Propojený server pro SQL Server s ověřováním Microsoft Entra

platí pro: SQL Server 2022 (16.x)

Odkazované servery je nyní možné nakonfigurovat pomocí ověřování s Microsoft Entra ID (dříve Azure Active Directory) a podporují dva mechanismy pro poskytování přihlašovacích údajů.

• Heslo
• Přístupový token

Tento článek předpokládá, že existují dvě instance SQL Serveru (S1 a S2). Oba jsou nakonfigurované tak, aby podporovaly ověřování Microsoft Entra a důvěřují vzájemnému certifikátu SSL/TLS. Příklady v tomto článku se spouští na serveru S1 k vytvoření propojeného serveru se serverem S2.

Požadavky

• Plně funkční ověřování Microsoft Entra pro SQL Server. Další informace naleznete v části ověřování Microsoft Entra pro SQL Server a Návod: Nastavení ověřování Microsoft Entra pro SQL Server.
• SQL Server Management Studio (SSMS) verze 18.0 nebo vyšší. Nebo si stáhněte nejnovější Azure Data Studio.

Poznámka

Název subjektu certifikátu SSL/TLS používaného S2 musí odpovídat názvu serveru zadanému v atributu provstr. Mělo by to být plně kvalifikovaný název domény (plně kvalifikovaný název domény) nebo název hostitele S2.

Konfigurace odkazovaného serveru pro ověřování Microsoft Entra

Projdeme konfiguraci propojených serverů pomocí ověřování heslem a pomocí tajného klíče aplikace Azure nebo přístupového tokenu.

Konfigurace propojeného serveru pomocí ověřování heslem

Poznámka

I když se ID Microsoft Entra stává novým názvem proAzure Active Directory (Azure AD) za účelem prevence narušení existujících prostředí, Azure AD stále zůstává součástí některých pevně zakódovaných prvků, jako jsou položky UI, zprostředkovatelé připojení, kódy chyb a příkazy cmdlet. V tomto článku jsou tyto dva názvy zaměnitelné.

Pro ověřování heslem bude použití Authentication=ActiveDirectoryPassword v řetězci poskytovatele signalizovat zprostředkovateli, aby odkazovaný server používal ověřování hesla Microsoft Entra. Aby bylo možné namapovat každé přihlášení na S1 na přihlašovací jméno Microsoft Entra na S2, musí se vytvořit propojené přihlášení k serveru .

1. V nástroji SSMS se připojte k S1 a rozbalte Server Objects v okně Object Explorer.

2. Klikněte pravým tlačítkem na propojené servery a vyberte Nový propojený server.

3. Vyplňte podrobnosti o propojeném serveru:

   • odkazovaný server: S2 nebo použijte název propojeného serveru.
   • Typ serveru: Other data source.
   • Poskytovatel: Microsoft OLE DB Driver for SQL Server.
   • Název produktu: ponechejte prázdný.
   • zdroj dat: ponechejte prázdný.
   • Identifikátor poskytovatele: Server=<fqdn of S2>;Authentication=ActiveDirectoryPassword.
   • katalog: nechejte prázdné.

   

4. Vyberte kartu Zabezpečení.

5. Vyberte Přidat.

   • místní přihlašovací: zadejte přihlašovací jméno použité pro připojení k S1.
   • Vydávat se za: Ponechte nezaškrtnuté.
   • vzdálený uživatel: uživatelské jméno uživatele Microsoft Entra použité pro připojení k S2 ve formátu user@contoso.com.
   • vzdálené heslo: heslo uživatele Microsoft Entra.
   • Pro přihlášení, které není definováno v seznamu výše, připojení budou: Not be made

6. Vyberte OK.

   

Konfigurace propojeného serveru pomocí ověřování přístupového tokenu

Pro ověřování přístupového tokenu se propojený server vytvoří s AccessToken=%s v řetězci zprostředkovatele . Propojené přihlášení k serveru je vytvořeno tak, aby mapovalo každé přihlášení v S1 na aplikaci Microsoft Entra , která získala přihlašovací oprávnění k S2. Aplikace musí mít přiřazený tajný klíč, který bude používat S1 k vygenerování přístupového tokenu. Tajný kód je možné vytvořit tak, že přejdete na web Azure Portal>registrace>registrace aplikací microsoft Entra>YourApplication>Certifikáty & tajných kódů>nový tajný klíč klienta.

1. V nástroji SSMS se připojte k S1 a rozbalte objekty serveru v okně Průzkumník objektů.

2. Klikněte pravým tlačítkem na Propojené servery a vyberte Nový propojený server.

3. Vyplňte podrobnosti o propojeném serveru:

   • odkazovaný server: S2 nebo použijte název propojeného serveru.
   • Typ serveru: Other data source.
   • poskytovatele: Microsoft OLE DB Driver for SQL Server.
   • Název produktu: ponechejte prázdný.
   • zdroj dat: ponechejte prázdný.
   • Zprostředkovatelův řetězec: Server=<fqdn of S2>;AccessToken=%s.
   • Katalog: ponechejte prázdné.

   

4. Vyberte kartu Zabezpečení.

5. Vyberte Přidat.

   • místní přihlašovací: zadejte přihlašovací jméno použité pro připojení k S1.
   • Impersonate: ponechte nezaškrtnuto.
   • Vzdálený uživatel : ID klienta aplikace Microsoft Entra použité pro připojení k S2. ID aplikace (klient) najdete v nabídce přehledu vaší aplikace Microsoft Entra.
   • vzdáleného hesla: tajné ID získané z vytvoření nového tajného klientského klíče pro aplikaci.
   • Pro přihlášení, které není definováno v seznamu výše, připojení budou: Not be made

6. Vyberte OK.

Viz také

• Připojení SQL Serveru ke službě Azure Arc
• ověřování Microsoft Entra pro SQL Server
• Návod: Nastavení ověřování Microsoft Entra pro SQL Server