Verifiëren met Microsoft Entra-id in sqlcmd

van toepassing op:SQL ServerAzure SQL DatabaseAzure SQL Managed InstanceAzure Synapse AnalyticsAnalytics Platform System (PDW)SQL-database in Microsoft Fabric

sqlcmd- ondersteunt diverse Microsoft Entra-verificatiemodellen, afhankelijk van de versie die u hebt geïnstalleerd.

Notitie

Hoewel Microsoft Entra ID de nieuwe naam is voor Azure Active Directory (Azure AD), blijft Azure AD aanwezig in sommige hardcoded elementen, zoals gebruikersinterfacevelden, verbindingsproviders, foutcodes en cmdlets om te voorkomen dat bestaande omgevingen worden onderbroken. In dit artikel zijn de twee namen uitwisselbaar.

Zie sqlcmd-hulpprogrammavoor meer informatie over het verschil tussen sqlcmd versies.

sqlcmd (Go)

sqlcmd (Go) ondersteunt meer Microsoft Entra-verificatiemodellen op basis van het azidentity-pakket. De implementatie is afhankelijk van een Microsoft Entra-connector in het go-sqlcmd-stuurprogramma.

Opdrachtregelargumenten

Als u Microsoft Entra-verificatie wilt gebruiken, kunt u een van de twee opdrachtregelopties gebruiken.

-G is (meestal) compatibel met het gebruik ervan in sqlcmd (ODBC). Als er een gebruikersnaam en wachtwoord worden opgegeven, wordt deze geverifieerd met behulp van Microsoft Entra-wachtwoordverificatie. Als er een gebruikersnaam is opgegeven, wordt interactieve Verificatie van Microsoft Entra gebruikt, die mogelijk een webbrowser weergeeft. Als er geen gebruikersnaam of wachtwoord wordt opgegeven, wordt er een DefaultAzureCredentialgebruikt, die probeert te verifiëren via verschillende mechanismen.

--authentication-method= kan worden gebruikt om een van de volgende verificatietypen op te geven.

ActiveDirectoryDefault

• Zie voor een overzicht van de soorten authenticatie die in deze modus worden gebruikt, Azure Standaardreferenties.
• Kies deze methode als uw databaseautomatiseringsscripts zijn bedoeld om te worden uitgevoerd in zowel lokale ontwikkelomgevingen als in een productie-implementatie in Azure. In uw ontwikkelomgeving kunt u een clientgeheim of een Azure CLI-aanmelding gebruiken. Zonder het script te wijzigen vanuit de ontwikkelomgeving, kunt u een beheerde identiteit of clientgeheim gebruiken voor uw productie-implementatie.
• Het instellen van omgevingsvariabelen AZURE_TENANT_ID en AZURE_CLIENT_ID zijn nodig voor DefaultAzureCredential om de omgevingsconfiguratie te controleren en te zoeken naar een van de volgende aanvullende omgevingsvariabelen om te verifiëren:
  • Als u omgevingsvariabele instelt AZURE_CLIENT_SECRET configureert u de DefaultAzureCredential om ClientSecretCredentialte kiezen.
  • Als u omgevingsvariabele instelt AZURE_CLIENT_CERTIFICATE_PATH configureert u de DefaultAzureCredential om ClientCertificateCredential te kiezen als AZURE_CLIENT_SECRET niet is ingesteld.
• Als u omgevingsvariabele instelt AZURE_USERNAME configureert u de DefaultAzureCredential om UsernamePasswordCredential te kiezen als AZURE_CLIENT_SECRET en AZURE_CLIENT_CERTIFICATE_PATH niet zijn ingesteld.

ActiveDirectory-geïntegreerd

Deze methode is momenteel niet geïmplementeerd en valt terug op ActiveDirectoryDefault.

ActiveDirectoryWachtwoord

• Deze methode verifieert met behulp van een gebruikersnaam en wachtwoord. Het werkt niet als MFA is vereist.

• U geeft de gebruikersnaam en het wachtwoord op met behulp van de gebruikelijke opdrachtregelswitches of SQLCMD omgevingsvariabelen.

• Stel AZURE_TENANT_ID omgevingsvariabele in op de tenant-id van de server als deze niet de standaardtenant van de gebruiker gebruikt.

ActiveDirectoryInteractive

Met deze methode wordt een webbrowser gestart om de gebruiker te verifiëren.

ActiveDirectoryManagedIdentity

Gebruik deze methode bij het uitvoeren van sqlcmd (Go) op een Azure-VM met een door het systeem toegewezen of door de gebruiker toegewezen beheerde identiteit. Als u een door de gebruiker toegewezen beheerde identiteit gebruikt, stelt u de gebruikersnaam in op de client-id van de beheerde identiteit. Als u een door het systeem toegewezen identiteit gebruikt, laat u de gebruikersnaam leeg.

In dit voorbeeld ziet u hoe u verbinding maakt met behulp van een door de service toegewezen beheerde identiteit (SAMI):

-S testsrv.database.windows.net -d Target_DB_or_DW --authentication-method ActiveDirectoryManagedIdentity

In dit voorbeeld ziet u hoe u verbinding maakt met een door de gebruiker toegewezen beheerde identiteit (UAMI) door de client-id toe te voegen van de door de gebruiker toegewezen beheerde identiteit:

-S testsrv.database.windows.net -d Target_DB_or_DW --authentication-method ActiveDirectoryManagedIdentity -U <user-assigned-managed-identity-client-id>

ActiveDirectoryServicePrincipal

Met deze methode wordt de opgegeven gebruikersnaam geverifieerd als een service-principal-id en het wachtwoord als het clientgeheim voor de service-principal. Geef een gebruikersnaam op in het formulier <service principal id>@<tenant id>. Stel de SQLCMDPASSWORD-variabele in op het klantgeheim. Als u een certificaat gebruikt in plaats van een clientgeheim, stelt u AZURE_CLIENT_CERTIFICATE_PATH omgevingsvariabele in op het pad van het certificaatbestand.

Omgevingsvariabelen voor Microsoft Entra-verificatie

Sommige Microsoft Entra-verificatie-instellingen hebben geen opdrachtregelinvoer en sommige omgevingsvariabelen worden rechtstreeks gebruikt door het azidentity-pakket dat wordt gebruikt door sqlcmd (Go).

Deze omgevingsvariabelen kunnen worden ingesteld om bepaalde aspecten van Microsoft Entra-verificatie te configureren en standaardgedrag te omzeilen. Naast de eerder vermelde variabelen zijn de volgende specifieke variabelen voor sqlcmd (Go) en van toepassing op meerdere methoden.

SQLCMDCLIENTID

Stel deze omgevingsvariabele in op de id van een toepassing die is geregistreerd in Microsoft Entra, die is geautoriseerd voor verificatie bij Azure SQL Database. Is van toepassing op ActiveDirectoryInteractive- en ActiveDirectoryPassword-methoden.

sqlcmd (ODBC)

De optie -G wordt gebruikt door sqlcmd (ODBC) bij het maken van verbinding met Azure SQL Database of Azure Synapse Analytics om op te geven dat de gebruiker wordt geverifieerd met behulp van Microsoft Entra-verificatie. Met deze optie stelt u de sqlcmd scriptvariabele in SQLCMDUSEAAD=true.

• De optie -G vereist ten minste sqlcmd versie 13.1. Interactieve Verificatie van Microsoft Entra vereist sqlcmd (ODBC) versie 15.0.1000.34 en latere versies, evenals ODBC-versie 17.2 en latere versies.

• Geïntegreerde Microsoft Entra-verificatie vereist Microsoft ODBC-stuurprogramma 17 voor SQL Server versie 17.6.1 en latere versies, en een correct geconfigureerde Kerberos-omgeving.

• De optie -G is alleen van toepassing op Azure SQL Database en Azure Synapse Analytics.

• Interactieve Microsoft Entra-verificatie wordt momenteel niet ondersteund in Linux of macOS.

Voer sqlcmd "-?"uit om uw versie te bepalen. Zie Verbinding maken met SQL Database of Azure Synapse Analytics met behulp van Azure Active Directory-verificatievoor meer informatie. De optie -A wordt niet ondersteund met de optie -G.

Gebruikersnaam en wachtwoord voor Microsoft Entra

Wanneer u een Microsoft Entra-gebruikersnaam en -wachtwoord wilt gebruiken, kunt u de optie -G opgeven met de gebruikersnaam en het wachtwoord, met behulp van de opties -U en -P.

sqlcmd -S testsrv.database.windows.net -d Target_DB_or_DW -U bob@contoso.com -P MyAzureADPassword -G

De parameter -G genereert de volgende verbindingsreeks in de back-end:

SERVER = Target_DB_or_DW.testsrv.database.windows.net;UID=bob@contoso.com;PWD=MyAzureADPassword;AUTHENTICATION=ActiveDirectoryPassword;

Geïntegreerde Microsoft Entra-verificatie

Geef voor geïntegreerde Microsoft Entra-verificatie de optie -G op zonder gebruikersnaam of wachtwoord.

sqlcmd -S Target_DB_or_DW.testsrv.database.windows.net -G

Met deze opdracht wordt de volgende verbindingsreeks in de back-end gegenereerd:

SERVER = Target_DB_or_DW.testsrv.database.windows.net;Authentication=ActiveDirectoryIntegrated;Trusted_Connection=NO;

Notitie

De optie -E (Trusted_Connection) kan niet samen met de optie -G worden gebruikt.

Interactieve Verificatie van Microsoft Entra

Met de interactieve Microsoft Entra-verificatie voor Azure SQL Database en Azure Synapse Analytics kunt u een interactieve methode gebruiken die meervoudige verificatie ondersteunt. Zie Active Directory Interactive Authenticationvoor meer informatie.

Als u interactieve verificatie wilt inschakelen, geeft u alleen de -G optie op met de gebruikersnaam (-U) zonder een wachtwoord.

In het volgende voorbeeld worden gegevens geëxporteerd met behulp van de interactieve modus van Microsoft Entra, waarmee een gebruikersnaam wordt aangegeven waarin de gebruiker een Microsoft Entra-account vertegenwoordigt. Dit is hetzelfde voorbeeld dat in de vorige sectie wordt gebruikt, gebruikersnaam en wachtwoord van Microsoft Entra.

Voor de interactieve modus moet u handmatig een wachtwoord invoeren of voor accounts waarvoor meervoudige verificatie is ingeschakeld, de geconfigureerde MFA-verificatiemethode voltooien.

sqlcmd -S testsrv.database.windows.net -d Target_DB_or_DW -G -U alice@aadtest.onmicrosoft.com

Met de vorige opdracht wordt de volgende verbindingsreeks in de back-end gegenereerd:

SERVER = Target_DB_or_DW.testsrv.database.windows.net;UID=alice@aadtest.onmicrosoft.com;AUTHENTICATION=ActiveDirectoryInteractive

Als een Microsoft Entra-gebruiker een federatieve domeingebruiker is met behulp van een Windows-account, bevat de gebruikersnaam die is vereist in de opdrachtregel het domeinaccount (bijvoorbeeld joe@contoso.com):

sqlcmd -S testsrv.database.windows.net -d Target_DB_or_DW -G -U joe@contoso.com

Als gastgebruikers bestaan in een specifieke Microsoft Entra-tenant en deel uitmaken van een groep die bestaat in Azure SQL Database met databasemachtigingen voor het uitvoeren van de opdracht sqlcmd, wordt hun alias voor gastgebruikers gebruikt (bijvoorbeeld keith0@adventureworks.com).

Belangrijk

Er is een bekend probleem bij het gebruik van de optie -G en -U met sqlcmd (ODBC), waarbij het plaatsen van de -U-optie voordat de -G-optie kan leiden tot een storing in de verificatie. Begin altijd met de optie -G gevolgd door de optie -U.

Verwante inhoud

• sqlcmd-hulpprogramma
• sqlcmd - Start het hulpprogramma
• sqlcmd : gebruik het hulpprogramma