Condividi tramite


Esercitazione: Uso dell’automazione per configurare l’amministratore di Microsoft Entra per SQL Server

Si applica a: SQL Server 2022 (16.x)

Nota

Questa funzionalità è disponibile in SQL Server 2022 (16.x) o versioni successive ed è supportata solo per SQL Server in locale, per gli host Windows e Linux e per SQL Server 2022 nelle macchine virtuali di Windows Azure.

Questo articolo descrive come configurare l'amministratore di Microsoft Entra per consentire l'autenticazione con Microsoft Entra ID (in precedenza Azure Active Directory) per SQL Server usando il portale di Azure e le API, ad esempio:

  • PowerShell
  • L'interfaccia della riga di comando di Azure
  • Modello ARM

Verranno inoltre illustrate le funzionalità aggiornate per configurare un amministratore di Microsoft Entra per SQL Server nel portale di Azure che consenta la creazione automatica dei certificati e la registrazione dell'applicazione. In precedenza, la configurazione dell'autenticazione di Microsoft Entra per SQL Server richiedeva la configurazione manuale dell'amministratore di Microsoft Entra con un certificato di Azure e la registrazione dell’applicazione.

Nota

Anche se Microsoft Entra ID è il nuovo nome per Azure Active Directory (Azure AD), per evitare l'interruzione degli ambienti esistenti, la denominazione Azure AD è tuttora mantenuta in alcuni elementi hardcoded, ad esempio campi dell'interfaccia utente, provider di connessioni, codici errore e cmdlet. In questo articolo i due nomi sono intercambiabili.

Prerequisiti

  • SQL Server 2022 (16.x) o versione successiva è installato.
  • SQL Server è connesso al cloud di Azure. Per ulteriori informazioni, vedi Connettere SQL Server ad Azure Arc.
  • Microsoft Entra ID viene configurato per l'autenticazione nello stesso tenant dell'istanza di Azure Arc.
  • Un Azure Key Vault è necessario.

Preparazione prima della configurazione di un amministratore di Microsoft Entra

Le autorizzazioni seguenti sono necessarie per configurare un amministratore di Microsoft Entra nelle risorse di SQL Server - Azure Arc e Key Vault.

Configurare le autorizzazioni per Azure Arc

Segui la guida per assicurarti che SQL Server sia connesso ad Azure Arc. L'utente che configura l'amministratore di Microsoft Entra per la risorsa SQL Server - Azure Arc deve avere il ruolo Collaboratore per il server.

  1. Accedere al portale di Azure
  2. Seleziona SQL Server - Azure Arc e seleziona l'istanza per l'host SQL Server.
  3. Seleziona Controllo di accesso (IAM).
  4. Seleziona Aggiungi>Aggiungi assegnazione di ruolo per aggiungere il ruolo Collaboratore all'utente che configura l'amministratore di Microsoft Entra.

Configurare le autorizzazioni per Azure Key Vault

Se non hai un account Azure Key Vault, crealo. L'utente che configura l'amministratore di Microsoft Entra deve avere il ruolo di Collaboratore in Azure Key Vault. Per aggiungere un ruolo a un utente in Azure Key Vault:

  1. Accedere al portale di Azure
  2. Vai alla risorsa dell’insieme di credenziali delle chiavi.
  3. Seleziona Controllo di accesso (IAM).
  4. Seleziona Aggiungi>Aggiungi assegnazione di ruolo per aggiungere il ruolo Collaboratore all'utente che configura l'amministratore di Microsoft Entra.

Impostare i criteri di accesso per l'host di SQL Server

  1. Nel portale di Azure, accedi all’istanza di Azure Key Vault e seleziona Criteri di accesso.

  2. Seleziona Aggiungi criteri di accesso.

  3. Per Autorizzazioni chiave, usa Sign.

  4. Per Autorizzazioni segrete, seleziona Get e List.

  5. Per Autorizzazioni certificato seleziona Get e List.

  6. Selezionare Avanti.

  7. Nella pagina Entità cerca il nome dell'istanza di Machine - Azure Arc, ovvero il nome host dell'host di SQL Server.

    Screenshot della risorsa del server Azure Arc nel portale.

  8. Ignora la pagina Applicazione (facoltativa) selezionando Avanti due volte oppure selezionando Rivedi e crea.

    Screenshot del portale di Azure per esaminare e creare criteri di accesso.

    Verifica che l'"ID oggetto" dell’Entità corrisponda all'ID entità dell'identità gestita assegnata all'istanza.

    Screenshot di controllo del portale per la visualizzazione JSON della definizione del computer.

    Per confermare, vai alla pagina della risorsa e seleziona Visualizzazione JSON in alto a destra nella casella Essentials nella pagina Panoramica. In Identità sarà disponibile il principalId.

  9. Seleziona Crea.

Devi selezionare Crea per assicurarti che vengano applicate le autorizzazioni. Per assicurarti che le autorizzazioni siano state archiviate, aggiorna la finestra del browser e verifica che la riga per l'istanza di Azure Arc sia ancora presente.

Impostare i criteri di accesso per gli utenti di Microsoft Entra

  1. Nel portale di Azure, accedi all’istanza di Azure Key Vault e seleziona Criteri di accesso.
  2. Seleziona Aggiungi criteri di accesso.
  3. Per Autorizzazioni chiave, seleziona Get, List e Create.
  4. Per Autorizzazioni segrete, seleziona Get, List e Set.
  5. Per Autorizzazioni certificato, seleziona Get, List e Create.
  6. Per Seleziona entità, aggiungi l'utente Microsoft Entra che vuoi usare per connetterti a SQL Server.
  7. Seleziona Aggiungi e quindi Salva.

Configurazione dell'amministratore di Microsoft Entra per SQL Server

Le nuove API e le funzionalità del portale consentono agli utenti di configurare un amministratore di Microsoft Entra per SQL Server senza dover creare separatamente un certificato di Azure e un'applicazione Microsoft Entra. Seleziona una scheda per informazioni su come configurare un amministratore di Microsoft Entra per SQL Server connesso ad Azure Arc con la creazione automatica di certificati e applicazioni.

Nota

Il modello ARM richiede comunque la creazione di un certificato di Azure Key Vault e di un'applicazione Microsoft Entra prima di configurare un amministratore di Microsoft Entra. Per altre informazioni su questo processo, vedi Esercitazione: Configurare l'autenticazione di Microsoft Entra per SQL Server.

Usa il portale di Azure per configurare un amministratore di Microsoft Entra, creare un certificato di Azure Key Vault e un'applicazione Microsoft Entra nello stesso processo. Questa operazione è necessaria per usare l'autenticazione di Microsoft Entra con SQL Server.

Nota

In precedenza, prima di configurare un amministratore di Microsoft Entra, era necessario un certificato di Azure Key Vault e la registrazione dell'applicazione Microsoft Entra. Questo non è più necessario, ma gli utenti possono comunque scegliere di fornire il proprio certificato e la propria applicazione per configurare l'amministratore di Microsoft Entra.

Configurazione dell'amministratore di Microsoft Entra usando il portale di Azure

  1. Accedi al portale di Azure e seleziona SQL Server – Azure Arc. Seleziona l’istanza per l’host SQL Server.

  2. Controlla lo stato della risorsa SQL Server - Azure Arc e verifica se è connessa dal menu Proprietà. Per altre informazioni, vedi Convalidare le risorse di SQL Server abilitate per Arc.

  3. Seleziona Microsoft Entra ID e Purview in Impostazioni dal menu della risorsa.

  4. Seleziona Imposta amministratore per aprire il riquadro Microsoft Entra ID e scegli un account che verrà aggiunto come account di accesso amministratore a SQL Server.

  5. Seleziona Certiificato gestito dal servizio.

  6. Seleziona Cambia insieme di credenziali delle chiavi e seleziona la risorsa Azure Key Vault esistente.

  7. Seleziona Registrazione app gestita dal servizio.

  8. Seleziona Salva. In questo modo viene inviata una richiesta all'agente server Arc, che configura l'autenticazione di Microsoft Entra per l'istanza di SQL Server. Il completamento dell'operazione può richiedere alcuni minuti; attendi fino a quando il processo di salvataggio non viene confermato con Saved successfully prima di tentare un accesso a Microsoft Entra.

    La registrazione dell'app gestita dal servizio esegue le operazioni seguenti:

    • Crea un certificato nell'insieme di credenziali delle chiavi con un nome nel formato <hostname>-<instanceName><uniqueNumber>.
    • Crea un'applicazione Microsoft Entra con un nome come <hostname>-<instanceName><uniqueNumber> e assegna le autorizzazioni necessarie a tale applicazione. Per altre informazioni, vedi Concedere le autorizzazioni delle applicazioni
    • Assegna il nuovo certificato in Azure Key Vault all'applicazione.
    • Salva queste impostazioni in Azure Arc.

    Screenshot d'impostazione dell'autenticazione di Microsoft Entra con il certificato automatico e la generazione di applicazioni nel portale di Azure.

Nota

I certificati creati per Microsoft Entra non vengono ruotati automaticamente. I clienti possono scegliere di fornire il proprio certificato e la propria applicazione per la configurazione dell'amministratore di Microsoft Entra. Per ulteriori informazioni, vedi Esercitazione: Configurare l'autenticazione di Microsoft Entra per SQL Server.

Dopo aver configurato l'amministratore di Microsoft Entra, l'uso delle credenziali di amministratore di Microsoft Entra ti consente di connetterti a SQL Server. Tuttavia, eventuali ulteriori attività di database che coinvolgono la creazione di nuovi account di accesso e utenti di Microsoft Entra avranno esito negativo fino a quando non viene concesso il consenso amministratore all'applicazione Microsoft Entra.

Nota

Per concedere il consenso amministratore per l'applicazione, l'account che concede il consenso richiede un ruolo di amministratore globale o amministratore con ruolo con privilegi di Microsoft Entra ID. Questi ruoli sono necessari per concedere il consenso amministratore per l'applicazione, ma non sono necessari per configurare l'amministratore di Microsoft Entra.

  1. Nel portale di Azure, seleziona Microsoft Entra ID>Registrazioni app, seleziona l’applicazione appena creata. L'applicazione deve avere un nome come <hostname>-<instanceName><uniqueNumber>.

  2. Seleziona il menu Autorizzazioni API.

  3. Seleziona Concedi consenso amministratore.

    Screenshot delle autorizzazioni delle applicazioni nel portale di Azure.

Se non si concede il consenso amministratore all'applicazione, la creazione di un account di accesso o di un utente di Microsoft Entra in SQL Server genererà l'errore seguente:

Msg 37455, Level 16, State 1, Line 2
Server identity does not have permissions to access MS Graph.

Uso dell’autenticazione di Microsoft Entra per connettersi a SQL Server

L'autenticazione di Microsoft Entra è ora configurata per SQL Server connesso ad Azure Arc. Segui le sezioni dopo aver configurato l'amministratore di Microsoft Entra nell'articolo Esercitazione: Configurare l'autenticazione di Microsoft Entra per SQL Server per connetterti a SQL Server usando l'autenticazione di Microsoft Entra.

Vedi anche