Аутентификация с помощью идентификатора Microsoft Entra в sqlcmd

Применяется к:SQL ServerБаза данных Azure SQLУправляемый экземпляр Azure SQLАналитика Azure SynapseСистема аналитической платформы (PDW)SQL-база данных в Microsoft Fabric

sqlcmd поддерживает различные модели проверки подлинности Microsoft Entra в зависимости от установленной версии.

Примечание.

Хотя Microsoft Entra ID — это новое имя для Azure Active Directory (Azure AD), чтобы предотвратить нарушение существующих сред, Azure AD по-прежнему остается в некоторых жестко закодированных элементах, таких как поля пользовательского интерфейса, поставщики подключений, коды ошибок и командлеты. В этой статье два имени являются взаимозаменяемыми.

Для получения дополнительной информации о различиях между версиями sqlcmd смотрите утилиту sqlcmd.

sqlcmd (Go)

sqlcmd (Go) поддерживает больше моделей проверки подлинности Microsoft Entra на основе пакета azidentity. Реализация использует соединитель Microsoft Entra в драйвере go-sqlcmd.

Аргументы командной строки

Чтобы использовать проверку подлинности Microsoft Entra, можно использовать один из двух коммутаторов командной строки.

-G (в основном) совместим с его использованием в sqlcmd (ODBC). Если указано имя пользователя и пароль, он проходит проверку подлинности с помощью проверки подлинности паролей Microsoft Entra. Если указано имя пользователя, система использует интерактивную проверку подлинности Microsoft Entra, при которой может открыться веб-браузер. Если имя пользователя или пароль не указаны, то используется DefaultAzureCredential метод, который пытается пройти проверку подлинности с помощью различных механизмов.

Для указания одного из следующих типов проверки подлинности можно использовать --authentication-method=.

ActiveDirectoryDefault

• Общие сведения о типах проверки подлинности, используемых в этом режиме, см. в разделе "Учетные данные Azure по умолчанию".
• Выберите этот метод, если скрипты автоматизации базы данных предназначены для выполнения как в локальных средах разработки, так и в рабочем развертывании в Azure. В среде разработки можно использовать секрет клиента или имя входа Azure CLI. Без изменения скрипта из среды разработки можно использовать управляемое удостоверение или секрет клиента в рабочем развертывании.
• Установка переменных среды AZURE_TENANT_ID и AZURE_CLIENT_ID необходима для DefaultAzureCredential того, чтобы начать проверку конфигурации среды и искать одну из следующих дополнительных переменных среды для аутентификации:
  • Установка переменной AZURE_CLIENT_SECRET среды настраивает DefaultAzureCredential для выбора ClientSecretCredential.
  • Настройка переменной AZURE_CLIENT_CERTIFICATE_PATH среды настраивает DefaultAzureCredential на выбор ClientCertificateCredential, если AZURE_CLIENT_SECRET не задан.
• Настройка переменной среды AZURE_USERNAME приводит DefaultAzureCredential к выбору UsernamePasswordCredential, если AZURE_CLIENT_SECRET и AZURE_CLIENT_CERTIFICATE_PATH не заданы.

ActiveDirectoryIntegrated

Этот метод в настоящее время не реализуется и возвращается в ActiveDirectoryDefault.

пароль Active Directory

• Этот метод проходит проверку подлинности с помощью имени пользователя и пароля. Он не работает, если требуется многофакторная проверка подлинности.

• Вы предоставляете имя пользователя и пароль с помощью обычных коммутаторов командной строки или SQLCMD переменных среды.

• Задайте для переменной среды AZURE_TENANT_ID идентификатор арендатора сервера, если не используется арендатор пользователя по умолчанию.

ActiveDirectoryInteractive

Этот метод запускает веб-браузер для проверки подлинности пользователя.

ActiveDirectoryManagedIdentity

Используйте этот метод при запуске sqlcmd (Go) на виртуальной машине Azure, которая имеет управляемое удостоверение, назначаемое системой или назначаемое пользователем. При использовании управляемого удостоверения, назначаемого пользователем, задайте имя пользователя как идентификатор клиента управляемого удостоверения. Если используется идентичность, назначаемая системой, оставьте поле имени пользователя пустым.

В этом примере показано, как подключиться с помощью удостоверения с назначением службы (SAMI):

-S testsrv.database.windows.net -d Target_DB_or_DW --authentication-method ActiveDirectoryManagedIdentity

В этом примере показано, как подключиться к управляемому удостоверению, назначенному пользователем (UAMI), добавив идентификатор клиента назначаемого пользователем управляемого удостоверения:

-S testsrv.database.windows.net -d Target_DB_or_DW --authentication-method ActiveDirectoryManagedIdentity -U <user-assigned-managed-identity-client-id>

ActiveDirectoryServicePrincipal

Этот метод проверяет подлинность указанного имени пользователя в качестве идентификатора субъекта-службы и пароль в качестве секрета клиента для субъекта-службы. Укажите имя пользователя в формате <service principal id>@<tenant id>. Задайте для переменной SQLCMDPASSWORD секрет клиента. При использовании сертификата вместо секрета клиента задайте для переменной среды AZURE_CLIENT_CERTIFICATE_PATH путь к файлу сертификата.

Переменные среды для аутентификации Microsoft Entra

Некоторые параметры проверки подлинности Microsoft Entra не поддерживают команды на командной строке, а некоторые переменные среды напрямую обрабатываются пакетом azidentity, используемым командой sqlcmd (Go).

Эти переменные среды можно задать для настройки некоторых аспектов проверки подлинности Microsoft Entra и обхода поведения по умолчанию. Помимо перечисленных ранее переменных, следующие относятся к sqlcmd (Go) и применяются к нескольким методам.

SQLCMDCLIENTID

Задайте для этой переменной среды идентификатор приложения, зарегистрированного в Microsoft Entra, который авторизован для аутентификации в базе данных SQL Azure. Применяется к методам ActiveDirectoryInteractive и ActiveDirectoryPassword.

sqlcmd (ODBC)

Этот -G параметр используется sqlcmd (ODBC) при подключении к База данных SQL Azure или Azure Synapse Analytics, чтобы указать, что пользователь проходит проверку подлинности с помощью проверки подлинности Microsoft Entra. Этот параметр задает SQLCMDUSEAAD=true.

• Для параметра -G требуется по крайней мере sqlcmd версии 13.1. Для интерактивной проверки подлинности Microsoft Entra требуется sqlcmd (ODBC) версии 15.0.1000.34 и более поздних версий, а также ODBC версии 17.2 и более поздних версий.

• Для интегрированной проверки подлинности Microsoft Entra требуется Microsoft ODBC Driver 17 для SQL Server версии 17.6.1 и более поздних версий, а также правильно настроенная среда Kerberos.

• Параметр -G применяется только для Базы данных SQL Azure и Azure Synapse Analytics.

• Интерактивная проверка подлинности Microsoft Entra в настоящее время не поддерживается в Linux или macOS.

Чтобы определить версию, выполните sqlcmd "-?". Дополнительные сведения см. в статье Подключение к базе данных SQL или Azure Synapse Analytics с использованием проверки подлинности Azure Active Directory. Параметр -A не поддерживается с параметром -G .

Имя пользователя и пароль Microsoft Entra

Если вы хотите использовать имя пользователя и пароль Microsoft Entra, можно указать -G параметр с именем пользователя и паролем, используя -U параметры и -P параметры.

sqlcmd -S testsrv.database.windows.net -d Target_DB_or_DW -U bob@contoso.com -P MyAzureADPassword -G

Параметр -G создает следующую строку подключения на серверной стороне.

SERVER = Target_DB_or_DW.testsrv.database.windows.net;UID=bob@contoso.com;PWD=MyAzureADPassword;AUTHENTICATION=ActiveDirectoryPassword;

Встроенная проверка подлинности Microsoft Entra

Для встроенной проверки подлинности Microsoft Entra укажите -G параметр без имени пользователя или пароля.

sqlcmd -S Target_DB_or_DW.testsrv.database.windows.net -G

Эта команда создает следующую строку подключения в фоновом режиме:

SERVER = Target_DB_or_DW.testsrv.database.windows.net;Authentication=ActiveDirectoryIntegrated;Trusted_Connection=NO;

Примечание.

Параметр -E (Trusted_Connection) нельзя использовать вместе с параметром -G .

Интерактивная проверка подлинности Microsoft Entra

Интерактивная проверка подлинности Microsoft Entra для База данных SQL Azure и Azure Synapse Analytics позволяет использовать интерактивный метод, поддерживающий многофакторную проверку подлинности. Дополнительные сведения см. в разделе Интерактивная проверка подлинности Active Directory.

Чтобы включить интерактивную проверку подлинности, укажите -G параметр только с именем пользователя (-U) без пароля.

В следующем примере экспортируются данные с помощью интерактивного режима Microsoft Entra, указывающего имя пользователя, в котором пользователь представляет учетную запись Microsoft Entra. Это тот же пример, используемый в предыдущем разделе, имя пользователя и пароль Microsoft Entra.

В интерактивном режиме требуется вручную ввести пароль или учетные записи с включенной многофакторной проверкой подлинности, выполнить настроенный метод проверки подлинности MFA.

sqlcmd -S testsrv.database.windows.net -d Target_DB_or_DW -G -U alice@aadtest.onmicrosoft.com

Предыдущая команда создает следующую строку подключения в серверной части:

SERVER = Target_DB_or_DW.testsrv.database.windows.net;UID=alice@aadtest.onmicrosoft.com;AUTHENTICATION=ActiveDirectoryInteractive

Если пользователь Microsoft Entra является федеративным пользователем домена с помощью учетной записи Windows, имя пользователя, необходимое в командной строке, содержит свою учетную запись домена (например joe@contoso.com):

sqlcmd -S testsrv.database.windows.net -d Target_DB_or_DW -G -U joe@contoso.com

Если гостевые пользователи существуют в определенном клиенте Microsoft Entra и являются частью группы, которая существует в База данных SQL Azure с разрешениями базы данных для выполнения команды sqlcmd, используется псевдоним гостевого пользователя (например, keith0@adventureworks.com).

Внимание

Существует известная проблема при использовании параметров -G и -U с sqlcmd (ODBC), когда параметр -U указывается перед параметром -G, что может вызвать отказ в аутентификации. Всегда начинайте с использования параметра -G, за которым следует параметр -U.

Связанный контент

• Служебная программа sqlcmd
• sqlcmd — запуск служебной программы
• sqlcmd — использование служебной программы