Použití vícefaktorového ověřování Microsoft Entra s využitím Synapse SQL (podpora SSMS pro MFA)
Synapse SQL podporuje připojení z aplikace SQL Server Management Studio (SSMS) pomocí univerzálního ověřování služby Active Directory.
Tento článek popisuje rozdíly mezi různými možnostmi ověřování a také omezeními souvisejícími s používáním univerzálního ověřování.
Stáhněte si nejnovější SSMS – na klientském počítači stáhněte nejnovější verzi aplikace SSMS ze služby Download SQL Server Management Studio (SSMS).
Pro všechny funkce probírané v tomto článku použijte alespoň červenec 2017 verze 17.2. Dialogové okno posledního připojení by mělo vypadat podobně jako na následujícím obrázku:
Pět možností ověřování
Univerzální ověřování služby Active Directory podporuje dvě neinteraktivní metody ověřování: – Active Directory - Password
ověřování – Active Directory - Integrated
ověřování
Existují i dva neinteraktivní modely ověřování, které je možné použít v mnoha různých aplikacích (ADO.NET, JDBC, ODC atd.). Tyto dvě metody nikdy nezpůsobí automaticky otevírané dialogová okna:
Active Directory - Password
Active Directory - Integrated
Interaktivní metoda podporuje také vícefaktorové ověřování Microsoft Entra (MFA):
Active Directory - Universal with MFA
Vícefaktorové ověřování Microsoft Entra pomáhá chránit přístup k datům a aplikacím a současně splňuje požadavky uživatelů na jednoduchý proces přihlašování. Poskytuje silné ověřování s celou řadou možností snadného ověření (telefonní hovor, textová zpráva, čipové karty s pin kódem nebo oznámením mobilní aplikace), což uživatelům umožňuje zvolit způsob, který preferují. Použití interaktivního vícefaktorového ověřování s Microsoft Entra může vést k zobrazení automaticky otevíraného okna pro ověření.
Popis vícefaktorového ověřování najdete v tématu vícefaktorové ověřování.
Parametr názvu domény nebo ID tenanta Microsoft Entra
Od aplikace SSMS verze 17 můžou uživatelé importovaní do aktuální služby Active Directory z jiných adresářů Azure Active Directory jako uživatelé typu host zadat název domény Microsoft Entra nebo ID tenanta, když se připojí.
Uživatelé typu host zahrnují uživatele pozvané z jiných disků Azure AD, účtů Microsoft, jako jsou outlook.com, hotmail.com, live.com nebo jiné účty, jako je gmail.com. Tyto informace umožňují službě Active Directory Universal s vícefaktorovým ověřováním identifikovat správnou ověřovací autoritu. Tato možnost se také vyžaduje pro podporu účtů Microsoft (MSA), jako jsou outlook.com, hotmail.com, live.com nebo účty jiných účtů než MSA.
Všichni tito uživatelé, kteří chtějí být ověřeni pomocí univerzálního ověřování, musí zadat název domény Microsoft Entra nebo ID tenanta. Tento parametr představuje aktuální ID domény nebo tenanta Microsoft Entra, se kterým je Azure Server propojený.
Pokud je například Azure Server přidružený k doméně contosotest.onmicrosoft.com
Microsoft Entra, kde je uživatel joe@contosodev.onmicrosoft.com
hostovaný jako importovaný uživatel z domény contosodev.onmicrosoft.com
Microsoft Entra , název domény vyžadovaný k ověření tohoto uživatele je contosotest.onmicrosoft.com
.
Pokud je uživatel nativním uživatelem ID Microsoft Entra propojeného s Azure Serverem a nejedná se o účet MSA, nevyžaduje se název domény ani ID tenanta.
Pokud chcete zadat parametr (počínaje SSMS verze 17.2), v dialogovém okně Připojit k databázi vyplňte dialogové okno, vyberte Active Directory – Univerzální s ověřováním MFA , vyberte Možnosti, vyplňte pole Uživatelské jméno a pak vyberte kartu Vlastnosti připojení.
Zkontrolujte název domény AD nebo ID tenanta a zadejte ověřovací autoritu, například název domény (contosotest.onmicrosoft.com) nebo identifikátor GUID ID tenanta.
Pokud používáte SSMS 18.x nebo novější, název domény AD nebo ID tenanta už není pro uživatele typu host potřeba, protože 18.x nebo novější ho automaticky rozpozná.
Microsoft Entra business to business support
Uživatelé Microsoft Entra podporované pro scénáře Microsoft Entra B2B jako uživatelé typu host (viz Co je spolupráce Azure B2B se může připojit k Synapse SQL pouze jako součást členů skupiny vytvořené v aktuálním Microsoft Entra ID a namapované ručně pomocí příkazu Transact-SQL CREATE USER
v dané databázi.
Pokud steve@gmail.com
je například pozván do Azure AD contosotest
(s doménou contosotest.onmicrosoft.com
Microsoft Entra), je třeba vytvořit skupinu Microsoft Entra, například usergroup
musí být vytvořena v ID Microsoft Entra, které obsahuje člena steve@gmail.com
. Pak musí být tato skupina vytvořena pro konkrétní databázi (tj. MyDatabase) správcem Microsoft Entra SQL nebo Microsoft Entra DBO spuštěním příkazu Transact-SQL CREATE USER [usergroup] FROM EXTERNAL PROVIDER
.
Po vytvoření uživatele databáze se uživatel steve@gmail.com
může přihlásit k MyDatabase
použití možnosti Active Directory – Universal with MFA support
ověřování SSMS .
Skupina uživatelů má ve výchozím nastavení pouze oprávnění pro připojení a veškerý další přístup k datům, který bude potřeba udělit běžným způsobem.
Jako uživatel steve@gmail.com
typu host musí toto políčko zaškrtnout a přidat název contosotest.onmicrosoft.com
domény AD v dialogovém okně Vlastnosti připojení SSMS. Možnost název domény ad nebo ID tenanta se podporuje jenom pro univerzální s možnostmi připojení MFA, jinak je neaktivní.
Omezení univerzálního ověřování pro Synapse SQL
- SSMS a SqlPackage.exe jsou jedinými nástroji aktuálně povolenými vícefaktorovým ověřováním prostřednictvím univerzálního ověřování Active Directory.
- SSMS verze 17.2 podporuje souběžný přístup s více uživateli pomocí univerzálního ověřování s MFA. Verze 17.0 a 17.1 omezila přihlášení pro instanci SSMS pomocí univerzálního ověřování na jeden účet Microsoft Entra. Pokud se chcete přihlásit jako jiný účet Microsoft Entra, musíte použít jinou instanci aplikace SSMS. (Toto omezení je omezené na univerzální ověřování služby Active Directory. Můžete se přihlásit k různým serverům pomocí ověřování hesel služby Active Directory, integrovaného ověřování služby Active Directory nebo ověřování SYSTÉMU SQL Server).
- SSMS podporuje univerzální ověřování služby Active Directory pro vizualizaci Průzkumník objektů, Editor Power Query a úložiště dotazů.
- SSMS verze 17.2 poskytuje podporu Průvodce DacFx pro databázi exportu, extrakce a nasazení dat. Jakmile se konkrétní uživatel ověří pomocí dialogového okna počátečního ověřování pomocí univerzálního ověřování, průvodce DacFx funguje stejně jako u všech ostatních metod ověřování.
- Návrhář tabulky SSMS nepodporuje univerzální ověřování.
- Pro univerzální ověřování služby Active Directory neexistují žádné další požadavky na software s tím rozdílem, že je nutné použít podporovanou verzi aplikace SSMS.
- Verze ADAL (Active Directory Authentication Library) pro univerzální ověřování byla aktualizována na nejnovější verzi ADAL.dll 3.13.9, která je k dispozici. Viz Active Directory Authentication Library 3.14.1.
Další kroky
Další informace najdete v článku Připojení k Synapse SQL pomocí aplikace SQL Server Management Studio .