Sdílet prostřednictvím

Použití vícefaktorového ověřování Microsoft Entra s využitím Synapse SQL (podpora SSMS pro MFA)

  • Článek

Synapse SQL podporuje připojení z aplikace SQL Server Management Studio (SSMS) pomocí univerzálního ověřování služby Active Directory.

Tento článek popisuje rozdíly mezi různými možnostmi ověřování a také omezeními souvisejícími s používáním univerzálního ověřování.

Stáhněte si nejnovější SSMS – na klientském počítači stáhněte nejnovější verzi aplikace SSMS ze služby Download SQL Server Management Studio (SSMS).

Pro všechny funkce probírané v tomto článku použijte alespoň červenec 2017 verze 17.2. Dialogové okno posledního připojení by mělo vypadat podobně jako na následujícím obrázku:

Snímek obrazovky ukazuje dialogové okno Připojit k serveru, kde můžete vybrat název serveru a možnost ověřování.

Pět možností ověřování

Univerzální ověřování služby Active Directory podporuje dvě neinteraktivní metody ověřování: – Active Directory - Password ověřování – Active Directory - Integrated ověřování

Existují i dva neinteraktivní modely ověřování, které je možné použít v mnoha různých aplikacích (ADO.NET, JDBC, ODC atd.). Tyto dvě metody nikdy nezpůsobí automaticky otevírané dialogová okna:

  • Active Directory - Password
  • Active Directory - Integrated

Interaktivní metoda podporuje také vícefaktorové ověřování Microsoft Entra (MFA):

  • Active Directory - Universal with MFA

Vícefaktorové ověřování Microsoft Entra pomáhá chránit přístup k datům a aplikacím a současně splňuje požadavky uživatelů na jednoduchý proces přihlašování. Poskytuje silné ověřování s celou řadou možností snadného ověření (telefonní hovor, textová zpráva, čipové karty s pin kódem nebo oznámením mobilní aplikace), což uživatelům umožňuje zvolit způsob, který preferují. Použití interaktivního vícefaktorového ověřování s Microsoft Entra může vést k zobrazení automaticky otevíraného okna pro ověření.

Popis vícefaktorového ověřování najdete v tématu vícefaktorové ověřování.

Parametr názvu domény nebo ID tenanta Microsoft Entra

Od aplikace SSMS verze 17 můžou uživatelé importovaní do aktuální služby Active Directory z jiných adresářů Azure Active Directory jako uživatelé typu host zadat název domény Microsoft Entra nebo ID tenanta, když se připojí.

Uživatelé typu host zahrnují uživatele pozvané z jiných disků Azure AD, účtů Microsoft, jako jsou outlook.com, hotmail.com, live.com nebo jiné účty, jako je gmail.com. Tyto informace umožňují službě Active Directory Universal s vícefaktorovým ověřováním identifikovat správnou ověřovací autoritu. Tato možnost se také vyžaduje pro podporu účtů Microsoft (MSA), jako jsou outlook.com, hotmail.com, live.com nebo účty jiných účtů než MSA.

Všichni tito uživatelé, kteří chtějí být ověřeni pomocí univerzálního ověřování, musí zadat název domény Microsoft Entra nebo ID tenanta. Tento parametr představuje aktuální ID domény nebo tenanta Microsoft Entra, se kterým je Azure Server propojený.

Pokud je například Azure Server přidružený k doméně contosotest.onmicrosoft.com Microsoft Entra, kde je uživatel joe@contosodev.onmicrosoft.com hostovaný jako importovaný uživatel z domény contosodev.onmicrosoft.comMicrosoft Entra , název domény vyžadovaný k ověření tohoto uživatele je contosotest.onmicrosoft.com.

Pokud je uživatel nativním uživatelem ID Microsoft Entra propojeného s Azure Serverem a nejedná se o účet MSA, nevyžaduje se název domény ani ID tenanta.

Pokud chcete zadat parametr (počínaje SSMS verze 17.2), v dialogovém okně Připojit k databázi vyplňte dialogové okno, vyberte Active Directory – Univerzální s ověřováním MFA , vyberte Možnosti, vyplňte pole Uživatelské jméno a pak vyberte kartu Vlastnosti připojení.

Zkontrolujte název domény AD nebo ID tenanta a zadejte ověřovací autoritu, například název domény (contosotest.onmicrosoft.com) nebo identifikátor GUID ID tenanta.

Snímek obrazovky znázorňující připojení k serveru na kartě Vlastnosti připojení se zadanými hodnotami

Pokud používáte SSMS 18.x nebo novější, název domény AD nebo ID tenanta už není pro uživatele typu host potřeba, protože 18.x nebo novější ho automaticky rozpozná.

mfa-tenant-ssms

Microsoft Entra business to business support

Uživatelé Microsoft Entra podporované pro scénáře Microsoft Entra B2B jako uživatelé typu host (viz Co je spolupráce Azure B2B se může připojit k Synapse SQL pouze jako součást členů skupiny vytvořené v aktuálním Microsoft Entra ID a namapované ručně pomocí příkazu Transact-SQL CREATE USER v dané databázi.

Pokud steve@gmail.com je například pozván do Azure AD contosotest (s doménou contosotest.onmicrosoft.comMicrosoft Entra), je třeba vytvořit skupinu Microsoft Entra, například usergroup musí být vytvořena v ID Microsoft Entra, které obsahuje člena steve@gmail.com . Pak musí být tato skupina vytvořena pro konkrétní databázi (tj. MyDatabase) správcem Microsoft Entra SQL nebo Microsoft Entra DBO spuštěním příkazu Transact-SQL CREATE USER [usergroup] FROM EXTERNAL PROVIDER .

Po vytvoření uživatele databáze se uživatel steve@gmail.com může přihlásit k MyDatabase použití možnosti Active Directory – Universal with MFA supportověřování SSMS .

Skupina uživatelů má ve výchozím nastavení pouze oprávnění pro připojení a veškerý další přístup k datům, který bude potřeba udělit běžným způsobem.

Jako uživatel steve@gmail.com typu host musí toto políčko zaškrtnout a přidat název contosotest.onmicrosoft.com domény AD v dialogovém okně Vlastnosti připojení SSMS. Možnost název domény ad nebo ID tenanta se podporuje jenom pro univerzální s možnostmi připojení MFA, jinak je neaktivní.

Omezení univerzálního ověřování pro Synapse SQL

  • SSMS a SqlPackage.exe jsou jedinými nástroji aktuálně povolenými vícefaktorovým ověřováním prostřednictvím univerzálního ověřování Active Directory.
  • SSMS verze 17.2 podporuje souběžný přístup s více uživateli pomocí univerzálního ověřování s MFA. Verze 17.0 a 17.1 omezila přihlášení pro instanci SSMS pomocí univerzálního ověřování na jeden účet Microsoft Entra. Pokud se chcete přihlásit jako jiný účet Microsoft Entra, musíte použít jinou instanci aplikace SSMS. (Toto omezení je omezené na univerzální ověřování služby Active Directory. Můžete se přihlásit k různým serverům pomocí ověřování hesel služby Active Directory, integrovaného ověřování služby Active Directory nebo ověřování SYSTÉMU SQL Server).
  • SSMS podporuje univerzální ověřování služby Active Directory pro vizualizaci Průzkumník objektů, Editor Power Query a úložiště dotazů.
  • SSMS verze 17.2 poskytuje podporu Průvodce DacFx pro databázi exportu, extrakce a nasazení dat. Jakmile se konkrétní uživatel ověří pomocí dialogového okna počátečního ověřování pomocí univerzálního ověřování, průvodce DacFx funguje stejně jako u všech ostatních metod ověřování.
  • Návrhář tabulky SSMS nepodporuje univerzální ověřování.
  • Pro univerzální ověřování služby Active Directory neexistují žádné další požadavky na software s tím rozdílem, že je nutné použít podporovanou verzi aplikace SSMS.
  • Verze ADAL (Active Directory Authentication Library) pro univerzální ověřování byla aktualizována na nejnovější verzi ADAL.dll 3.13.9, která je k dispozici. Viz Active Directory Authentication Library 3.14.1.

Další kroky

Další informace najdete v článku Připojení k Synapse SQL pomocí aplikace SQL Server Management Studio .