Serwer powiązany dla bazy danych SQL Server z uwierzytelnianiem Microsoft Entra

Dotyczy: SQL Server 2022 (16.x)

Połączone serwery można teraz skonfigurować przy użyciu uwierzytelniania za pomocą identyfikatora Entra firmy Microsoft (wcześniej usługi Azure Active Directory) i obsługuje dwa mechanizmy dostarczania poświadczeń:

• Hasło
• Token dostępu

W tym artykule założono, że istnieją dwa wystąpienia programu SQL Server (S1 i S2). Obie aplikacje zostały skonfigurowane do obsługi uwierzytelniania Microsoft Entra i ufają wzajemnie swojemu certyfikatowi SSL/TLS. Przykłady w tym artykule są wykonywane na serwerze S1 w celu utworzenia serwera połączonego z serwerem S2.

Warunki wstępne

• W pełni funkcjonalne uwierzytelnianie Microsoft Entra dla SQL Server. Aby uzyskać więcej informacji, zobacz Uwierzytelnianie Microsoft Entra dla SQL Server oraz Samouczek: Konfigurowanie uwierzytelniania Microsoft Entra dla SQL Server.
• SQL Server Management Studio (SSMS) wersja 18.0 lub nowsza. Lub pobierz najnowszą wersję Azure Data Studio.

Notatka

Nazwa podmiotu certyfikatu SSL/TLS używanego przez S2 musi być zgodna z nazwą serwera podaną w atrybucie provstr. Powinna to być w pełni kwalifikowana nazwa domeny (FQDN) lub nazwa hosta S2.

Konfiguracje serwera połączonego na potrzeby uwierzytelniania w usłudze Microsoft Entra

Skonfigurujemy połączone serwery, używając uwierzytelniania za pomocą hasła oraz tajemnicy aplikacji platformy Azure lub tokenu dostępu.

Konfiguracja serwera połączonego przy użyciu uwierzytelniania haseł

Notatka

Chociaż identyfikator Entra firmy Microsoft to nowa nazwa usługi Azure Active Directory (Azure AD), aby zapobiec zakłócaniu działania istniejących środowisk, usługa Azure AD nadal pozostaje w niektórych zakodowanych na stałe elementach, takich jak pola interfejsu użytkownika, dostawcy połączeń, kody błędów i polecenia cmdlet. W tym artykule dwie nazwy są wymienne.

W przypadku uwierzytelniania haseł użycie Authentication=ActiveDirectoryPassword w ciągu znaków ciągu dostawcy będzie sygnalizować połączonemu serwerowi, aby użył uwierzytelniania hasła Microsoft Entra. Należy utworzyć login serwera połączonego, aby odwzorować każdy login na S1 do logowania Microsoft Entra w S2.

1. W programie SSMS połącz się z S1 i rozwiń Serwer Objects w oknie Eksploratora Obiektów .

2. Kliknij prawym przyciskiem myszy Połączone Serwery i wybierz Nowy Połączony Serwer.

3. Wypełnij szczegóły serwera połączonego:

   • połączony serwer: S2 lub użyj nazwy serwera połączonego.
   • Typ serwera: Other data source.
   • Dostawca: Microsoft OLE DB Driver for SQL Server.
   • nazwa produktu: pozostaw puste.
   • źródło danych: pozostaw puste.
   • ciąg dostawcy: Server=<fqdn of S2>;Authentication=ActiveDirectoryPassword.
   • Katalog: pozostawione puste.

   

4. Wybierz kartę zabezpieczeń.

5. Wybierz pozycję Dodaj.

   • Logowanie lokalne: Podaj nazwę użytkownika używaną do nawiązywania połączenia z S1.
   • Podszywanie się: nie zaznaczaj.
   • użytkownik zdalny: nazwa użytkownika firmy Microsoft Entra używana do nawiązywania połączenia z usługą S2 w formacie user@contoso.com.
   • zdalne hasło: hasło użytkownika Microsoft Entra.
   • Jeśli logowanie nie jest zdefiniowane na powyższej liście, połączenia będą: Not be made

6. Wybierz pozycję OK.

   

Konfiguracja serwera połączonego przy użyciu uwierzytelniania tokenu dostępu

Na potrzeby uwierzytelniania tokenu dostępu połączony serwer jest tworzony przy użyciu AccessToken=%s w ciągu dostawcy. Zostanie utworzone logowanie serwera połączonego, aby mapować każde logowanie w S1 na aplikację Microsoft Entra, która otrzymała uprawnienia logowania do S2. Aplikacja musi mieć przypisany sekret, który będzie używany przez S1 do generowania tokenu dostępu. Wpis tajny można utworzyć, przechodząc do witryny Azure Portal>Microsoft Entra ID>Rejestracje aplikacji>YourApplication>Certyfikaty & wpisów tajnych>Nowy klucz tajny klienta.

1. W programie SSMS połącz się z S1 i rozwiń węzeł obiekty serwera w oknie eksploratora obiektów .

2. Kliknij prawym przyciskiem myszy na liście Połączone serwery i wybierz opcję Nowy połączony serwer.

3. Wypełnij szczegóły serwera połączonego:

   • połączony serwer: S2 lub użyj nazwy serwera połączonego.
   • Typ serwera: Other data source.
   • Provider: Microsoft OLE DB Driver for SQL Server.
   • nazwa produktu: pozostaw puste.
   • źródło danych: pozostaw puste.
   • ciąg dostawcy: Server=<fqdn of S2>;AccessToken=%s.
   • Katalog: pozostaw pustym.

   

4. Wybierz kartę zabezpieczeń.

5. Wybierz pozycję Dodaj.

   • logowania lokalnego: określ nazwę logowania używaną do połączenia z S1.
   • Podszywanie się: pozostaw niezaznaczone.
   • identyfikatorużytkownika zdalnego: identyfikator klienta aplikacji Microsoft Entra używanej do nawiązywania połączenia z usługą S2. Identyfikator aplikacji (klienta) znajdziesz w menu Przegląd swojej aplikacji Microsoft Entra.
   • hasło zdalne: identyfikator tajny uzyskany podczas tworzenia nowe tajne hasło klienta dla aplikacji.
   • Jeśli logowanie nie zostało zdefiniowane na powyższej liście, połączenia będą: Not be made

6. Wybierz pozycję OK.

Zobacz też

• łączenie programu SQL Server z usługą Azure Arc
• Uwierzytelnianie Microsoft Entra dla programu SQL Server
• Samouczek : Ustawianie uwierzytelniania Microsoft Entra w programie SQL Server