Migrer les comptes de connexion et les groupes SQL
Pour effectuer une transition transparente et sécurisée de vos bases de données SQL Server vers Azure SQL, il est essentiel de comprendre et de gérer efficacement la migration des informations de sécurité.
Déterminer quand migrer les comptes de connexion et les groupes SQL
Imaginez une grande organisation avec une infrastructure SQL Server locale importante au service de diverses unités métier. Chaque unité métier a son propre ensemble de comptes de connexion SQL, de rôles utilisateur et d’autorisations personnalisés en fonction de ses besoins spécifiques. L’organisation décide de migrer ces bases de données vers Azure SQL Database pour tirer parti des avantages de la scalabilité du cloud.
Dans ce scénario, la migration des comptes de connexion en amont, avant la migration de base de données, peut introduire une complexité inutile dans la phase de test.
La migration des comptes de connexion à la fin d’un projet de migration de base de données peut faciliter les tests, en particulier dans les scénarios complexes. Si les comptes de connexion sont migrés en amont, cela peut entraîner des retards au niveau des tests en raison de l’évolution des schémas de base de données. Le fait d’attendre avant de migrer les comptes de connexion permet aux configurations de sécurité de s’aligner sur la structure finale, ce qui simplifie le processus de migration, en particulier quand la sécurité dépendante des tables est cruciale pour la protection des données.
Défis | Explication |
---|---|
Structure d’autorisations complexe | Le fait de migrer les comptes de connexion plus tard permet d’adapter les autorisations à l’évolution de la structure de la base de données durant la migration. |
Retards des tests | La migration anticipée des comptes de connexion peut ralentir les tests, ce qui complique la validation de la sécurité ainsi que les changements de schéma. |
Sécurité dépendante des tables | Le report de la migration des comptes de connexion permet d’ajuster les configurations de sécurité pour qu’elles correspondent aux structures de base de données finales, si elles changent durant la migration. |
Dans notre scénario, cette approche vous permet de veiller à ce que les mesures de sécurité s’alignent parfaitement sur la structure de base de données finalisée, ce qui réduit les complications potentielles et rend le projet de migration plus facile à gérer.
Utilisation de l’extension de migration Azure
Dans le cadre des tâches postmigration, vous pouvez utiliser l’extension de migration Azure au sein d’Azure Data Studio pour migrer les comptes de connexion et les rôles serveur de votre serveur SQL Server local vers la cible Azure SQL. Cette expérience de migration des comptes de connexion automatise les tâches manuelles telles que la synchronisation des comptes de connexion avec les mappages utilisateur correspondants ainsi que la réplication des autorisations serveur et des rôles serveur.
Pour le moment, l’extension de migration prend uniquement en charge les cibles Azure SQL Managed Instance ou SQL Server sur les machines virtuelles Azure.
- Azure SQL Managed Instance : comptes Windows et comptes de connexion SQL.
- SQL Server sur les machines virtuelles Azure : comptes de connexion SQL uniquement
Si vous n’avez pas achevé la migration de base de données et si le processus de migration des comptes de connexion a démarré, la migration des comptes de connexion et des rôles serveur s’effectuera quand même, mais les mappages de comptes de connexion/rôles ne s’effectueront pas correctement. Ce processus de migration des comptes de connexion automatise les tâches manuelles, notamment la synchronisation des comptes de connexion avec les mappages utilisateur associés ainsi que la réplication des autorisations et des rôles serveur.
Vous pouvez utiliser l’extension de migration Azure SQL pour Azure Data Studio, PowerShell ou Azure CLI afin de démarrer le processus de migration des comptes de connexion.
Suivez ces étapes pour migrer les comptes de connexion à l’aide de l’extension de migration dans Azure Data Studio :
Lancez l’extension de migration Azure SQL à partir d’Azure Data Studio, puis démarrez l’Assistant Migration des comptes de connexion SQL Server.
À l’Étape 1 : Cible Azure SQL, connectez-vous à votre cible Azure SQL.
À l’Étape 2 : Sélectionner les comptes de connexion à migrer, sélectionnez vos comptes de connexion à partir de l’instance SQL Server source.
À l’Étape 3 : État de la migration, effectuez le monitoring du processus de migration des comptes de connexion. Une fois la migration de connexion terminée (ou en cas de défaillances), la page affiche les mises à jour appropriées.
Utilisation de DMA
Dans le cadre de la migration de comptes de connexion, l’Assistant Migration de données attribue les autorisations aux éléments sécurisables sur le SQL Server cible tels qu’ils existent sur le SQL Server source. Si le compte de connexion existe déjà sur le serveur SQL Server cible, l’Assistant Migration de données migre uniquement les autorisations affectées aux éléments sécurisables. Il ne recrée pas l’intégralité du compte de connexion. L’Assistant Migration de données s’efforce de mapper le compte de connexion aux utilisateurs de base de données si le compte de connexion existe déjà sur le serveur cible.
L’Assistant Migration de données ne prend pas en charge les éléments suivants :
- Comptes de connexion associés à un certificat de sécurité autonome (comptes de connexion mappés au certificat)
- Clé asymétrique autonome (comptes de connexion mappés à une clé asymétrique)
- Comptes de connexion mappés aux informations d’identification.
- Par défaut, l’Assistant Migration de données sélectionne tous les comptes de connexion qualifiés pour la migration. Si vous le souhaitez, vous pouvez éventuellement sélectionner des comptes de connexion spécifiques à migrer1.
Remarque
Bien que l’Assistant Migration de base de données soit un outil utile, nous vous recommandons d’utiliser Azure Database Migration Service pour les migrations volumineuses et profiter d’une expérience globale améliorée. Le service est disponible en tant qu’extension Azure SQL Migration pour Azure Data Studio, via le Portail Azure ou via Azure PowerShell et Azure CLI.
Script MoveLogins
Le script MoveLogins vous aide à transférer les informations de connexion des serveurs SQL Server locaux vers Azure SQL Database ou d’autres offres PaaS.
Bien que l’Assistant Migration de données (DMA) puisse transférer les informations de sécurité et tracer un graphe des dépendances complet pour garantir le transfert correct des autorisations, le script MoveLogins fournit une option supplémentaire. Il peut effectuer une recherche Active Directory liée aux utilisateurs, ce qui vous permet d’obtenir leur UPN (nom d’utilisateur principal), une fonctionnalité non prise en charge par DMA pour le moment.
Le script, écrit en PowerShell, génère un script T-SQL qui peut être appliqué à l’environnement SQL cible pour transférer les comptes de connexion, les utilisateurs de base de données, les rôles et les autorisations. Il n’exécute pas les commandes sur l’environnement cible. Vous devez passer en revue attentivement la sortie du script générée avant de l’appliquer à l’environnement cible.
Le script génère des résultats différents selon que vous utilisez Azure SQL Database ou Azure SQL Managed Instance. Dans Azure SQL Database, vous ne pouvez pas créer de comptes de connexion Microsoft Entra et les utilisateurs de base de données associés. À la place, les utilisateurs Microsoft Entra sont créés au niveau de la base de données. Pour Azure SQL Managed Instance, cela ressemble à un serveur SQL Server local, avec des comptes de connexion au niveau du serveur et des utilisateurs de base de données.
Remarque
Nous vous suggérons de commencer par un outil de migration dédié, par exemple l’extension de migration Azure pour transférer les comptes de connexion. Si vous rencontrez des problèmes avec ces outils recommandés, vous pouvez vous tourner vers d’autres méthodes, par exemple le script MoveLogins.