Ověřování Microsoft Entra pro SQL Server
platí pro: SQL Server 2022 (16.x)
SQL Server 2022 (16.x) zavádí podporu ověřování s Microsoft Entra ID (dříve Azure Active Directory), na Windows a Linuxu v místním prostředí, a SQL Server na virtuálních počítačích s Windows na Azure.
Použijte MICROSOFT Entra ID se samostatnými instancemi SQL Serveru nebo skupinami dostupnosti AlwaysOn. Instance failover clusteru SQL Serveru v současné době nepodporují ověřování Microsoft Entra.
Přehled
K SQL Serveru se teď můžete připojit pomocí následujících metod ověřování Microsoft Entra:
- Výchozí ověřování
- Uživatelské jméno a heslo
- Integrovaný
- Univerzální s vícefaktorovým ověřováním
- Služební principál
- Spravovaná identita
- Přístupový token
Stávající režimy ověřování, ověřování SQL a ověřování systému Windows zůstávají beze změny.
Microsoft Entra ID je cloudová služba pro správu identit a přístupu v Azure. Id Microsoft Entra se koncepčně podobá službě Active Directory a poskytuje centralizované úložiště pro správu přístupu k prostředkům vaší organizace. Identity jsou objekty v MICROSOFT Entra ID, které představují uživatele, skupiny nebo aplikace. Můžou být přiřazená oprávnění prostřednictvím řízení přístupu na základě role a dají se použít k ověřování k prostředkům Azure. Ověřování Microsoft Entra je podporováno pro:
- Azure SQL Database
- Spravovaná instance Azure SQL
- SQL Server na virtuálních počítačích Azure s Windows
- Azure Synapse Analytics
- SQL Server
Další informace najdete v tématu Použití ověřování Microsoft Entra s Azure SQL a Konfigurace a správa ověřování Microsoft Entra pomocí Azure SQL.
Pokud je služba Windows Server Active Directory federovaná s ID Microsoft Entra, můžou se uživatelé ověřit s SQL Serverem pomocí svých přihlašovacích údajů systému Windows, a to buď jako přihlášení systému Windows, nebo přihlášení Microsoft Entra. I když Microsoft Entra ID nepodporuje všechny funkce AD, které jsou k dispozici ve službě Windows Server Active Directory, například služební účty nebo složitou síťovou doménovou architekturu. Existují další možnosti MICROSOFT Entra ID, jako je vícefaktorové ověřování, které není dostupné ve službě Active Directory. Porovnejte Microsoft Entra ID se službou Active Directory, abyste se dozvěděli více.
Připojení SQL Serveru k Azure pomocí Microsoft Entra ID
Aby SQL Server komunikovala s Azure, musí být SQL Server i hostitel s Windows nebo Linuxem, na kterém běží, zaregistrovaný ve službě Azure Arc. Pokud chcete povolit komunikaci SQL Serveru s Azure, musíte nainstalovat agenta Azure Arc a rozšíření Azure pro SQL Server.
Pokud chcete začít, přečtěte si téma Připojení SQL Serveru ke službě Azure Arc.
Poznámka
Pokud používáte SQL Server na virtuálním počítači Azure, nemusíte virtuální počítač registrovat ve službě Azure Arc, musíte ho místo toho zaregistrovat v rozšíření agenta SQL IaaS. Po registraci virtuálního počítače najdete další podrobnosti v tématu Povolení ověřování Azure AD pro SQL Server na virtuálních počítačích Azure.
Výchozí ověřování
Výchozí možnost ověřování s ID Microsoft Entra, která umožňuje ověřování prostřednictvím mechanismů bez hesla a neinteraktivních mechanismů, včetně spravovaných identit, sady Visual Studio, editoru Visual Studio Code, Azure CLI a dalších.
Uživatelské jméno a heslo
Umožňuje zadat uživatelské jméno a heslo pro klienta a ovladač. Metoda uživatelského jména a hesla je často zakázaná pro mnoho tenantů z bezpečnostních důvodů. I když jsou připojení zašifrovaná, doporučujeme se vyhnout použití uživatelského jména a hesla, pokud je to možné, protože vyžaduje odesílání hesel přes síť.
Integrovaný
Pomocí integrovaného ověřování systému Windows (IWA) poskytuje Microsoft Entra ID řešení pro organizace s lokální i cloudovou infrastrukturou. Místní domény služby Active Directory je možné synchronizovat s ID Microsoft Entra prostřednictvím federace, což umožňuje správu a řízení přístupu v rámci ID Microsoft Entra, zatímco ověřování uživatelů zůstává v místním prostředí. U IWA se přihlašovací údaje Windows uživatele ověřují v Active Directory a po úspěšné autentizaci se autentizační token uživatele z Microsoft Entra ID vrátí do SQL.
Univerzální s vícefaktorovým ověřováním
Toto je standardní interaktivní metoda s možností vícefaktorového ověřování pro účty Microsoft Entra. To funguje ve většině scénářů.
Služební principál
Služební identita je identita, kterou je možné vytvořit pro použití s automatizovanými nástroji, úlohami a aplikacemi. Pomocí metody ověřování instančního objektu se můžete připojit k instanci SQL Serveru pomocí ID klienta a tajného klíče identity instančního objektu.
Spravovaná identita
Spravované identity jsou speciální formy servisních identit. Existují dva typy spravovaných identit: přiřazené systémem a přiřazené uživatelem. Spravované identity přiřazené systémem jsou povolené přímo u prostředku Azure, zatímco spravované identity přiřazené uživatelem jsou samostatný prostředek, který je možné přiřadit k jednomu nebo více prostředkům Azure.
Poznámka
Aby bylo možné použít spravovanou identitu pro připojení k prostředku SQL prostřednictvím klientů grafického uživatelského rozhraní, jako je SSMS a ADS, musí mít počítač, na kterém běží klient Microsoft Entra, na kterém je uložený certifikát identity. Nejčastěji toho dosáhnete prostřednictvím virtuálního počítače Azure, protože identitu je možné snadno přiřadit k počítači prostřednictvím podokna portálu virtuálního počítače.
Pro nástroje, které používají knihovny identit Azure, jako je SQL Server Management Studio (SSMS), při připojování ke spravované identitě potřebujete použít identifikátor GUID pro přihlášení, jako je například abcd1234-abcd-1234-abcd-abcd1234abcd1234
. Další informace naleznete v části (ManagedIdentityCredential. Pokud uživatelské jméno nesprávně předáte, dojde k chybě, například:
ManagedIdentityCredential authentication unavailable. The requested identity has not been assigned to this resource.
Status: 400 (Bad Request)
Content:
{"error":"invalid_request","error_description":"Identity not found"}
Přístupový token
Někteří klienti bez grafického uživatelského rozhraní, jako například Invoke-sqlcmd, povolují poskytnutí přístupového tokenu. Rozsah nebo cílová skupina přístupového tokenu musí být https://database.windows.net/
.
Poznámky
- Ověřování Microsoft Entra podporuje pouze místní SQL Server 2022 (16.x) s podporovaným operačním systémem Windows nebo Linux nebo SQL Server 2022 na virtuálních počítačích s Windows Azure.
- K připojení SQL Serveru ke službě Azure Arc potřebuje účet Microsoft Entra následující oprávnění:
- Člen skupiny Připojení Azure stroje Onboarding nebo role Přispěvatel ve skupině prostředků.
- Člen role Správce prostředků Azure připojeného počítače ve skupině prostředků.
- Člen role Čtenář ve skupině zdrojů.
- Ověřování Microsoft Entra není podporováno pro instance clusteru převzetí služeb při selhání SQL Serveru.