Korzystanie z uwierzytelniania wieloskładnikowego firmy Microsoft w usłudze Synapse SQL (obsługa programu SSMS dla uwierzytelniania wieloskładnikowego)
Usługa Synapse SQL obsługuje połączenia z programu SQL Server Management Studio (SSMS) przy użyciu uwierzytelniania uniwersalnego usługi Active Directory.
W tym artykule omówiono różnice między różnymi opcjami uwierzytelniania, a także ograniczenia związane z używaniem uwierzytelniania uniwersalnego.
Pobierz najnowszą wersję programu SSMS — na komputerze klienckim pobierz najnowszą wersję programu SSMS z sekcji Pobierz program SQL Server Management Studio (SSMS).
W przypadku wszystkich funkcji omówionych w tym artykule użyj co najmniej lipca 2017 r. w wersji 17.2. Najnowsze okno dialogowe połączenia powinno wyglądać podobnie jak na poniższej ilustracji:
Pięć opcji uwierzytelniania
Uwierzytelnianie uniwersalne usługi Active Directory obsługuje dwie nieinterakcyjne metody uwierzytelniania: — Active Directory - Password uwierzytelnianie — Active Directory - Integrated uwierzytelnianie
Istnieją również dwa nieinterakcyjne modele uwierzytelniania, które mogą być używane w wielu różnych aplikacjach (ADO.NET, JDCB, ODC itp.). Te dwie metody nigdy nie powodują wyskakujących okien dialogowych:
Active Directory - PasswordActive Directory - Integrated
Metoda interaktywna polega na tym, że obsługuje również uwierzytelnianie wieloskładnikowe (MFA) firmy Microsoft:
Active Directory - Universal with MFA
Uwierzytelnianie wieloskładnikowe firmy Microsoft pomaga chronić dostęp do danych i aplikacji, jednocześnie spełniając wymagania użytkowników dotyczące prostego procesu logowania. Zapewnia silne uwierzytelnianie z szeregiem łatwych opcji weryfikacji (połączenie telefoniczne, wiadomość SMS, karty inteligentne z numerem PIN lub powiadomieniem aplikacji mobilnej), co pozwala użytkownikom wybrać preferowaną metodę. Interaktywna uwierzytelnianie wieloskładnikowe za pomocą usługi identyfikatora Microsoft Entra może spowodować wyświetlenie wyskakującego okna dialogowego na potrzeby walidacji.
Aby uzyskać opis uwierzytelniania wieloskładnikowego, zobacz uwierzytelnianie wieloskładnikowe.
Microsoft Entra nazwa domeny lub parametr identyfikatora dzierżawy
Począwszy od programu SSMS w wersji 17, użytkownicy zaimportowani do bieżącej usługi Active Directory z innych katalogów usługi Azure Active Directory jako użytkownicy-goście mogą podać nazwę domeny firmy Microsoft Entra lub identyfikator dzierżawy podczas nawiązywania połączenia.
Użytkownicy-goście obejmują użytkowników zaproszonych z innych usług Azure AD, kont Microsoft, takich jak outlook.com, hotmail.com, live.com lub inne konta, takie jak gmail.com. Te informacje umożliwiają usłudze Active Directory Universal with MFA Authentication identyfikowanie poprawnego urzędu uwierzytelniania. Ta opcja jest również wymagana do obsługi kont Microsoft (MSA), takich jak outlook.com, hotmail.com, live.com lub kont innych niż MSA.
Wszyscy ci użytkownicy, którzy chcą być uwierzytelnieni przy użyciu uwierzytelniania uniwersalnego, muszą wprowadzić nazwę domeny firmy Microsoft lub identyfikator dzierżawy. Ten parametr reprezentuje bieżącą nazwę domeny/dzierżawę firmy Microsoft, z których jest połączony serwer platformy Azure.
Jeśli na przykład serwer platformy Azure jest skojarzony z domeną contosotest.onmicrosoft.com Firmy Microsoft Entra, w której użytkownik joe@contosodev.onmicrosoft.com jest hostowany jako zaimportowany użytkownik z domeny Microsoft Entra, nazwa domeny contosodev.onmicrosoft.comwymagana do uwierzytelnienia tego użytkownika to contosotest.onmicrosoft.com.
Gdy użytkownik jest natywnym użytkownikiem identyfikatora Entra firmy Microsoft połączonego z serwerem platformy Azure i nie jest kontem MSA, nie jest wymagana żadna nazwa domeny ani identyfikator dzierżawy.
Aby wprowadzić parametr (począwszy od programu SSMS w wersji 17.2), w oknie dialogowym Połączenie do bazy danych wypełnij okno dialogowe, wybierając pozycję Active Directory — universal with MFA authentication (Usługa Active Directory — uniwersalna z uwierzytelnianiem wieloskładnikowym), wybierz pozycję Opcje, wypełnij pole Nazwa użytkownika, a następnie wybierz kartę Właściwości Połączenie ion.
Zaznacz pole Nazwa domeny usługi AD lub identyfikator dzierżawy i podaj urząd uwierzytelniania, taki jak nazwa domeny (contosotest.onmicrosoft.com) lub identyfikator GUID identyfikatora dzierżawy.
Jeśli używasz programu SSMS 18.x lub nowszego, nazwa domeny usługi AD lub identyfikator dzierżawy nie jest już potrzebna dla użytkowników-gości, ponieważ 18.x lub nowsze automatycznie je rozpoznaje.
Microsoft Entra business to business to business support
Użytkownicy firmy Microsoft Entra obsługiwani w scenariuszach firmy Microsoft Entra B2B jako użytkownicy-goście (zobacz Co to jest współpraca B2B platformy Azure może łączyć się z usługą Synapse SQL tylko w ramach członków grupy utworzonej w bieżącym identyfikatorze Microsoft Entra ID i mapowanych ręcznie przy użyciu instrukcji Języka Transact-SQL CREATE USER w danej bazie danych.
Jeśli na przykład steve@gmail.com zostanie zaproszony do usługi Azure AD contosotest (z domeną contosotest.onmicrosoft.comMicrosoft Entra), grupa Microsoft Entra, taka jak usergroup musi zostać utworzona w identyfikatorze Entra firmy Microsoft zawierającym element członkowski steve@gmail.com . Następnie tę grupę należy utworzyć dla określonej bazy danych (czyli MyDatabase) przez administratora Microsoft Entra SQL lub microsoft Entra DBO, wykonując instrukcję Języka Transact-SQL CREATE USER [usergroup] FROM EXTERNAL PROVIDER .
Po utworzeniu użytkownika bazy danych użytkownik steve@gmail.com może zalogować się przy MyDatabase użyciu opcji Active Directory – Universal with MFA supportuwierzytelniania programu SSMS.
Grupa użytkowników domyślnie ma tylko uprawnienie do łączenia i wszelkie dalsze prawa dostępu do danych, które będą musiały zostać przyznane w normalny sposób.
Jako użytkownik-gość steve@gmail.com musi zaznaczyć pole i dodać nazwę contosotest.onmicrosoft.com domeny usługi AD w oknie dialogowym Właściwość Połączenie ion programu SSMS. Opcja Nazwa domeny usługi AD lub identyfikator dzierżawy jest obsługiwana tylko dla opcji uniwersalnej z połączeniem usługi MFA. W przeciwnym razie jest wyszarzony.
Ograniczenia uwierzytelniania uniwersalnego dla usługi Synapse SQL
- Programy SSMS i SqlPackage.exe są jedynymi narzędziami, które są obecnie włączone dla uwierzytelniania wieloskładnikowego za pośrednictwem uwierzytelniania uniwersalnego usługi Active Directory.
- Program SSMS w wersji 17.2 obsługuje dostęp współbieżny dla wielu użytkowników przy użyciu uwierzytelniania uniwersalnego z uwierzytelnianiem wieloskładnikowym. W wersji 17.0 i 17.1 ograniczono logowanie dla wystąpienia programu SSMS przy użyciu uwierzytelniania uniwersalnego do pojedynczego konta Microsoft Entra. Aby zalogować się jako inne konto Microsoft Entra, musisz użyć innego wystąpienia programu SSMS. (To ograniczenie jest ograniczone do uwierzytelniania uniwersalnego usługi Active Directory; można zalogować się na różnych serwerach przy użyciu uwierzytelniania haseł usługi Active Directory, zintegrowanego uwierzytelniania usługi Active Directory lub uwierzytelniania programu SQL Server).
- Program SSMS obsługuje uwierzytelnianie uniwersalne usługi Active Directory na potrzeby wizualizacji Eksplorator obiektów, Edytor Power Query i magazynu zapytań.
- Program SSMS w wersji 17.2 zapewnia obsługę kreatora DacFx na potrzeby eksportowania/wyodrębniania/wdrażania bazy danych danych. Po uwierzytelnieniu określonego użytkownika za pomocą okna dialogowego uwierzytelniania początkowego przy użyciu uwierzytelniania uniwersalnego kreator DacFx działa tak samo jak w przypadku wszystkich innych metod uwierzytelniania.
- Tabela SSMS Projektant nie obsługuje uwierzytelniania uniwersalnego.
- Nie ma żadnych dodatkowych wymagań dotyczących oprogramowania dla uwierzytelniania uniwersalnego usługi Active Directory, z tą różnicą, że należy użyć obsługiwanej wersji programu SSMS.
- Wersja biblioteki uwierzytelniania usługi Active Directory (ADAL) dla uwierzytelniania uniwersalnego została zaktualizowana do najnowszej dostępnej wersji biblioteki ADAL.dll 3.13.9. Zobacz Active Directory Authentication Library 3.14.1.
Następne kroki
Aby uzyskać więcej informacji, zobacz artykuł Połączenie do usługi Synapse SQL z programem SQL Server Management Studio.