Servidor vinculado para SQL Server com a autenticação do Microsoft Entra

  • Artigo

Aplica-se a: SQL Server 2022 (16.x)

Servidores vinculados agora podem ser configurados usando autenticação com Microsoft Entra ID (anteriormente Azure Active Directory) e dão suporte a dois mecanismos para fornecer credenciais:

  • Senha
  • Token de acesso

Este artigo pressupõe que haja duas instâncias do SQL Server (S1 e S2). Ambas foram configuradas para dar suporte à autenticação do Microsoft Entra e confiam no certificado SSL/TLS uma da outra. Os exemplos neste artigo são executados no servidor S1 para criar um servidor vinculado ao servidor S2.

Pré-requisitos

Observação

O nome da entidade do certificado SSL/TLS usado pelo S2 deve corresponder ao nome do servidor fornecido no atributo provstr. Esse deve ser o FQDN (Nome de Domínio Totalmente Qualificado) ou o nome do host de S2.

Configurações de servidor vinculado para autenticação do Microsoft Entra

Vamos examinar a configuração de servidores vinculados usando a autenticação de senha e usando um segredo do aplicativo do Azure ou um token de acesso.

Configuração do servidor vinculado usando a autenticação de senha

Observação

Embora o Microsoft Entra ID seja o novo nome do Azure Active Directory (Azure AD), para evitar a interrupção de ambientes existentes, o Azure AD ainda permanecerá em alguns elementos codificados, como campos de interface do usuário, provedores de conexão, códigos de erro e cmdlets. Neste artigo, os dois nomes são intercambiáveis.

Para a autenticação de senha, o uso de Authentication=ActiveDirectoryPassword na Cadeia de caracteres do provedor sinalizará que o servidor vinculado deve usar a autenticação de senha do Microsoft Entra. Um logon de servidor vinculado deve ser criado para mapear cada logon no S1 para um logon do Microsoft Entra no S2.

  1. No SSMS, conecte-se ao S1 e expanda Objetos de Servidor na janela do Pesquisador de Objetos.

  2. Clique com o botão direito do mouse em Servidores Vinculados e selecione Novo Servidor Vinculado.

  3. Preencha os detalhes do servidor vinculado:

    • Servidor vinculado: S2 ou use o nome do seu servidor vinculado.
    • Tipo de servidor: Other data source.
    • Provedor: Microsoft OLE DB Driver for SQL Server.
    • Nome do produto: deixe vazio.
    • Fonte de dados: deixe vazio.
    • Cadeia de caracteres do provedor: Server=<fqdn of S2>;Authentication=ActiveDirectoryPassword.
    • Catálogo: deixe vazio.

    Captura de tela da criação de um servidor vinculado com autenticação de senha

  4. Selecione a guia Segurança.

  5. Selecione Adicionar.

    • Logon Local: especifique o nome de logon usado para se conectar ao S1.
    • Representar: deixe desmarcado.
    • Usuário Remoto: nome de usuário do usuário do Microsoft Entra usado para se conectar ao S2, no formato de user@contoso.com.
    • Senha remota: senha do usuário do Microsoft Entra.
    • Para um logon não definido na lista acima, as conexões serão: Not be made

  6. Selecione OK.

    Captura de tela da configuração de segurança para um servidor vinculado

Configuração do servidor vinculado usando a autenticação de token de acesso

Para autenticação de token de acesso, o servidor vinculado é criado com AccessToken=%s na Cadeia de caracteres do provedor. Um logon de servidor vinculado é criado para mapear cada logon no S1 para um Aplicativo Microsoft Entra, que recebeu permissões de logon para o S2. O aplicativo deve ter um segredo atribuído a ele, que será usado pelo S1 para gerar o token de acesso. É possível criar um segredo navegando até o Portal do Azure>Microsoft Entra ID>Registros de aplicativo>YourApplication>Certificados e segredos>Novo segredo do cliente.

Captura de tela da criação de um novo segredo do cliente para um aplicativo no portal do Azure

  1. No SSMS, conecte-se ao S1 e expanda Objetos de Servidor na janela do Pesquisador de Objetos.

  2. Clique com o botão direito do mouse em Servidores Vinculados e selecione Novo Servidor Vinculado.

  3. Preencha os detalhes do servidor vinculado:

    • Servidor vinculado: S2 ou use o nome do seu servidor vinculado.
    • Tipo de servidor: Other data source.
    • Provedor: Microsoft OLE DB Driver for SQL Server.
    • Nome do produto: deixe vazio.
    • Fonte de dados: deixe vazio.
    • Cadeia de caracteres do provedor: Server=<fqdn of S2>;AccessToken=%s.
    • Catálogo: deixe vazio.

    Captura de tela da criação de um servidor vinculado com autenticação de token de acesso

  4. Selecione a guia Segurança.

  5. Selecione Adicionar.

    • Logon Local: especifique o nome de logon usado para se conectar ao S1.
    • Representar: deixe desmarcado.
    • Usuário Remoto: ID do cliente do aplicativo do Microsoft Entra usado para se conectar ao S2. Você pode encontrar a ID do aplicativo (cliente) no menu Visão geral do aplicativo do Microsoft Entra.
    • Senha Remota: ID secreta obtida com a criação de um Novo segredo do cliente para o aplicativo.
    • Para um logon não definido na lista acima, as conexões serão: Not be made

  6. Selecione OK.

Confira também