如何使用 Azure Active Directory 和 Kerberos 實作適用于 Azure SQL 受控執行個體 的 Windows 驗證

在 Azure SQL 受控執行個體上 Azure AD 主體的 Windows 驗證可讓客戶將現有的服務移至雲端,同時維持順暢的使用者體驗,並為安全性基礎結構現代化打下基礎。 若要對 Azure Active Directory (Azure AD) 主體啟用Windows 驗證,請將 Azure AD 租用戶變成獨立的 Kerberos 領域,並在客戶網域中建立連入信任。

此設定允許客戶網域中的使用者存取 Azure AD 租用戶中的資源。 但不允許 Azure AD 租用戶中的使用者存取客戶網域中的資源。

下圖概述如何使用 Azure AD 和 Kerberos 實作受控執行個體的 Windows 驗證:

驗證概觀:用戶端會將加密的 Kerberos 票證提交為受控實例驗證要求的一部分。受控實例會將加密的 Kerberos 票證提交至 Azure AD,該票證會交換給傳回受控實例的 Azure AD 權杖。受控實例會使用此權杖來驗證使用者。

Azure AD 如何提供 Kerberos 驗證

若要為 Azure AD 租用戶建立獨立的 Kerberos 領域,客戶需要在任何 Windows 伺服器上安裝 Azure AD 混合式驗證管理 PowerShell 模組,並執行 Cmdlet 在其雲端和 Active Directory 中建立 Azure AD Kerberos 物件。 這樣建立的信任可讓現有的 Windows 用戶端使用 Kerberos 存取 Azure AD。

Windows 10 21H1 和更新版本的用戶端已啟用互動式模式,不需要設定,互動式登入流程就能運作。 執行舊版 Windows 的用戶端可以設定為透過 Kerberos 金鑰發佈中心 (KDC) Proxy 伺服器來使用 Kerberos 驗證。

Azure AD 中的 Kerberos 驗證支援:

  • 傳統內部部署應用程式移至雲端,而不需要變更其基礎驗證配置。

  • 已啟用的用戶端上執行的應用程式直接使用 Azure AD 進行驗證。

Azure SQL 受控執行個體如何搭配 Azure AD 和 Kerberos 一起運作

客戶使用 Azure 入口網站,在每個受控執行個體上啟用系統指派的服務主體。 服務主體可讓受控執行個體使用者使用 Kerberos 通訊協定進行驗證。

下一步

深入了解在 Azure SQL 受控執行個體上為 Azure AD 主體啟用 Windows 驗證: