Synapse SQL ile çok faktörlü Microsoft Entra kimlik doğrulamasını kullanma (MFA için SSMS desteği)
Synapse SQL, Active Directory Evrensel Kimlik Doğrulaması kullanılarak SQL Server Management Studio'dan (SSMS) gelen bağlantıları destekler.
Bu makalede, çeşitli kimlik doğrulama seçenekleri arasındaki farklar ve evrensel kimlik doğrulamasını kullanmayla ilgili sınırlamalar ele alınmaktadır.
En son SSMS'yi indirme - İstemci bilgisayarda SQL Server Management Studio'yu (SSMS) İndir'den SSMS'nin en son sürümünü indirin.
Bu makalede açıklanan tüm özellikler için en az Temmuz 2017, sürüm 17.2'yi kullanın. En son bağlantı iletişim kutusu aşağıdaki görüntüye benzer olmalıdır:
Beş kimlik doğrulama seçeneği
Active Directory Evrensel Kimlik Doğrulaması etkileşimli olmayan iki kimlik doğrulama yöntemini destekler: - Active Directory - Password kimlik doğrulaması - Active Directory - Integrated kimlik doğrulaması
Birçok farklı uygulamada (ADO.NET, JDCB, ODC vb.) kullanılabilen etkileşimli olmayan iki kimlik doğrulama modeli de vardır. Bu iki yöntem hiçbir zaman açılır iletişim kutularına neden olmaz:
Active Directory - PasswordActive Directory - Integrated
Etkileşimli yöntem, Microsoft Entra çok faktörlü kimlik doğrulamasını (MFA) da destekler:
Active Directory - Universal with MFA
Microsoft Entra çok faktörlü kimlik doğrulaması, basit bir oturum açma işlemi için kullanıcı talebini karşılarken verilere ve uygulamalara erişimin korunmasına yardımcı olur. Kullanıcıların tercih ettikleri yöntemi seçmesine olanak sağlayan bir dizi kolay doğrulama seçeneği (telefon araması, kısa mesaj, pinli akıllı kartlar veya mobil uygulama bildirimi) ile güçlü kimlik doğrulaması sağlar. Microsoft Entra ID ile etkileşimli MFA, doğrulama için bir açılan iletişim kutusu görüntüleyebilir.
Çok faktörlü kimlik doğrulamasının açıklaması için bkz . çok faktörlü kimlik doğrulaması.
Microsoft Entra etki alanı adı veya kiracı kimliği parametresi
SSMS sürüm 17'den başlayarak, diğer Azure Active Dizinlerinden konuk kullanıcı olarak geçerli Active Directory'ye aktarılan kullanıcılar, bağlandıklarında Microsoft Entra etki alanı adını veya kiracı kimliğini sağlayabilir.
Konuk kullanıcılar diğer Azure KIMLIKlerinden davet edilen kullanıcıları, outlook.com, hotmail.com, live.com gibi Microsoft hesaplarını veya gmail.com gibi diğer hesapları içerir. Bu bilgiler, MFA Kimlik Doğrulaması ile Active Directory Evrensel'in doğru kimlik doğrulama yetkilisini tanımlamasına olanak tanır. Bu seçenek outlook.com, hotmail.com, live.com veya MSA olmayan hesaplar gibi Microsoft hesaplarını (MSA) desteklemek için de gereklidir.
Evrensel Kimlik Doğrulaması kullanılarak kimlik doğrulaması yapmak isteyen tüm bu kullanıcıların Microsoft Entra etki alanı adını veya kiracı kimliğini girmesi gerekir. Bu parametre, Azure Server'ın bağlı olduğu geçerli Microsoft Entra etki alanı adını/kiracı kimliğini temsil eder.
Örneğin, Azure Server, kullanıcının Microsoft Entra etki alanından contosotest.onmicrosoft.com içeri aktarılan bir kullanıcı joe@contosodev.onmicrosoft.com olarak barındırıldığı Microsoft Entra etki alanıyla contosodev.onmicrosoft.comilişkiliyse, bu kullanıcının kimliğini doğrulamak için gereken etki alanı adı olur contosotest.onmicrosoft.com.
Kullanıcı, Azure Server'a bağlı Microsoft Entra Id'nin yerel bir kullanıcısıysa ve bir MSA hesabı değilse, etki alanı adı veya kiracı kimliği gerekmez.
Parametresini girmek için (SSMS sürüm 17.2 ile başlayarak) Veritabanına Bağlan iletişim kutusunda, iletişim kutusunu doldurun, Active Directory - MFA kimlik doğrulamasıyla Evrensel'i seçin, Seçenekler'i seçin, Kullanıcı adı kutusunu doldurun ve ardından Bağlan ion Özellikleri sekmesini seçin.
AD etki alanı adı veya kiracı kimliği kutusunu işaretleyin ve etki alanı adı (contosotest.onmicrosoft.com) veya kiracı kimliğinin GUID'si gibi kimlik doğrulama yetkilisi sağlayın.
SSMS 18.x veya üzerini çalıştırıyorsanız, 18.x veya üzeri otomatik olarak tanıdığından konuk kullanıcılar için AD etki alanı adı veya kiracı kimliği artık gerekli değildir.
Microsoft Entra business to business desteği
Microsoft Entra B2B senaryolarında konuk kullanıcı olarak desteklenen Microsoft Entra kullanıcıları (bkz . Azure B2B işbirliği Synapse SQL'e yalnızca geçerli Microsoft Entra Kimliği'nde oluşturulan ve belirli bir veritabanındaki Transact-SQL CREATE USER deyimi kullanılarak el ile eşlenen bir grubun üyelerinin bir parçası olarak bağlanabilir.
Örneğin, Azure AD'ye davet edilirse steve@gmail.com (Microsoft Entra etki alanı contosotest.onmicrosoft.comile), üyesini içeren steve@gmail.com Microsoft Entra Kimliği'nde gibi usergroup bir Microsoft Entra grubu oluşturulmalıdır.contosotest Daha sonra bu grup, Transact-SQL CREATE USER [usergroup] FROM EXTERNAL PROVIDER deyimi yürütülerek Microsoft Entra SQL yöneticisi veya Microsoft Entra DBO tarafından belirli bir veritabanı (myDatabase) için oluşturulmalıdır.
Veritabanı kullanıcısı oluşturulduktan sonra, kullanıcı steve@gmail.com SSMS kimlik doğrulama seçeneğini Active Directory – Universal with MFA supportkullanarak oturum açabilirMyDatabase.
Kullanıcı grubu varsayılan olarak yalnızca bağlanma iznine ve normal şekilde verilmesi gereken diğer veri erişimine sahiptir.
Konuk kullanıcı olarak, steve@gmail.com kutuyu işaretlemeli ve SSMS Bağlan ion Özelliği iletişim kutusuna AD etki alanı adını contosotest.onmicrosoft.com eklemelidir. AD etki alanı adı veya kiracı kimliği seçeneği yalnızca MFA ile Evrensel bağlantı seçenekleri için desteklenir, aksi takdirde gri olur.
Synapse SQL için Evrensel Kimlik Doğrulama sınırlamaları
- SSMS ve SqlPackage.exe, Active Directory Evrensel Kimlik Doğrulaması aracılığıyla MFA için şu anda etkinleştirilen tek araçlardır.
- SSMS sürüm 17.2, MFA ile Evrensel Kimlik Doğrulaması kullanarak çok kullanıcılı eşzamanlı erişimi destekler. Sürüm 17.0 ve 17.1, Evrensel Kimlik Doğrulaması kullanarak SSMS örneğinde oturum açmayı tek bir Microsoft Entra hesabıyla kısıtlamıştı. Başka bir Microsoft Entra hesabı olarak oturum açmak için başka bir SSMS örneği kullanmanız gerekir. (Bu kısıtlama Active Directory Evrensel Kimlik Doğrulaması ile sınırlıdır; Active Directory Parola Kimlik Doğrulaması, Active Directory Tümleşik Kimlik Doğrulaması veya SQL Server Kimlik Doğrulaması kullanarak farklı sunucularda oturum açabilirsiniz).
- SSMS, Nesne Gezgini, Sorgu Düzenleyicisi ve Sorgu Deposu görselleştirmesi için Active Directory Evrensel Kimlik Doğrulamasını destekler.
- SSMS sürüm 17.2, Veri Veritabanını Dışarı Aktarma/Ayıklama/Dağıtma için DacFx Sihirbazı desteği sağlar. Evrensel Kimlik Doğrulaması kullanılarak ilk kimlik doğrulaması iletişim kutusu aracılığıyla belirli bir kullanıcının kimliği doğrulandıktan sonra, DacFx Sihirbazı diğer tüm kimlik doğrulama yöntemlerinde olduğu gibi çalışır.
- SSMS Tablo Tasarım Aracı Evrensel Kimlik Doğrulamasını desteklemez.
- Active Directory Evrensel Kimlik Doğrulaması için SSMS'nin desteklenen bir sürümünü kullanmanız dışında ek yazılım gereksinimi yoktur.
- Evrensel kimlik doğrulaması için Active Directory Kimlik Doğrulama Kitaplığı (ADAL) sürümü, kullanıma sunulan en son ADAL.dll 3.13.9 sürümüne güncelleştirildi. Bkz . Active Directory Kimlik Doğrulama Kitaplığı 3.14.1.
Sonraki adımlar
Daha fazla bilgi için SQL Server Management Studio ile Synapse SQL'e Bağlan makalesine bakın.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin