在 sqlcmd 中使用 Microsoft Entra ID 进行身份验证

适用于：SQL Server Azure SQL 数据库 Azure SQL 托管实例 Azure Synapse Analytics Analytics Platform System (PDW) Microsoft Fabric SQL 数据库

sqlcmd 支持各种 Microsoft Entra 身份验证模型，具体取决于所安装的版本。

备注

虽然 Microsoft Entra ID 是 Azure Active Directory (Azure AD) 的新名称，但为了防止中断现有环境，Azure AD 仍保留在一些硬编码的元素中，例如 UI 字段、连接提供程序、错误代码和 cmdlet。 在本文中，这两个名称可以互换。

有关 sqlcmd 版本之间差异的详细信息，请参阅 sqlcmd 实用工具。

sqlcmd (Go)

sqlcmd (Go) 支持更多 Microsoft Entra 身份验证模型，具体取决于 azidentity 包。 实现依赖于 go-sqlcmd 驱动程序中的 Microsoft Entra 连接器。

命令行参数

要使用 Microsoft Entra 身份验证，可以使用两个命令行开关之一。

-G 与 sqlcmd (ODBC) 中的使用情况（大部分）兼容。 如果提供了用户名和密码，则将使用 Microsoft Entra 密码验证进行身份验证。 如提供了用户名，则将使用 Microsoft Entra 交互式身份验证，该验证可能会显示 Web 浏览器。 如果没有提供用户名或密码，它将使用 DefaultAzureCredential，这样会尝试通过各种机制进行身份验证。

--authentication-method= 可用于指定以下身份验证类型之一。

ActiveDirectoryDefault

• 有关此模式使用的身份验证类型的概述，请参阅默认 Azure 凭据。
• 如果数据库自动化脚本旨在于本地开发环境和 Azure 中的生产部署中运行，请选择此方法。 在开发环境中，你可以使用客户端密码或 Azure CLI 登录名。 如果不从开发环境更改脚本，你可以在生产部署中使用托管标识或客户端密码。
• 设置环境变量 AZURE_TENANT_ID 和 AZURE_CLIENT_ID 后，DefaultAzureCredential 才能开始检查环境配置并查找以下其他环境变量之一，以进行身份验证：
  • 设置环境变量 AZURE_CLIENT_SECRET 会将 DefaultAzureCredential 配置为选择 ClientSecretCredential。
  • 如果未设置 AZURE_CLIENT_SECRET，设置环境变量 AZURE_CLIENT_CERTIFICATE_PATH 会将 DefaultAzureCredential 配置为选择 ClientCertificateCredential。
• 如果未设置 AZURE_CLIENT_SECRET 和 AZURE_CLIENT_CERTIFICATE_PATH，设置环境变量 AZURE_USERNAME 会将 DefaultAzureCredential 配置为选择 UsernamePasswordCredential。

ActiveDirectoryIntegrated

此方法目前还没有实现，将回退到 ActiveDirectoryDefault。

ActiveDirectoryPassword

• 此方法使用用户名和密码进行身份验证。 如果需要 MFA，则此方法不起作用。

• 可以使用常用的命令行开关或 SQLCMD 环境变量来提供用户名和密码。

• 如果没有使用用户的默认租户，请将 AZURE_TENANT_ID 环境变量设置为服务器的租户 ID。

ActiveDirectoryInteractive

此方法启动 Web 浏览器以对用户进行身份验证。

ActiveDirectoryManagedIdentity

在具有系统分配的托管标识或用户分配的托管标识的 Azure VM 上运行 sqlcmd (Go) 时，请使用此方法。 如果使用的是用户分配的托管标识，请将用户名设置为托管标识的客户端 ID。 如果使用的是系统分配的标识，请将用户名留空。

此示例演示如何使用服务分配的托管标识 (SAMI) 进行连接：

-S testsrv.database.windows.net -d Target_DB_or_DW --authentication-method ActiveDirectoryManagedIdentity

此示例演示如何通过添加用户分配的托管标识 (UAMI) 的客户端 ID 来连接用户分配的托管标识：

-S testsrv.database.windows.net -d Target_DB_or_DW --authentication-method ActiveDirectoryManagedIdentity -U <user-assigned-managed-identity-client-id>

ActiveDirectoryServicePrincipal

此方法将提供的用户名作为服务主体 ID 进行身份验证，并将密码作为服务主体的客户端密码。 以 <service principal id>@<tenant id> 格式提供用户名。 将 SQLCMDPASSWORD 变量设置为客户端密码。 如果使用证书而不是客户端密码，请将 AZURE_CLIENT_CERTIFICATE_PATH 环境变量设置为证书文件的路径。

Microsoft Entra 身份验证的环境变量

一些 Microsoft Entra 身份验证设置没有命令行输入，并且一些环境变量是由 sqlcmd (Go) 所用的 azidentity 包直接使用的。

可以设置这些环境变量，以配置 Microsoft Entra 身份验证的某些方面，并绕过默认行为。 除了上面列出的变量之外，还有下面一些特定于 sqlcmd (Go) 的变量，适用于多种方法。

SQLCMDCLIENTID

将此环境变量设置为 Microsoft Entra 中注册的应用程序标识符，该标识符被授权对 Azure SQL 数据库进行身份验证。 适用于 ActiveDirectoryInteractive 和 ActiveDirectoryPassword 方法。

sqlcmd (ODBC)

连接到 Azure SQL 数据库或 Azure Synapse Analytics 时，客户端将通过 sqlcmd (ODBC) 使用 -G 选项指定该用户使用 Microsoft Entra 身份验证来进行身份验证。 此选项设置 sqlcmd 脚本变量 SQLCMDUSEAAD=true。

• -G 选项至少需要 sqlcmd 版本 13.1。 Microsoft Entra 交互式身份验证需要 sqlcmd (ODBC) 版本 15.0.1000.34 及更高版本，以及 ODBC 版本 17.2 及更高版本。

• Microsoft Entra 集成身份验证需要 Microsoft ODBC Driver 17 for SQL Server 版本 17.6.1 及更高版本，以及正确配置的 Kerberos 环境。

• -G 选项仅适用于 Azure SQL 数据库和 Azure Synapse Analytics。

• Linux 或 macOS 目前不支持 Microsoft Entra 交互式身份验证。

若要确定你的版本，请执行 sqlcmd "-?"。 有关详细信息，请参阅使用 Azure Active Directory 身份验证连接到 SQL 数据库或 Azure Synapse Analytics。 不支持同时使用 -A 选项和 -G 选项。

Microsoft Entra 用户名和密码

如果要使用 Microsoft Entra 用户名和密码，可以提供 -G 选项，也可以通过提供 -U 选项和 -P 选项来使用用户名和密码。

sqlcmd -S testsrv.database.windows.net -d Target_DB_or_DW -U bob@contoso.com -P MyAzureADPassword -G

-G 参数在后端生成以下连接字符串：

SERVER = Target_DB_or_DW.testsrv.database.windows.net;UID=bob@contoso.com;PWD=MyAzureADPassword;AUTHENTICATION=ActiveDirectoryPassword;

Microsoft Entra 集成身份验证

要进行 Microsoft Entra 集成身份验证，请提供 -G 选项而无需用户名或密码。

sqlcmd -S Target_DB_or_DW.testsrv.database.windows.net -G

该命令会在后端生成以下连接字符串：

SERVER = Target_DB_or_DW.testsrv.database.windows.net;Authentication=ActiveDirectoryIntegrated;Trusted_Connection=NO;

备注

-E 选项 (Trusted_Connection) 不能与 -G 选项一起使用。

Microsoft Entra 交互式身份验证

使用面向 Azure SQL 数据库和 Azure Synapse Analytics 的 Microsoft Entra 交互式身份验证，可以使用支持多重身份验证的交互式方法。 有关详细信息，请参阅 Active Directory 交互式身份验证。

若要启用交互式身份验证，请仅为 -G 选项提供用户名 (-U)，而不提供密码。

下面的示例使用 Microsoft Entra 交互模式导出数据，该数据指示用户名，其中的用户代表 Microsoft Entra 帐户。 这与上一节“Microsoft Entra 用户名和密码”中使用的示例相同。

交互模式需要手动输入密码，或者对于启用了多重身份验证的帐户，请完成配置的 MFA 身份验证方法。

sqlcmd -S testsrv.database.windows.net -d Target_DB_or_DW -G -U alice@aadtest.onmicrosoft.com

上一个命令将在后端生成以下连接字符串：

SERVER = Target_DB_or_DW.testsrv.database.windows.net;UID=alice@aadtest.onmicrosoft.com;AUTHENTICATION=ActiveDirectoryInteractive

如果 Microsoft Entra 用户是使用 Windows 帐户的域联合用户，则命令行中所需的用户名将包含其域帐户（例如 joe@contoso.com）：

sqlcmd -S testsrv.database.windows.net -d Target_DB_or_DW -G -U joe@contoso.com

如果来宾用户存在于特定的 Microsoft Entra 租户中，并且属于 Azure SQL 数据库中存在的具有执行 sqlcmd 命令的数据库权限的组，则使用其来宾用户别名（例如 keith0@adventureworks.com）。

重要

将 -G 和 -U 选项与 sqlcmd (ODBC) 结合使用时，存在以下已知问题：将 -U 选项放在 -G 选项前面可能会导致身份验证失败。 始终先使用 -G 选项，再后跟 -U 选项。

相关内容

• sqlcmd 实用工具
• sqlcmd - 启动实用工具
• sqlcmd - 使用实用工具