Microsoft Entra-autentisering för SQL Server
gäller för:
SQL Server 2022 (16.x)
SQL Server 2022 (16.x) introducerar stöd för autentisering med Microsoft Entra ID (tidigare Azure Active Directory), både lokalt i Windows och Linux och SQL Server på virtuella Azure Windows-datorer.
Använd Microsoft Entra-ID med fristående SQL Server-instanser eller AlwaysOn-tillgänglighetsgrupper. SQL Server-redundansklusterinstanser stöder för närvarande inte Microsoft Entra-autentisering.
Överblick
Nu kan du ansluta till SQL Server med hjälp av följande Microsoft Entra-autentiseringsmetoder:
- Standardautentisering
- Användarnamn och lösenord
- Integrerad
- Universell med multifaktorautentisering
- Tjänstens huvudnamn
- Hanterad identitet
- Åtkomsttoken
De befintliga autentiseringslägena SQL-autentisering och Windows-autentisering förbli oförändrade.
Microsoft Entra ID är Azures molnbaserade tjänst för identitets- och åtkomsthantering. Microsoft Entra-ID liknar konceptuellt Active Directory, vilket ger en central lagringsplats för hantering av åtkomst till organisationens resurser. Identiteter är objekt i Microsoft Entra-ID som representerar användare, grupper eller program. De kan tilldelas behörigheter via rollbaserad åtkomstkontroll och användas för autentisering till Azure-resurser. Microsoft Entra-autentisering stöds för:
- Azure SQL Database
- Azure SQL Managed Instance
- SQL Server på virtuella Windows Azure-datorer
- Azure Synapse Analytics
- SQL Server
Mer information finns i Använda Microsoft Entra-autentisering med Azure SQL och Konfigurera och hantera Microsoft Entra-autentisering med Azure SQL.
Om din Windows Server Active Directory är federerad med Microsoft Entra-ID kan användarna autentisera med SQL Server med sina Windows-autentiseringsuppgifter, antingen som Windows-inloggningar eller Microsoft Entra-inloggningar. Microsoft Entra-ID stöder inte alla AD-funktioner som stöds av Windows Server Active Directory, till exempel tjänstkonton eller komplex nätverksskogsarkitektur. Det finns andra funktioner i Microsoft Entra-ID, till exempel multifaktorautentisering som inte är tillgängliga med Active Directory. Jämför Microsoft Entra-ID med Active Directory om du vill veta mer.
Ansluta SQL Server till Azure med Microsoft Entra-ID
För att SQL Server ska kunna kommunicera med Azure måste både SQL Server och Den Windows- eller Linux-värd som den körs på registreras med Azure Arc. Om du vill aktivera SQL Server-kommunikation med Azure måste du installera Azure Arc Agent och Azure-tillägget för SQL Server.
Kom igång genom att läsa Ansluta SQL Server till Azure Arc.
Anteckning
Om du kör SQL Server på en virtuell Azure-dator behöver du inte registrera den virtuella datorn med Azure Arc. Du måste i stället registrera den virtuella datorn med SQL IaaS-agenttillägget. När den virtuella datorn har registrerats kan du läsa Aktivera Azure AD-autentisering för SQL Server på virtuella Azure-datorer för mer information.
Standardautentisering
Standardautentiseringsalternativet med Microsoft Entra-ID som möjliggör autentisering via lösenordslösa och icke-interaktiva mekanismer, inklusive hanterade identiteter, Visual Studio, Visual Studio Code, Azure CLI med mera.
Användarnamn och lösenord
Tillåter att användarnamn och lösenord anges för klienten och drivrutinen. Metoden användarnamn och lösenord är ofta inaktiverad för många klienter av säkerhetsskäl. Även om anslutningarna är krypterade är det bästa praxis/rekommenderas att undvika användning av användarnamn och lösenord när det är möjligt eftersom det kräver att lösenord skickas via nätverket.
Integrerad
Med integrerad Windows-autentisering (IWA)tillhandahåller Microsoft Entra-ID en lösning för organisationer med både lokal och molnbaserad infrastruktur. Lokala Active Directory-domäner kan synkroniseras med Microsoft Entra-ID via federation, vilket gör att hanterings- och åtkomstkontroll kan hanteras inom Microsoft Entra-ID, medan användarautentiseringen förblir lokal. Med IWA autentiseras användarens Windows-autentiseringsuppgifter mot Active Directory och när det lyckas returneras användarens autentiseringstoken från Microsoft Entra-ID:t till SQL.
Universell med multifaktorautentisering
Det här är den interaktiva standardmetoden med alternativet multifaktorautentisering för Microsoft Entra-konton. Detta fungerar i de flesta scenarier.
Tjänstens huvudnamn
En tjänstprincip är en identitet som kan skapas för användning med automatiserade verktyg, program och uppgifter. Med autentiseringsmetoden för tjänstens huvudnamn kan du ansluta till din SQL Server-instans med hjälp av klient-ID:t och hemligheten för en tjänsthuvudnamnsidentitet.
Hanterad identitet
Hanterade identiteter är särskilda former av tjänstprincipaler. Det finns två typer av hanterade identiteter: systemtilldelade och användartilldelade. Systemtilldelade hanterade identiteter aktiveras direkt på en Azure-resurs, medan användartilldelade hanterade identiteter är en fristående resurs som kan tilldelas till en eller flera Azure-resurser.
Notera
För att kunna använda en hanterad identitet för att ansluta till en SQL-resurs via GUI-klienter som SSMS och ADS, måste datorn som kör klientprogrammet ha en Microsoft Entra-klient som körs med identitetens certifikat som lagras i den. Detta uppnås oftast via en virtuell Azure-dator eftersom identiteten enkelt kan tilldelas till datorn via den virtuella datorns portalfönster.
För verktyg som använder Azure-identitetsbibliotek som SQL Server Management Studio (SSMS) när du ansluter med en hanterad identitet måste du använda GUID för inloggningen, till exempel abcd1234-abcd-1234-abcd-abcd1234abcd1234. Mer information finns i (ManagedIdentityCredential. Om du felaktigt skickar användarnamnet uppstår ett fel, till exempel:
ManagedIdentityCredential authentication unavailable. The requested identity has not been assigned to this resource.
Status: 400 (Bad Request)
Content:
{"error":"invalid_request","error_description":"Identity not found"}
Åtkomsttoken
Vissa icke-GUI-klienter, såsom Invoke-sqlcmd, tillåter att du tillhandahåller en åtkomsttoken. Åtkomsttokens omfång eller målgrupp måste vara https://database.windows.net/.
Anmärkningar
- Endast SQL Server 2022 (16.x) lokalt med ett Windows- eller Linux-operativsystem som stöds, eller SQL Server 2022 på virtuella Windows Azure-datorer, stöds för Microsoft Entra-autentisering.
- För att ansluta SQL Server till Azure Arc behöver Microsoft Entra-kontot följande behörigheter:
- Medlem av Azure Connected Machine Onboarding gruppen, eller medverkande i roll i resursgruppen.
- Medlem i Azure Connected Machine Resource Administrator-rollen i resursgruppen.
- Medlem av Reader-rollen i resursgruppen.
- Microsoft Entra-autentisering stöds inte för SQL Server-redundansklusterinstanser
Relaterat innehåll
- Microsoft Entra-autentisering
- länkad server för SQL Server med Microsoft Entra-autentisering
- Handledning: Använd automatisering för att ställa in Microsoft Entra-administratören för SQL Server
- Självstudie: Konfigurera Microsoft Entra-autentisering för SQL Server
- Rotera certifikat
- Ansluta SQL Server till Azure Arc