Nativní objekty zabezpečení Windows
Platí pro: Azure SQL Managed Instance
Režim metadat ověřování systému Windows je nový režim, který umožňuje uživatelům používat ověřování systému Windows nebo ověřování Microsoft Entra (pomocí metadat objektů zabezpečení Windows) se službou Azure SQL Managed Instance. Tento režim je k dispozici pouze pro spravovanou instanci SQL. Režim metadat ověřování systému Windows není pro Azure SQL Database dostupný.
Pokud je vaše prostředí synchronizováno mezi službou Active Directory (AD) a Microsoft Entra ID, uživatelské účty Systému Windows v AD se synchronizují s uživatelskými účty Microsoft Entra v Microsoft Entra ID.
Ověřování pro službu SQL Managed Instance a SQL Server je založené na metadatech, která jsou svázaná s přihlášeními. Pro přihlášení k ověřování systému Windows se metadata vytvoří při vytvoření přihlášení z CREATE LOGIN FROM WINDOWS
příkazu. Pro přihlášení Microsoft Entra se metadata vytvoří při vytvoření přihlášení z CREATE LOGIN FROM EXTERNAL PROVIDER
příkazu. Pro přihlášení k ověřování SQL se metadata vytvoří při CREATE LOGIN WITH PASSWORD
spuštění příkazu. Proces ověřování je úzce propojený s metadaty uloženými ve službě SQL Managed Instance nebo SQL Server.
Video vysvětlující nativní objekty zabezpečení Systému Windows můžete také odkazovat na tuto epizodu Vystavená data.
Poznámka:
Použití nativních objektů zabezpečení Systému Windows s režimem metadat ověřování systému Windows ve službě SQL Managed Instance je aktuálně ve verzi Preview.
Režimy metadat ověřování
Pro službu SQL Managed Instance jsou k dispozici následující režimy metadat ověřování a různé režimy určují, která metadata ověřování se používají k ověřování, a způsob vytvoření přihlášení:
- Microsoft Entra (výchozí): Tento režim umožňuje ověřování uživatelů Microsoft Entra pomocí metadat uživatelů Microsoft Entra. Pokud chcete použít ověřování systému Windows v tomto režimu, přečtěte si téma Ověřování systému Windows pro objekty zabezpečení Microsoft Entra ve službě Azure SQL Managed Instance.
- Spárované (výchozí nastavení SQL Serveru): Výchozí režim pro ověřování SQL Serveru.
- Windows (nový režim): Tento režim umožňuje ověřovat uživatele Microsoft Entra pomocí metadat uživatelů systému Windows ve službě SQL Managed Instance.
Syntaxi CREATE LOGIN FROM WINDOWS
a CREATE USER FROM WINDOWS
lze ji použít k vytvoření přihlášení nebo uživatele ve službě SQL Managed Instance, v uvedeném pořadí pro objekt zabezpečení systému Windows v režimu metadat ověřování systému Windows . Instanční objekt Windows může být uživatel Windows nebo skupina Windows.
Aby bylo možné používat režim metadat ověřování systému Windows , musí uživatelské prostředí synchronizovat službu Active Directory (AD) s Microsoft Entra ID.
Konfigurace režimů metadat ověřování
- Přejděte na web Azure Portal a přejděte k prostředku služby SQL Managed Instance.
- Přejděte na Nastavení > Microsoft Entra ID.
- V rozevíracím seznamu vyberte upřednostňovaný režim metadat ověřování.
- Vyberte Uložit konfiguraci metadat ověřování.
Řešení problémů s migrací pomocí režimu metadat ověřování Systému Windows
Režim metadat ověřování systému Windows pomáhá modernizovat ověřování aplikací a odblokuje problémy s migrací do služby SQL Managed Instance. Tady je několik běžných scénářů, kdy je možné použít režim metadat ověřování systému Windows k řešení problémů zákazníků:
- Složitost nastavení ověřování systému Windows pro spravovanou instanci Azure SQL pomocí Microsoft Entra ID a Kerberosu
- Převzetí služeb při selhání repliky jen pro čtení v odkazu na spravovanou instanci
- Synchronizace ověřování Microsoft Entra pro SQL Server
Ověřování systému Windows pro objekty zabezpečení Microsoft Entra
Pokud je prostředí synchronizováno mezi AD a Microsoft Entra ID, lze režim metadat ověřování systému Windows použít k ověřování uživatelů ve službě SQL Managed Instance pomocí přihlášení systému Windows nebo přihlášení Microsoft Entra, pokud je toto přihlášení vytvořené z objektu zabezpečení systému Windows (CREATE LOGIN FROM WINDOWS
).
Tato funkce je zvlášť užitečná pro zákazníky, kteří mají aplikace, které používají ověřování systému Windows a migrují do služby SQL Managed Instance. Režim metadat ověřování systému Windows umožňuje zákazníkům pokračovat v používání ověřování systému Windows pro své aplikace, aniž by museli provádět změny kódu aplikace. Například aplikace jako BizTalk server, který spouští CREATE LOGIN FROM WINDOWS
a CREATE USER FROM WINDOWS
příkazy, můžou při migraci na spravovanou instanci SQL dál fungovat bez jakýchkoli změn. Jiní uživatelé můžou k ověření ve službě SQL Managed Instance použít přihlášení Microsoft Entra, které je synchronizované s AD.
Managed Instance Link
I když propojení spravované instance umožňuje replikaci dat téměř v reálném čase mezi SQL Serverem a službou SQL Managed Instance, replika jen pro čtení v cloudu brání vytváření objektů zabezpečení Microsoft Entra. Režim metadat ověřování systému Windows umožňuje zákazníkům použít existující přihlášení k Windows k ověření repliky, pokud dojde k převzetí služeb při selhání.
Ověřování Microsoft Entra pro SQL Server 2022 a novější
SQL Server 2022 zavádí podporu ověřování Microsoft Entra. Mnoho uživatelů chce omezit režimy ověřování tak, aby využívaly pouze moderní ověřování, a migrovat všechny objekty zabezpečení Systému Windows na Microsoft Entra ID. Existují však scénáře, ve kterých se stále vyžaduje ověřování systému Windows, například kód aplikace svázaný s objekty zabezpečení systému Windows. Režim metadat ověřování systému Windows umožňuje zákazníkům pokračovat v používání objektů zabezpečení systému Windows pro autorizaci v rámci SQL Serveru při použití objektů zabezpečení Microsoft Entra, které jsou synchronizovány pro ověřování.
SQL Server nerozumí synchronizaci mezi službou Active Directory a ID Microsoft Entra. I když se uživatelé a skupiny synchronizují mezi AD a ID Microsoft Entra, museli jste stále vytvořit přihlášení pomocí syntaxe CREATE LOGIN FROM EXTERNAL PROVIDER
a přidat oprávnění k přihlášení. Režim metadat ověřování systému Windows snižuje potřebu ruční migrace přihlášení do Microsoft Entra ID.
Porovnání režimu metadat ověřování
Tady je vývojový diagram, který vysvětluje, jak funguje režim metadat ověřování se službou SQL Managed Instance:
Dříve zákazníci, kteří synchronizují uživatele mezi AD a ID Microsoft Entra, nemohli ověřit pomocí přihlášení vytvořeného z objektu zabezpečení Systému Windows, ať už použili ověřování systému Windows nebo ověřování Microsoft Entra synchronizované z AD. V režimu metadat ověřování systému Windows se teď můžou zákazníci ověřovat pomocí přihlášení vytvořeného z objektu zabezpečení systému Windows pomocí ověřování systému Windows nebo synchronizovaného objektu zabezpečení Microsoft Entra.
U synchronizovaných uživatelů ověřování proběhne úspěšně nebo selže na základě následujících konfigurací a typu přihlášení:
Režim metadat ověřování | Z WINDOWS | OD EXTERNÍHO POSKYTOVATELE |
---|---|---|
Režim Windows | ||
Ověřování Microsoft Entra | Následuje | Selhává |
Ověřování systému Windows | Následuje | Selhává |
Režim ID Microsoft Entra | ||
Ověřování Microsoft Entra | Selhává | Následuje |
Ověřování systému Windows | Selhává | Následuje |
Spárovaný režim | ||
Ověřování Microsoft Entra | Selhává | Následuje |
Ověřování systému Windows | Následuje | Selhává |
Související obsah
Další informace o implementaci ověřování systému Windows pro objekty zabezpečení Microsoft Entra ve službě SQL Managed Instance:
- Co je Integrované ověřování Windows pro objekty zabezpečení Microsoft Entra ve službě Azure SQL Managed Instance?
- Způsob implementace ověřování systému Windows pro spravovanou instanci Azure SQL s využitím Microsoft Entra ID a Kerberosu
- Jak nastavit ověřování systému Windows pro Microsoft Entra ID pomocí moderního interaktivního toku.
- Jak nastavit ověřování systému Windows pro ID Microsoft Entra s příchozím tokem založeným na důvěryhodnosti.
- Nakonfigurujte službu Azure SQL Managed Instance pro ověřování systému Windows pro ID Microsoft Entra.