya karma katılmış istemcileri olan kuruluşlar için önerilir.
- Gelen güven tabanlı kimlik doğrulama akışını ayarlayın. Bu, modern etkileşimli akışı kullanamayan ancak Windows 10 / Windows Server 2012 ve üzeri çalıştıran AD'ye katılmış istemcileri olan müşteriler için önerilir.
- Azure SQL Yönetilen Örneği yapılandırması.
- Yönetilen her örnek için sistem tarafından atanan bir hizmet sorumlusu oluşturun.
Not
Microsoft Entra Id daha önce Azure Active Directory (Azure AD) olarak biliniyordu.
Tek seferlik altyapı kurulumu
Altyapı kurulumunun ilk adımı, bu tamamlanmadıysa AD'yi Microsoft Entra Id ile eşitlemektir.
Bunun ardından, sistem yöneticisi kimlik doğrulama akışlarını yapılandırıyor. Azure SQL Yönetilen Örneği üzerinde Microsoft Entra sorumluları için Windows Kimlik Doğrulaması uygulamak için iki kimlik doğrulama akışı sağlanır: gelen güven tabanlı akış, Windows Server 2012 veya üzerini çalıştıran AD'ye katılmış istemcileri destekler ve modern etkileşimli akış, Windows 10 21H1 veya üzerini çalıştıran Microsoft Entra'ya katılmış istemcileri destekler.
AD'yi Microsoft Entra Id ile eşitleme
Müşteriler, şirket içi dizinleri Microsoft Entra Kimliği ile tümleştirmek için önce Microsoft Entra Bağlan uygulamalıdır.
Hangi kimlik doğrulama akışlarını uygulayacağınızı seçin
Aşağıdaki diyagramda, modern etkileşimli akışın ve gelen güven tabanlı akışın uygunluğu ve temel işlevleri gösterilmektedir:
"Modern etkileşimli akışın Windows 10 20H1 veya Windows Server 2022 veya üzerini çalıştıran istemciler için uygun olduğunu gösteren ve istemcilerin Microsoft Entra'ya katılmış veya Microsoft Entra karma katılmış olduğu bir karar ağacı. Gelen güven tabanlı akış, istemcilerin AD'ye katıldığı Windows 10 veya Windows Server 2012 veya üzerini çalıştıran istemciler için uygundur."
Modern etkileşimli akış, Microsoft Entra'ya katılmış veya Microsoft Entra karmaya katılmış Windows 10 21H1 ve üzerini çalıştıran aydınlanmış istemcilerle çalışır. Modern etkileşimli akışta, kullanıcılar Etki Alanı Denetleyicilerine (DC' ler) görüş hattı gerektirmeden Azure SQL Yönetilen Örneği erişebilir. Müşterinin AD'sinde bir güven nesnesinin oluşturulmasına gerek yoktur. Modern etkileşimli akışı etkinleştirmek için yönetici, oturum açma sırasında kullanılacak Kerberos kimlik doğrulama anahtarları (TGT) için grup ilkesi ayarlar.
Gelen güven tabanlı akış, Windows 10 veya Windows Server 2012 ve üzerini çalıştıran istemciler için çalışır. Bu akış, istemcilerin AD'ye katılmasını ve şirket içinden AD'ye bir bakış açısına sahip olmasını gerektirir. Gelen güven tabanlı akışta, müşterinin AD'sinde bir güven nesnesi oluşturulur ve Microsoft Entra Id'ye kaydedilir. Gelen güven tabanlı akışı etkinleştirmek için, bir yönetici Microsoft Entra Kimliği ile gelen güveni ayarlar ve grup ilkesi aracılığıyla Kerberos Proxy'yi ayarlar.
Modern etkileşimli kimlik doğrulama akışı
Modern etkileşimli kimlik doğrulama akışını gerçekleştirmek için aşağıdaki önkoşullar gereklidir:
| Önkoşul | Description |
|---|---|
| İstemciler Windows 10 20H1, Windows Server 2022 veya daha yüksek bir Windows sürümünü çalıştırmalıdır. | |
| İstemciler Microsoft Entra'ya katılmış veya Microsoft Entra karmaya katılmış olmalıdır. | Bu önkoşula uyulup uyulmadığını saptamak için dsregcmd komutunu çalıştırabilirsiniz: dsregcmd.exe /status |
| Uygulama etkileşimli bir oturum üzerinden yönetilen örneğe bağlanmalıdır. | Bu, SQL Server Management Studio (SSMS) ve web uygulamaları gibi uygulamaları destekler ama hizmet olarak çalıştırılan uygulamalarda çalışmaz. |
| Microsoft Entra kiracısı. | |
| Kimlik doğrulaması için kullanmayı planladığınız Microsoft Entra kiracısının altındaki Azure aboneliği. | |
| Microsoft Entra Bağlan yüklendi. | Kimliklerin hem Microsoft Entra ID'de hem de AD'de bulunduğu karma ortamlar. |
Bu kimlik doğrulama akışını etkinleştirme adımları için bkz. Modern etkileşimli akışla Microsoft Entra ID için Windows Kimlik Doğrulaması'nı ayarlama.
Gelen güven tabanlı kimlik doğrulama akışı
Gelen güven tabanlı kimlik doğrulama akışını gerçekleştirmek için aşağıdaki önkoşullar gereklidir:
| Önkoşul | Description |
|---|---|
| İstemciler Windows 10, Windows Server 2012 veya daha yüksek bir Windows sürümünü çalıştırmalıdır. | |
| İstemciler AD'ye katılmış olmalıdır. Etki alanı, Windows Server 2012 veya üzeri işlevsel düzeyde olmalıdır. | İstemcinin AD'ye katılıp katılmadığını saptamak için dsregcmd komutunu çalıştırabilirsiniz: dsregcmd.exe /status |
| Azure AD Karma Kimlik Doğrulaması Yönetim Modülü. | Bu PowerShell modülü şirket içi kurulum için yönetim özellikleri sağlar. |
| Microsoft Entra kiracısı. | |
| Kimlik doğrulaması için kullanmayı planladığınız Microsoft Entra kiracısının altındaki Azure aboneliği. | |
| Microsoft Entra Bağlan yüklendi. | Kimliklerin hem Microsoft Entra ID'de hem de AD'de bulunduğu karma ortamlar. |
Bu kimlik doğrulama akışını etkinleştirme yönergeleri için bkz. Gelen güven tabanlı akışla Microsoft Entra ID için Windows Kimlik Doğrulaması'nı ayarlama.
Azure SQL Yönetilen Örneği’ni yapılandırma
Azure SQL Yönetilen Örneği'ni ayarlama adımları hem gelen güven tabanlı kimlik doğrulama akışında hem de modern etkileşimli kimlik doğrulama akışında aynıdır.
Yönetilen örneği yapılandırma önkoşulları
Microsoft Entra ID sorumlularının Windows Kimlik Doğrulaması'nda bir yönetilen örnek yapılandırmak için aşağıdaki önkoşullar gereklidir:
| Önkoşul | Description |
|---|---|
| Az.Sql PowerShell modülü | Bu PowerShell modülü Azure SQL kaynakları için yönetim cmdlet'leri sağlar. Şu PowerShell komutunu çalıştırarak bu modülü yükleyin: Install-Module -Name Az.Sql |
| Microsoft Graph PowerShell Modülü | Bu modül, kullanıcı ve hizmet sorumlusu yönetimi gibi Microsoft Entra ID yönetim görevleri için yönetim cmdlet'leri sağlar. Şu PowerShell komutunu çalıştırarak bu modülü yükleyin: Install-Module –Name Microsoft.Graph |
| Yönetilen örnek | Yeni bir yönetilen örnek oluşturabilir veya mevcut yönetilen örneği kullanabilirsiniz. |
Yönetilen her örneği yapılandırma
Her yönetilen örneği yapılandırma adımları için bkz. Microsoft Entra ID'de Windows Kimlik Doğrulaması için Azure SQL Yönetilen Örneği'ni yapılandırma.
Sınırlamalar
Azure SQL Yönetilen Örneği'da Microsoft Entra sorumluları için Windows Kimlik Doğrulaması için aşağıdaki sınırlamalar geçerlidir:
Linux istemcileri için kullanılamaz
Microsoft Entra sorumluları için Windows Kimlik Doğrulaması şu anda yalnızca Windows çalıştıran istemci makinelerinde desteklenmektedir.
Microsoft Entra Id önbelleğe alınmış oturum açma
Windows, Microsoft Entra Id'ye ne sıklıkta bağlandığını sınırlar, bu nedenle kullanıcı hesaplarının bir istemci makinesinin yükseltilmesinden veya yeni dağıtımından sonraki 4 saat içinde yenilenen bir Kerberos Anahtar Verme Biletine (TGT) sahip olmaması olasılığı vardır. Yenilenen TGT'si olmayan kullanıcı hesapları, Microsoft Entra Id'den başarısız bilet istekleriyle sonuçlanır.
Yönetici olarak, istemci makinesinde aşağıdaki komutu çalıştırarak yükseltme senaryolarını işlemek için hemen çevrimiçi oturum açmayı tetikleyebilir, ardından yenilenen bir TGT almak için kullanıcı oturumunu kilitleyip kilidini açabilirsiniz:
dsregcmd.exe /RefreshPrt
Sonraki adımlar
Azure SQL Yönetilen Örneği'de Microsoft Entra sorumluları için Windows Kimlik Doğrulamasını uygulama hakkında daha fazla bilgi edinin:
- Azure SQL Yönetilen Örneği'nde Microsoft Entra sorumluları için Windows Kimlik Doğrulaması nedir?
- Microsoft Entra ID ve Kerberos ile Azure SQL Yönetilen Örneği için Windows Kimlik Doğrulaması'nı uygulama
- Modern etkileşimli akışla Microsoft Entra ID için Windows Kimlik Doğrulaması'nı ayarlama
- Gelen güven tabanlı akışla Microsoft Entra ID için Windows Kimlik Doğrulaması'nı ayarlama
- Azure SQL Yönetilen Örneği'ni Microsoft Entra ID'de Windows Kimlik Doğrulaması için yapılandırma
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin