Dela via

Länkad server för SQL Server med Microsoft Entra-autentisering

  • Artikel

gäller för: SQL Server 2022 (16.x)

Länkade servrar kan nu konfigureras med autentisering med Microsoft Entra-ID (tidigare Azure Active Directory) och har stöd för två mekanismer för att ange behörighetsuppgifter:

  • Lösenord
  • Åtkomsttoken

Den här artikeln förutsätter att det finns två SQL Server-instanser (S1 och S2). Båda har konfigurerats för att stödja Microsoft Entra-autentisering och de litar på varandras SSL/TLS-certifikat. Exemplen i den här artikeln körs på server S1 för att skapa en länkad server till server S2.

Förutsättningar

Obs.

Ämnesnamnet för SSL/TLS-certifikatet som används av S2 måste matcha servernamnet som anges i attributet provstr. Detta bör antingen vara det fullständigt kvalificerade domännamnet (FQDN) eller värdnamn för S2.

Länkade serverkonfigurationer för Microsoft Entra-autentisering

Vi går över till att konfigurera länkade servrar med lösenordsautentisering och använda en Azure-programhemlighet eller åtkomsttoken.

Konfiguration av länkad server med lösenordsautentisering

Obs

Även om Microsoft Entra ID är det nya namnet för Azure Active Directory (Azure AD), kvarstår Azure AD fortfarande i vissa hårdkodade element såsom UI-fält, anslutningsproviders, felkoder och cmdletar, för att undvika att störa befintliga miljöer. I den här artikeln är de två namnen utbytbara.

Om du använder Authentication=ActiveDirectoryPassword i Providersträngen kommer att signalera att den länkade servern använder Microsoft Entra-lösenordsautentisering. En länkad serverinloggning måste skapas för att mappa varje inloggning på S1 till en Microsoft Entra-inloggning på S2.

  1. I SSMS ansluter du till S1 och expanderar serverobjekt i fönstret Object Explorer.

  2. Högerklicka på länkade servrar och välj Ny länkad server.

  3. Fyll i din länkade serverinformation:

    • Länkad server: S2 eller använd namnet på den länkade servern.
    • Servertyp: Other data source.
    • Provider: Microsoft OLE DB Driver for SQL Server.
    • Produktnamn: lämnas tomt.
    • Datakällan: lämna tom.
    • Providersträng: Server=<fqdn of S2>;Authentication=ActiveDirectoryPassword.
    • Catalog: lämna tom.

    Skärmbild av hur du skapar en länkad server med lösenordsautentisering

  4. Välj fliken Säkerhet.

  5. Välj Lägg till.

    • lokal inloggning: ange inloggningsnamnet som används för att ansluta till S1.
    • Personifiera: lämna avmarkerat.
    • Fjärranvändare: användarnamn för Microsoft Entra-användaren som används för att ansluta till S2, i formatet user@contoso.com.
    • Fjärrlösenord: lösenord för Microsoft Entra-användaren.
    • För en inloggning som inte har definierats i listan ovananslutningar: Not be made

  6. Välj OK.

    Skärmbild av hur du ställer in säkerhet för länkad server

Konfiguration av länkad server med åtkomsttokenautentisering

För autentisering med åtkomsttoken skapas den länkade servern med AccessToken=%s i strängen Provider. En länkad serverinloggning skapas för att koppla varje inloggning i S1 till ett Microsoft Entra-program, som har beviljats inloggningsbehörigheter till S2. Programmet måste ha tilldelats en hemlighet som ska användas av S1 för att generera åtkomsttoken. Du kan skapa en hemlighet genom att gå till Azure-portalen>Microsoft Entra ID>Appregistreringar>YourApplication>Certifikat & hemligheter>Ny klienthemlighet.

Skärmbild av hur du skapar en ny klienthemlighet för ett program i Azure-portalen

  1. I SSMS ansluter du till S1 och expanderar serverobjekt i fönstret Object Explorer.

  2. Högerklicka på länkade servrar och välj Ny länkad server.

  3. Fyll i din länkade serverinformation:

    • Länkad server: S2 eller använd namnet på den länkade servern.
    • Servertyp: Other data source.
    • Provider: Microsoft OLE DB Driver for SQL Server.
    • Produktnamn: Lämna tomt.
    • Datakällan: lämna tom.
    • Providersträng: Server=<fqdn of S2>;AccessToken=%s.
    • Catalog: lämna tom.

    Skärmbild av att skapa en länkad server med åtkomsttokenautentisering

  4. Välj fliken Säkerhet.

  5. Välj Lägg till.

    • lokal inloggning: ange inloggningsnamnet som används för att ansluta till S1.
    • Personifiera: lämna avmarkerat.
    • Fjärranvändare: klient-ID för Microsoft Entra-programmet som används för att ansluta till S2. Du hittar program-ID (klient)-ID:t på menyn Översikt i ditt Microsoft Entra-program.
    • Fjärrlösenord: hemligt ID som hämtats från att skapa en Ny klienthemlighet för programmet.
    • För en inloggning som inte har definierats i listan ovananslutningar: Not be made

  6. Välj OK.

Se även