Ověřování pomocí ID Microsoft Entra v sqlcmd

platí pro:SQL ServerAzure SQL DatabaseAzure SQL Managed InstanceAzure Synapse AnalyticsAnalytics Platform System (PDW)databáze SQL v Microsoft Fabric

sqlcmd podporuje různé modely ověřování Microsoft Entra podle toho, jakou verzi jste nainstalovali.

Poznámka

I když je ID Microsoft Entra novým názvem proAzure Active Directory (Azure AD), aby se zabránilo narušení existujících prostředí, Azure AD nadále zůstává ve některých pevně zakódovaných prvcích, jako jsou pole uživatelského rozhraní, zprostředkovatelé připojení, kódy chyb a rutiny. V tomto článku jsou tyto dva názvy zaměnitelné.

Další informace o rozdílu mezi verzemi sqlcmd naleznete v tématu nástroj sqlcmd.

sqlcmd (Go)

sqlcmd (Go) podporuje více modelů ověřování Microsoft Entra, na základě balíčku azidentity. Implementace spoléhá na konektor Microsoft Entra v ovladači go-sqlcmd.

Argumenty příkazového řádku

Pokud chcete použít ověřování Microsoft Entra, můžete použít jeden ze dvou přepínačů příkazového řádku.

-G je (většinou) kompatibilní s jeho použitím v sqlcmd (ODBC). Pokud je zadané uživatelské jméno a heslo, ověří se pomocí ověřování hesla Microsoft Entra. Pokud je zadané uživatelské jméno, používá interaktivní ověřování Microsoft Entra, které může zobrazit webový prohlížeč. Pokud není zadané žádné uživatelské jméno nebo heslo, použije DefaultAzureCredential, který se pokusí ověřit prostřednictvím různých mechanismů.

--authentication-method= lze použít k určení jednoho z následujících typů ověřování.

Active Directory Výchozí

• Přehled typů ověřování, které tento režim používá, najdete v tématu Výchozí přihlašovací údaje Azure.
• Tuto metodu zvolte, pokud jsou skripty pro automatizaci databáze určené ke spuštění v místním vývojovém prostředí i v produkčním nasazení v Azure. Ve vývojovém prostředí můžete použít tajný klíč klienta nebo přihlášení k Azure CLI. Beze změny skriptu z vývojového prostředí můžete ve svém produkčním nasazení použít spravovanou identitu nebo tajný klíč klienta.
• Nastavení proměnných prostředí AZURE_TENANT_ID a AZURE_CLIENT_ID jsou nezbytné k tomu, aby DefaultAzureCredential začal kontrolovat konfiguraci prostředí a hledat jednu z následujících dalších proměnných prostředí, aby bylo možné provést ověření:
  • Nastavení proměnné prostředí AZURE_CLIENT_SECRET nakonfiguruje DefaultAzureCredential tak, aby zvolil ClientSecretCredential.
  • Nastavením proměnné prostředí AZURE_CLIENT_CERTIFICATE_PATH se nakonfiguruje DefaultAzureCredential, aby si zvolil ClientCertificateCredential, pokud AZURE_CLIENT_SECRET není nastaveno.
• Nastavení proměnné prostředí AZURE_USERNAME konfiguruje DefaultAzureCredential tak, aby zvolil UsernamePasswordCredential, pokud nejsou nastavené AZURE_CLIENT_SECRET a AZURE_CLIENT_CERTIFICATE_PATH.

ActiveDirectoryIntegrated

Tato metoda není aktuálně implementována a vrátí se do ActiveDirectoryDefault.

Heslo pro Active Directory

• Tato metoda se ověřuje pomocí uživatelského jména a hesla. Pokud je vyžadováno vícefaktorové ověřování, nebude to fungovat.

• Uživatelské jméno a heslo zadáte pomocí obvyklých přepínačů příkazového řádku nebo SQLCMD proměnných prostředí.

• Nastavte proměnnou prostředí AZURE_TENANT_ID na ID tenanta na serveru, pokud nepoužíváte výchozího tenanta pro uživatele.

ActiveDirectoryInteractive

Tato metoda spustí webový prohlížeč pro ověření uživatele.

ActiveDirectoryManagedIdentity

Tuto metodu použijte při spuštění sqlcmd (Go) na virtuálním počítači Azure, který má spravovanou identitu přiřazenou systémem nebo spravovanou identitu přiřazenou uživatelem. Pokud používáte spravovanou identitu přiřazenou uživatelem, nastavte uživatelské jméno na ID klienta spravované identity. Pokud používáte identitu přiřazenou systémem, nechte uživatelské jméno prázdné.

Tento příklad ukazuje, jak se připojit pomocí spravované identity přiřazené službou (SAMI):

-S testsrv.database.windows.net -d Target_DB_or_DW --authentication-method ActiveDirectoryManagedIdentity

Tento příklad ukazuje, jak se připojit pomocí spravované identity přiřazené uživatelem (UAMI) přidáním ID klienta spravované identity přiřazené uživatelem:

-S testsrv.database.windows.net -d Target_DB_or_DW --authentication-method ActiveDirectoryManagedIdentity -U <user-assigned-managed-identity-client-id>

ActiveDirectoryServicePrincipal

Tato metoda ověří zadané uživatelské jméno jako ID instančního objektu a heslo jako tajný klíč klienta pro instanční objekt. Zadejte uživatelské jméno ve formuláři <service principal id>@<tenant id>. Nastavte proměnnou SQLCMDPASSWORD na tajný klíč klienta. Pokud používáte certifikát místo tajného klíče klienta, nastavte AZURE_CLIENT_CERTIFICATE_PATH proměnnou prostředí na cestu k souboru certifikátu.

Proměnné prostředí pro ověřování Microsoft Entra

Některá nastavení ověřování v Microsoft Entra nemají vstupy pro příkazový řádek a některé proměnné prostředí jsou přímo využívány balíčkem azidentity, který používá sqlcmd (Go).

Tyto systémové proměnné prostředí lze nastavit k nakonfigurování některých aspektů ověřování Microsoft Entra a k obejití výchozího chování. Kromě dříve uvedených proměnných jsou následující specifické pro sqlcmd (Go) a platí pro více metod.

SQLCMDCLIENTID

Nastavte tuto proměnnou prostředí na identifikátor aplikace zaregistrované v Microsoft Entra, který má oprávnění k ověření ve službě Azure SQL Database. Platí pro metody ActiveDirectoryInteractive a ActiveDirectoryPassword.

Možnost -G používá sqlcmd (ODBC) při připojování ke službě Azure SQL Database nebo Azure Synapse Analytics k určení ověření uživatele pomocí ověřování Microsoft Entra. Tato možnost nastaví sqlcmd skriptovací proměnnou SQLCMDUSEAAD=true.

• Možnost -G vyžaduje alespoň sqlcmd ve verzi 13.1. Interaktivní ověřování Microsoft Entra vyžaduje sqlcmd (ODBC) verze 15.0.1000.34 a novější verze, stejně jako ODBC verze 17.2 a novější verze.

• Integrované ověřování Microsoft Entra vyžaduje ovladač Microsoft ODBC 17 pro SQL Server verze 17.6.1 a novější verze a správně nakonfigurované prostředí Kerberos.

• Možnost -G platí jenom pro Azure SQL Database a Azure Synapse Analytics.

• Interaktivní ověřování Microsoft Entra není v současné době podporováno v Linuxu nebo macOS.

Pokud chcete zjistit verzi, spusťte sqlcmd "-?". Další informace najdete v tématu Připojení ke službě SQL Database nebo Azure Synapse Analytics pomocí ověřování Azure Active Directory. Možnost -A není u možnosti -G podporovaná.

Uživatelské jméno a heslo Microsoft Entra

Pokud chcete použít uživatelské jméno a heslo Microsoft Entra, můžete zadat možnost -G s uživatelským jménem a heslem pomocí možností -U a -P.

sqlcmd -S testsrv.database.windows.net -d Target_DB_or_DW -U bob@contoso.com -P MyAzureADPassword -G

Parametr -G vygeneruje v back-endu následující připojovací řetězec:

SERVER = Target_DB_or_DW.testsrv.database.windows.net;UID=bob@contoso.com;PWD=MyAzureADPassword;AUTHENTICATION=ActiveDirectoryPassword;

Integrované ověřování Microsoft Entra

Pro integrované ověřování Microsoft Entra zadejte možnost -G bez uživatelského jména nebo hesla.

sqlcmd -S Target_DB_or_DW.testsrv.database.windows.net -G

Tento příkaz vygeneruje v back-endu následující připojovací řetězec:

SERVER = Target_DB_or_DW.testsrv.database.windows.net;Authentication=ActiveDirectoryIntegrated;Trusted_Connection=NO;

Poznámka

Možnost -E (Trusted_Connection) nelze použít spolu s možností -G.

Interaktivní ověřování Microsoft Entra

Interaktivní ověřování Microsoft Entra pro Azure SQL Database a Azure Synapse Analytics umožňuje používat interaktivní metodu podporující vícefaktorové ověřování. Další informace naleznete v části Interaktivní ověřování služby Active Directory.

Pokud chcete povolit interaktivní ověřování, zadejte možnost -G pouze s uživatelským jménem (-U) bez hesla.

Následující příklad exportuje data pomocí interaktivního režimu Microsoft Entra, což označuje uživatelské jméno, kde uživatel představuje účet Microsoft Entra. Toto je stejný příklad jako v předchozí části, uživatelské jméno a heslo Microsoft Entra.

Interaktivní režim vyžaduje ruční zadání hesla nebo pro účty s povoleným vícefaktorovým ověřováním dokončete nakonfigurovanou metodu ověřování MFA.

sqlcmd -S testsrv.database.windows.net -d Target_DB_or_DW -G -U alice@aadtest.onmicrosoft.com

Předchozí příkaz vygeneruje v back-endu následující připojovací řetězec:

SERVER = Target_DB_or_DW.testsrv.database.windows.net;UID=alice@aadtest.onmicrosoft.com;AUTHENTICATION=ActiveDirectoryInteractive

V případě, že uživatel Microsoft Entra je federovaný uživatel domény pomocí účtu Windows, uživatelské jméno požadované v příkazovém řádku obsahuje svůj účet domény (například joe@contoso.com):

sqlcmd -S testsrv.database.windows.net -d Target_DB_or_DW -G -U joe@contoso.com

Pokud uživatelé typu host existují v konkrétním tenantovi Microsoft Entra a jsou součástí skupiny, která existuje ve službě Azure SQL Database s oprávněními k provedení příkazu sqlcmd, použije se jejich alias uživatele typu host (například keith0@adventureworks.com).

Důležitý

Při použití možnosti -G a -U s sqlcmd (ODBC) existuje známý problém, kdy vložení -U možnosti před možností -G může způsobit selhání ověřování. Vždy začněte s možností -G následovanou možností -U.

Související obsah

• nástroj sqlcmd
• sqlcmd – spuštění nástroje
• sqlcmd – použití nástroje