Skapa en Azure SQL Database-server med en användartilldelad hanterad identitet

Artikel
10/24/2023

Den här instruktionsguiden beskriver stegen för att skapa en logisk server för Azure SQL Database med en användartilldelad hanterad identitet. Mer information om fördelarna med att använda en användartilldelad hanterad identitet för serveridentiteten i Azure SQL Database finns i Användartilldelad hanterad identitet i Microsoft Entra-ID för Azure SQL.

Information om hur du hämtar den systemtilldelade hanterade identiteten (SMI) eller användartilldelade hanterade identiteter eller identiteter (UMI) för en Azure SQL Database finns i Hämta eller ange en hanterad identitet för en logisk server eller hanterad instans.

Kommentar

Microsoft Entra-ID är det nya namnet för Azure Active Directory (Azure AD). Vi uppdaterar dokumentationen just nu.

Förutsättningar

Om du vill etablera en SQL Database-server med en användartilldelad hanterad identitet krävs rollen SQL Server-deltagare (eller en roll med större behörigheter) tillsammans med en Azure RBAC-roll som innehåller följande åtgärd:
- Microsoft.ManagedIdentity/userAssignedIdentities/*/assign/action – Till exempel har den hanterade identitetsoperatorn den här åtgärden.
Skapa en användartilldelad hanterad identitet och tilldela den nödvändig behörighet för att vara en server eller hanterad instansidentitet. Mer information finns i Hantera användartilldelade hanterade identiteter och användartilldelade hanterade identitetsbehörigheter för Azure SQL.
Az.Sql-modul 3.4 eller senare krävs när du använder PowerShell för användartilldelade hanterade identiteter.
Azure CLI 2.26.0 eller senare krävs för att använda Azure CLI med användartilldelade hanterade identiteter.
En lista över begränsningar och kända problem med att använda användartilldelad hanterad identitet finns i Användartilldelad hanterad identitet i Microsoft Entra för Azure SQL

Skapa en server som konfigurerats med en användartilldelad hanterad identitet

Följande steg beskriver processen med att skapa en ny logisk Azure SQL Database-server och en ny databas med en användartilldelad hanterad identitet tilldelad.

Kommentar

Flera användartilldelade hanterade identiteter kan läggas till på servern, men endast en identitet kan vara den primära identiteten vid en viss tidpunkt. I det här exemplet är den systemtilldelade hanterade identiteten inaktiverad, men den kan också aktiveras.

Bläddra till sidan Välj SQL-distributionsalternativ i Azure-portalen.
Om du inte redan är inloggad på Azure-portalen loggar du in när du uppmanas att göra det.
Under SQL-databaser lämnar du Resurstyp inställd på Enskild databas och väljer Skapa.
På fliken Grundläggande i formuläret Skapa SQL Database går du till Projektinformation och väljer önskad Azure-prenumeration.
För Resursgrupp väljer du Skapa ny, anger ett namn för resursgruppen och väljer OK.
För Databasnamn anger du önskat databasnamn.
För Server väljer du Skapa ny och fyller i formuläret Ny server med följande värden:
- Servernamn: Ange ett unikt servernamn. Servernamn måste vara globalt unika för alla servrar i Azure, inte bara unika i en prenumeration.
- Inloggning för serveradministratör: Ange ett inloggningsnamn för administratör, till exempel: azureuser.
- Lösenord: Ange ett lösenord som uppfyller lösenordskraven och ange det igen i fältet Bekräfta lösenord .
- Plats: Välj en plats i listrutan
Välj Nästa: Nätverk längst ned på sidan.
På fliken Nätverk för Anslut ivity-metoden väljer du Offentlig slutpunkt.
För Brandväggsregler anger du Lägg till aktuell klient-IP-adress till Ja. Låt Tillåt Att Azure-tjänster och resurser får åtkomst till den här servern inställt på Nej.
Välj Nästa: Säkerhet längst ned på sidan.
På fliken Säkerhet går du till Identitet och väljer Konfigurera identiteter.
På bladet Identitet går du till Användartilldelad hanterad identitet och väljer Lägg till. Välj önskad prenumeration och under Användartilldelade hanterade identiteter väljer du önskad användartilldelad hanterad identitet från den valda prenumerationen. Välj sedan knappen Välj .
Under Primär identitet väljer du samma användartilldelade hanterade identitet som valdes i föregående steg.

Kommentar

Om den systemtilldelade hanterade identiteten är den primära identiteten måste fältet Primär identitet vara tomt.
Välj Använd
Välj Granska + skapa längst ned på sidan
På sidan Granska + skapa väljer du Skapa när du har granskat.

Azure CLI-kommandot az sql server create används för att etablera en ny logisk server. Kommandot nedan etablerar en ny server med en användartilldelad hanterad identitet. Exemplet aktiverar även Microsoft Entra-endast autentisering och anger en Microsoft Entra-administratör för servern.

Serverns SQL-administratörsinloggning skapas automatiskt och lösenordet anges till ett slumpmässigt lösenord. Eftersom SQL-autentiseringsanslutningen är inaktiverad när servern skapas används inte SQL-administratörsinloggningen.

Serverns Microsoft Entra-administratör är det konto som du har angett för <AzureADAccount>och kan användas för att hantera servern.

Ersätt följande värden i exemplet:

<subscriptionId>: Ditt prenumerations-ID finns i Azure-portalen
<ResourceGroupName>: Namnet på resursgruppen för den logiska servern
<managedIdentity>: Den användartilldelade hanterade identiteten. Kan också användas som primär identitet.
<primaryIdentity>: Den primära identitet som du vill använda som serveridentitet
<AzureADAccount>: Kan vara en Microsoft Entra-användare eller grupp. Till exempel: DummyLogin
<AzureADAccountSID>: Microsoft Entra-objekt-ID för användaren
<ServerName>: Använd ett unikt namn på den logiska servern
<Location>: Plats för servern, till exempel westus, eller centralus

subscription_id=<subscriptionId>
resource_group=<ResourceGroupName>
managed_identity=<managedIdentity>
primary_identity=<primaryIdentity>
azure_ad_account=<AzureADAccount>
azure_ad_account_sid=<AzureADAccountSID>
server_name=<ServerName>
location=<Location>

az sql server create \
  --assign-identity \
  --identity-type UserAssigned \
  --user-assigned-identity-id /subscriptions/$subscription_id/resourceGroups/$resource_group/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$managed_identity \
  --primary-user-assigned-identity-id /subscriptions/$subscription_id/resourceGroups/$resource_group/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$primary_identity \
  --enable-ad-only-auth \
  --external-admin-principal-type User \
  --external-admin-name $azure_ad_account \
  --external-admin-sid $azure_ad_account_sid \
  -g $resource_group \
  -n $server_name \
  -l $location

Mer information finns i az sql server create.

Kommentar

Exemplet ovan etablerar en server med endast en användartilldelad hanterad identitet. Du kan ange --identity-type till UserAssigned,SystemAssigned om du vill att båda typerna av hanterade identiteter ska skapas med servern.

Information om hur du kontrollerar serverstatusen när du har skapat finns i följande kommando:

az sql server show --name <ServerName> --resource-group <ResourceGroupName> --expand-ad-admin

PowerShell-kommandot New-AzSqlServer används för att etablera en ny logisk Azure SQL-server. Kommandot nedan etablerar en ny server med en användartilldelad hanterad identitet. Exemplet aktiverar även Microsoft Entra-endast autentisering och anger en Microsoft Entra-administratör för servern.

Serverns Microsoft Entra-administratör är det konto som du har angett för <AzureADAccount>och kan användas för att hantera servern.

Ersätt följande värden i exemplet:

<ResourceGroupName>: Namnet på resursgruppen för den logiska servern
<Location>: Plats för servern, till exempel West US, eller Central US
<ServerName>: Använd ett unikt namn på den logiska servern
<subscriptionId>: Ditt prenumerations-ID finns i Azure-portalen
<managedIdentity>: Den användartilldelade hanterade identiteten. Kan också användas som primär identitet
<primaryIdentity>: Den primära identitet som du vill använda som serveridentitet
<AzureADAccount>: Kan vara en Microsoft Entra-användare eller grupp. Till exempel: DummyLogin

$server = @{
    ResourceGroupName = "<ResourceGroupName>"
    Location = "<Location>"
    ServerName = "<ServerName>"
    ServerVersion = "12.0"
    AssignIdentity = $true
    IdentityType = "UserAssigned"
    UserAssignedIdentityId = "/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>"
    PrimaryUserAssignedIdentityId = "/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<primaryIdentity>"
    ExternalAdminName = "<AzureADAccount>"
    EnableActiveDirectoryOnlyAuthentication = $true
}

New-AzSqlServer @server

Mer information finns i New-AzSqlServer.

Kommentar

Exemplet ovan etablerar en server med endast en användartilldelad hanterad identitet. Du kan ange -IdentityType till "UserAssigned,SystemAssigned" om du vill att båda typerna av hanterade identiteter ska skapas med servern.

Information om hur du kontrollerar serverstatusen när du har skapat finns i följande kommando:

Get-AzSqlServer -ResourceGroupName "<ResourceGroupName>" -ServerName "<ServerName>" -ExpandActiveDirectoryAdministrator

Rest-API:et Servrar – Skapa eller uppdatera kan användas för att skapa en logisk server med en användartilldelad hanterad identitet.

Skriptet nedan etablerar en logisk server, anger Microsoft Entra-administratören som <AzureADAccount>och aktiverar Endast Microsoft Entra-autentisering. Serverns SQL-administratörsinloggning skapas också automatiskt och lösenordet anges till ett slumpmässigt lösenord. Eftersom SQL-autentiseringsanslutningen är inaktiverad med den här etableringen används inte SQL-administratörsinloggningen.

Microsoft Entra-administratören <AzureADAccount> kan användas för att hantera servern när etableringen är klar.

Ersätt följande värden i exemplet:

<tenantId>: Du hittar den genom att gå till Azure-portalen och gå till din Microsoft Entra-ID-resurs . I fönstret Översikt bör du se ditt klientorganisations-ID
<subscriptionId>: Ditt prenumerations-ID finns i Azure-portalen
<ServerName>: Använd ett unikt namn på den logiska servern
<ResourceGroupName>: Namnet på resursgruppen för den logiska servern
<AzureADAccount>: Kan vara en Microsoft Entra-användare eller grupp. Till exempel: DummyLogin
<Location>: Plats för servern, till exempel westus2, eller centralus
<objectId>: Du hittar den genom att gå till Azure-portalen och gå till din Microsoft Entra-ID-resurs . I fönstret Användare söker du efter Microsoft Entra-användaren och letar reda på deras objekt-ID
<managedIdentity>: Den användartilldelade hanterade identiteten. Kan också användas som primär identitet
<primaryIdentity>: Den primära identitet som du vill använda som serveridentitet

Import-Module Azure
Import-Module MSAL.PS

$tenantId = '<tenantId>'
$clientId = '1950a258-227b-4e31-a9cf-717495945fc2' # Static Microsoft client ID used for getting a token
$subscriptionId = '<subscriptionId>'
$uri = "urn:ietf:wg:oauth:2.0:oob" 
$authUrl = "https://login.windows.net/$tenantId"
$serverName = "<ServerName>"
$resourceGroupName = "<ResourceGroupName>"

Login-AzAccount -tenantId $tenantId

# login as a user with SQL Server Contributor role or higher 

# Get a token

$result = Get-MsalToken -RedirectUri $uri -ClientId $clientId -TenantId $tenantId -Scopes "https://management.core.windows.net/.default"

#Authetication header
$authHeader = @{
'Content-Type'='application\json; '
'Authorization'=$result.CreateAuthorizationHeader()
}

# Enable Azure AD-only auth and sets a user-managed identity as the server identity
# No server admin is specified, and only Azure AD admin and Azure AD-only authentication is set to true
# Server admin (login and password) is generated by the system
# The sid is the Azure AD Object ID for the user 
# Replace all values in a <>

$body = '{ 
"location": "<Location>",
"identity": {"type" : "UserAssigned", "UserAssignedIdentities" : {"/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>" : {}}},
"properties": { "PrimaryUserAssignedIdentityId":"/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<primaryIdentity>","administrators":{ "login":"<AzureADAccount>", "sid":"<objectId>", "tenantId":"<tenantId>", "principalType":"User", "azureADOnlyAuthentication":true }
  }
}'

# Provision the server

Invoke-RestMethod -Uri https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Sql/servers/$serverName/?api-version=2020-11-01-preview -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

Kommentar

Exemplet ovan etablerar en server med endast en användartilldelad hanterad identitet. Du kan ange "type" till "UserAssigned,SystemAssigned" om du vill att båda typerna av hanterade identiteter ska skapas med servern.

Om du vill kontrollera serverstatusen kan du använda följande skript:

$uri = 'https://management.azure.com/subscriptions/'+$subscriptionId+'/resourceGroups/'+$resourceGroupName+'/providers/Microsoft.Sql/servers/'+$serverName+'?api-version=2020-11-01-preview&$expand=administrators/activedirectory'

$responce=Invoke-WebRequest -Uri $uri -Method PUT -Headers $authHeader -Body $body -ContentType "application/json"

$responce.statuscode

$responce.content

Här är ett exempel på en ARM-mall som skapar en logisk Azure SQL Database-server med en användartilldelad hanterad identitet. Mallen lägger också till en Microsoft Entra-administratörsuppsättning för servern och aktiverar endast Microsoft Entra-autentisering, men detta kan tas bort från mallexemplet.

Mer information och ARM-mallar finns i Azure Resource Manager-mallar för Azure SQL Database och SQL Managed Instance.

Använd en anpassad distribution i Azure-portalen och Skapa en egen mall i redigeringsprogrammet. Spara sedan konfigurationen när du klistrade in i exemplet.

Om du vill hämta ditt användartilldelade resurs-ID för hanterad identitet söker du efter hanterade identiteter i Azure-portalen. Hitta din hanterade identitet och gå till Egenskaper. Ett exempel på ditt UMI-resurs-ID ser ut som /subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "server": {
            "type": "string",
            "defaultValue": "[uniqueString('sql', resourceGroup().id)]",
            "metadata": {
                "description": "The name of the logical server."
            }
        },
        "location": {
            "type": "string",
            "defaultValue": "[resourceGroup().location]",
            "metadata": {
                "description": "Location for all resources."
            }
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL server."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        },
        "user_identity_resource_id": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The Resource ID of the user-assigned managed identity, in the form of /subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>."
            }
        },
        "AdminLogin": {
            "minLength": 1,
            "type": "String"
        },
        "AdminLoginPassword": {
            "type": "SecureString"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Sql/servers",
            "apiVersion": "2020-11-01-preview",
            "name": "[parameters('server')]",
            "location": "[parameters('location')]",
            "identity": {
                "type": "UserAssigned",
                "UserAssignedIdentities": {
                    "[parameters('user_identity_resource_id')]": {}
                }
            },
            "properties": {
                "administratorLogin": "[parameters('AdminLogin')]",
                "administratorLoginPassword": "[parameters('AdminLoginPassword')]",
                "PrimaryUserAssignedIdentityId": "[parameters('user_identity_resource_id')]",
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}

Dela via

Skapa en Azure SQL Database-server med en användartilldelad hanterad identitet

Förutsättningar

Skapa en server som konfigurerats med en användartilldelad hanterad identitet

Feedback

Ytterligare resurser

Dela via

Skapa en Azure SQL Database-server med en användartilldelad hanterad identitet

Förutsättningar

Skapa en server som konfigurerats med en användartilldelad hanterad identitet

Relaterat innehåll

Feedback

Ytterligare resurser