Aktivér databasegodkendelse ved hjælp af Microsoft Entra-id

  • 7 minutter

To komponenter i hver sikker database er godkendelse og godkendelse.

Godkendelse er processen til at bevise, at brugeren er den, brugeren hævder at være. En bruger opretter forbindelse til en database ved hjælp af en brugerkonto. Når en bruger forsøger at oprette forbindelse til en database, angiver vedkommende en brugerkonto og godkendelsesoplysninger. Brugeren godkendes ved hjælp af en af følgende to godkendelsesmetoder:

  • SQL-godkendelse – Med denne godkendelsesmetode sender brugeren et brugerkontonavn og en tilknyttet adgangskode for at oprette en forbindelse. Denne adgangskode gemmes i masterdatabasen for brugerkonti, der er knyttet til et logon eller gemt i den database, der indeholder de brugerkonti, der ikke er knyttet til et logon.
  • Microsoft Entra-godkendelse – Med denne godkendelsesmetode sender brugeren et brugerkontonavn og anmoder om, at tjenesten bruger de legitimationsoplysninger, der er gemt i Microsoft Entra ID.

Du kan oprette brugerkonti i masterdatabasen og tildele tilladelser i alle databaser på serveren, eller du kan oprette dem i selve databasen (kaldet indeholdte databasebrugere). Når du bruger indeholdte databaser, får du forbedret mobilitet og skalerbarhed.

Logon og brugere: I Azure SQL kan en brugerkonto i en database knyttes til et logon, der er gemt i masterdatabasen, eller det kan være et brugernavn, der er gemt i en individuel database.

  • Et logon er en individuel konto i masterdatabasen, som en brugerkonto i en eller flere databaser kan sammenkædes med. Med et logon gemmes legitimationsoplysningerne for brugerkontoen sammen med logon.
  • En brugerkonto er en individuel konto i en hvilken som helst database, der kan være, men som ikke behøver at være knyttet til et logon. Med en brugerkonto, der ikke er knyttet til et logon, gemmes legitimationsoplysningerne sammen med brugerkontoen.

Autorisation til at få adgang til data og udføre forskellige handlinger administreres ved hjælp af databaseroller og eksplicitte tilladelser. Autorisation refererer til de tilladelser, der er tildelt en bruger, og bestemmer, hvad brugeren har tilladelse til at gøre. Autorisation styres af din brugerkontos databaserollemedlemskaber og tilladelser på objektniveau. Som bedste praksis skal du give brugerne de mindst nødvendige rettigheder. Som bedste praksis skal dit program bruge en dedikeret konto til godkendelse. På denne måde kan du begrænse de tilladelser, der er tildelt programmet, og reducere risikoen for skadelig aktivitet, hvis programkoden er sårbar over for et SQL-injektionsangreb. Den anbefalede fremgangsmåde er at oprette en indeholdt databasebruger, som gør det muligt for din app at godkende direkte i databasen.

Eksisterende logon og brugerkonti efter oprettelse af en ny database

Når du installerer Azure SQL første gang, kan du angive et logonnavn og en adgangskode til en særlig type administrativ logon, Server-administratoren. Følgende konfiguration af logon og brugere i master- og brugerdatabaserne sker under udrulningen:

  • Der oprettes et SQL-logon med administrative rettigheder ved hjælp af det angivne logonnavn. Et logon er en individuel konto til at logge på SQL Database, SQL Managed Instance og Azure Synapse.
  • Dette logon tildeles fulde administrative tilladelser til alle databaser som en serverniveauprincipal. Logon har alle tilgængelige tilladelser og kan ikke begrænses. I en SQL Managed Instance føjes dette logon til faste serverrolle sysadmin (denne rolle findes ikke i Azure SQL Database).
  • Når denne konto logger på en database, matches de med den særlige brugerkonto dbo (brugerkonto, som findes i hver brugerdatabase. Den dbo- bruger har alle databasetilladelser i databasen og er medlem af rollen db_owner fast database.

Hvis du vil identificere den serveradministrators konto for en logisk server, skal du åbne Azure Portal og navigere til fanen egenskaber for i din server eller administrerede forekomst.

Navnet på den Server-administrator konto kan ikke ændres, når den er oprettet. Hvis du vil nulstille adgangskoden for serveradministratoren, skal du gå til Azure Portal, klikke på SQL Servers, vælge serveren på listen og derefter klikke på Nulstil adgangskode. Hvis du vil nulstille adgangskoden for den SQL-administrerede forekomst, skal du gå til Azure Portal, klikke på forekomsten og klikke på Nulstil adgangskode. Du kan også bruge PowerShell eller Kommandolinjegrænsefladen i Azure.