Microsoft Entra-verificatie voor SQL Server

van toepassing op: SQL Server 2022 (16.x)

SQL Server 2022 (16.x) introduceert ondersteuning voor verificatie met Microsoft Entra ID (voorheen Azure Active Directory), on-premises Windows en Linux en SQL Server op Azure Windows-VM's.

Gebruik Microsoft Entra ID met zelfstandige SQL Server-exemplaren of AlwaysOn-beschikbaarheidsgroepen. Exemplaren van SQL Server-failoverclusters bieden momenteel geen ondersteuning voor Microsoft Entra-verificatie.

Overzicht

U kunt nu verbinding maken met SQL Server met behulp van de volgende Microsoft Entra-verificatiemethoden:

• Standaardverificatie
• Gebruikersnaam en wachtwoord
• Geïntegreerd
• Universeel met meervoudige verificatie
• Service-principal
• Beheerde identiteit
• Toegangstoken

De bestaande verificatiemodi, SQL-verificatie en Windows-verificatie ongewijzigd blijven.

Microsoft Entra ID is de cloudservice voor identiteits- en toegangsbeheer van Azure. Microsoft Entra-id is conceptueel vergelijkbaar met Active Directory en biedt een gecentraliseerde opslagplaats voor het beheren van de toegang tot de resources van uw organisatie. Identiteiten zijn objecten in Microsoft Entra-id die gebruikers, groepen of toepassingen vertegenwoordigen. Ze kunnen machtigingen krijgen via op rollen gebaseerd toegangsbeheer en worden gebruikt voor verificatie bij Azure-resources. Microsoft Entra-verificatie wordt ondersteund voor:

• Azure SQL Database
• Azure SQL Managed Instance
• SQL Server op Virtuele Windows Azure-machines
• Azure Synapse Analytics
• SQL Server

Zie Microsoft Entra-verificatie gebruiken met Azure SQL en Microsoft Entra-verificatie configureren en beheren met Azure SQLvoor meer informatie.

Indien uw Windows Server Active Directory is gefedereerd met Microsoft Entra ID, kunnen gebruikers zich authenticeren bij SQL Server met hun Windows-referenties, zowel als Windows-aanmeldingen als Microsoft Entra-aanmeldingen. Hoewel Microsoft Entra ID niet alle AD-functies ondersteunt die worden ondersteund door Windows Server Active Directory, zoals serviceaccounts of complexe netwerkforestarchitectuur. Er zijn andere mogelijkheden van Microsoft Entra-id, zoals meervoudige verificatie die niet beschikbaar is voor Active Directory. Vergelijk Microsoft Entra-id met Active Directory voor meer informatie.

SQL Server verbinden met Azure met Microsoft Entra-id

Sql Server moet zijn geregistreerd bij Azure Arc-om te communiceren met Azure, zowel SQL Server als de Windows- of Linux-host waarop deze wordt uitgevoerd. Als u de communicatie van SQL Server met Azure wilt inschakelen, moet u de Azure Arc Agent- en Azure-extensie voor SQL Serverinstalleren.

Zie Uw SQL Server verbinden met Azure Arcom aan de slag te gaan.

Notitie

Als u SQL Server uitvoert op een Azure-VM, hoeft u de VIRTUELE machine niet te registreren bij Azure Arc. U moet in plaats daarvan de VM registreren bij de SQL IaaS Agent-extensie. Zodra de VM is geregistreerd, raadpleegt u Azure AD-verificatie inschakelen voor SQL Server op Azure-VM's voor meer informatie.

Standaardverificatie

De standaardverificatieoptie met Microsoft Entra-id waarmee verificatie mogelijk is via wachtwoordloze en niet-interactieve mechanismen, waaronder beheerde identiteiten, Visual Studio, Visual Studio Code, de Azure CLI en meer.

Gebruikersnaam en wachtwoord

Hiermee kunt u de gebruikersnaam en het wachtwoord voor de client en het stuurprogramma opgeven. De methode gebruikersnaam en wachtwoord is meestal uitgeschakeld voor veel tenants om veiligheidsredenen. Hoewel de verbindingen zijn versleuteld, is het raadzaam om het gebruik van gebruikersnaam en wachtwoord zo mogelijk te voorkomen, omdat hiervoor wachtwoorden via het netwerk moeten worden verzonden.

Geïntegreerd

Met Geïntegreerde Windows-verificatie (IWA)biedt Microsoft Entra ID een oplossing voor organisaties met zowel on-premises als cloudinfrastructuren. On-premises Active Directory-domeinen kunnen worden gesynchroniseerd met Microsoft Entra-id via federatie-, zodat beheer- en toegangsbeheer binnen Microsoft Entra-id kan worden verwerkt, terwijl gebruikersverificatie on-premises blijft. Met IWA worden de Windows-referenties van de gebruiker geverifieerd bij Active Directory en als dat succesvol is, wordt het verificatietoken van de gebruiker van Microsoft Entra ID naar SQL geretourneerd.

Universeel met meervoudige verificatie

Dit is de standaard interactieve methode met meervoudige verificatieoptie voor Microsoft Entra-accounts. Dit werkt in de meeste scenario's.

Service-principal

Een service-principal is een identiteit die kan worden gemaakt voor gebruik met geautomatiseerde hulpprogramma's, taken en toepassingen. Met de verificatiemethode van de service-principal kunt u verbinding maken met uw SQL Server-exemplaar door gebruik te maken van de client-id en het geheim van een service-principal-identiteit.

Beheerde identiteit

Beheerde identiteiten zijn speciale vormen van serviceprincipalen. Er zijn twee typen beheerde identiteiten: door het systeem toegewezen en door de gebruiker toegewezen. Door het systeem toegewezen beheerde identiteiten worden rechtstreeks ingeschakeld op een Azure-resource, terwijl door de gebruiker toegewezen beheerde identiteiten een zelfstandige resource zijn die kan worden toegewezen aan een of meer Azure-resources.

Notitie

Als u een beheerde identiteit wilt gebruiken om verbinding te maken met een SQL-resource via GUI-clients zoals SSMS en ADS, moet op de computer waarop de clienttoepassing wordt uitgevoerd een Microsoft Entra-client worden uitgevoerd waarop het certificaat van de identiteit is opgeslagen. Dit wordt meestal bereikt via een Azure-VM, omdat de identiteit eenvoudig kan worden toegewezen aan de machine via het portaldeelvenster van de VIRTUELE machine.

Voor hulpprogramma's die gebruikmaken van Azure-identiteitsbibliotheken zoals SQL Server Management Studio (SSMS), moet u bij het maken van verbinding met een beheerde identiteit de GUID gebruiken voor de aanmelding, zoals abcd1234-abcd-1234-abcd-abcd1234abcd1234. Zie (ManagedIdentityCredentialvoor meer informatie. Als u de gebruikersnaam onjuist doorgeeft, treedt er een fout op, zoals:

ManagedIdentityCredential authentication unavailable. The requested identity has not been assigned to this resource.
Status: 400 (Bad Request)
Content:
{"error":"invalid_request","error_description":"Identity not found"}

Toegangstoken

Sommige niet-GUI-clients, zoals Invoke-sqlcmd- bieden een toegangstoken. Het bereik of de doelgroep van het toegangstoken dient https://database.windows.net/te zijn.

Opmerkingen

• Alleen on-premises SQL Server 2022 (16.x) met een ondersteund Windows- of Linux-besturingssysteem, of SQL Server 2022 op virtuele Windows Azure-machines, wordt ondersteund voor Microsoft Entra-verificatie.
• Voor het verbinden van SQL Server met Azure Arc heeft het Microsoft Entra-account de volgende machtigingen nodig:
  • Lid van de Azure Connected Machine Onboarding-groep of de Bijdrager-rol in de resourcegroep.
  • Lid van de Azure Connected Machine Resource Administrator rol in de resourcegroep.
  • Lid van de rol Lezer in de resourcegroep.
• Microsoft Entra-verificatie wordt niet ondersteund voor exemplaren van SQL Server-failoverclusters

Verwante inhoud

• Microsoft Entra-verificatie
• gekoppelde server voor SQL Server met Microsoft Entra-verificatie
• Zelfstudie: Automatisering gebruiken om de Microsoft Entra-beheerder in te stellen voor SQL Server-
• Zelfstudie: Microsoft Entra-verificatie instellen voor SQL Server-
• Certificaten draaien
• uw SQL Server verbinden met Azure Arc