Собственные субъекты Windows

Область применения: Управляемый экземпляр SQL Azure

Режим метаданных проверки подлинности Windows — это новый режим, позволяющий пользователям использовать проверку подлинности проверка подлинности Windows или Microsoft Entra (с помощью метаданных субъекта Windows) с Управляемый экземпляр SQL Azure. Этот режим доступен только для Управляемый экземпляр SQL. Режим метаданных проверки подлинности Windows недоступен для База данных SQL Azure.

При синхронизации среды между Active Directory (AD) и идентификатором Microsoft Entra учетные записи пользователей Windows в AD синхронизируются с учетными записями пользователей Microsoft Entra в идентификаторе Microsoft Entra.

Проверка подлинности для Управляемый экземпляр SQL и SQL Server основана на метаданных, привязанных к именам входа. Для входа проверка подлинности Windows метаданные создаются при создании имени входа из CREATE LOGIN FROM WINDOWS команды. Для имен входа Microsoft Entra метаданные создаются при создании имени входа из CREATE LOGIN FROM EXTERNAL PROVIDER команды. Для входа проверки подлинности SQL метаданные создаются при CREATE LOGIN WITH PASSWORD выполнении команды. Процесс проверки подлинности тесно связан с метаданными, хранящимися в Управляемый экземпляр SQL или SQL Server.

Видео, объясняющее собственные субъекты Windows, также можно обратиться к этому эпизоду Предоставления данных.

Примечание.

Использование собственных субъектов Windows с режимом метаданных проверки подлинности Windows в Управляемый экземпляр SQL в настоящее время находится в предварительной версии.

Режимы метаданных проверки подлинности

Для Управляемый экземпляр SQL доступны следующие режимы метаданных проверки подлинности, а различные режимы определяют, какие метаданные проверки подлинности используются для проверки подлинности, а также способ создания имени входа.

  • Microsoft Entra (по умолчанию): этот режим позволяет выполнять проверку подлинности пользователей Microsoft Entra с помощью метаданных пользователя Microsoft Entra. Чтобы использовать проверка подлинности Windows в этом режиме, ознакомьтесь с проверкой подлинности Windows для субъектов Microsoft Entra в Управляемый экземпляр SQL Azure.
  • Пара (SQL Server по умолчанию): режим по умолчанию для проверки подлинности SQL Server.
  • Windows (новый режим): этот режим позволяет выполнять проверку подлинности пользователей Microsoft Entra с помощью метаданных пользователя Windows в Управляемый экземпляр SQL.

Синтаксис CREATE LOGIN FROM WINDOWS и CREATE USER FROM WINDOWS может использоваться для создания имени входа или пользователя в Управляемый экземпляр SQL соответственно для субъекта Windows в режиме метаданных проверки подлинности Windows. Субъект Windows может быть пользователем Windows или группой Windows.

Чтобы использовать режим метаданных проверки подлинности Windows , пользовательская среда должна синхронизировать Active Directory (AD) с идентификатором Microsoft Entra.

Настройка режимов метаданных проверки подлинности

  1. Перейдите к портал Azure и перейдите к ресурсу Управляемый экземпляр SQL.
  2. Перейдите к идентификатору Microsoft Entra Settings > .
  3. Выберите предпочитаемый режим метаданных проверки подлинности в раскрывающемся списке.
  4. Выберите "Сохранить конфигурацию метаданных проверки подлинности".

Снимок экрана: портал Azure с конфигурацией режима метаданных проверки подлинности.

Устранение проблем миграции с помощью режима метаданных проверка подлинности Windows

Режим метаданных проверки подлинности Windows помогает модернизировать проверку подлинности для приложения и разблокировать проблемы миграции для Управляемый экземпляр SQL. Ниже приведены некоторые распространенные сценарии, в которых можно использовать режим метаданных проверки подлинности Windows для решения проблем клиента:

проверка подлинности Windows для субъектов Microsoft Entra

Если среда синхронизирована между AD и Идентификатором Microsoft Entra, режим метаданных проверки подлинности Windows можно использовать для проверки подлинности пользователей для Управляемый экземпляр SQL с помощью имени входа Windows или входа Microsoft Entra, если имя входа создается из субъекта Windows (CREATE LOGIN FROM WINDOWS).

Эта функция особенно полезна для клиентов, имеющих приложения, использующие проверка подлинности Windows и переносящихся в Управляемый экземпляр SQL. Режим метаданных проверки подлинности Windows позволяет клиентам продолжать использовать проверка подлинности Windows для своих приложений, не изменяя код приложения. Например, такие приложения, как сервер BizTalk, который запускается CREATE LOGIN FROM WINDOWS и CREATE USER FROM WINDOWS команды, могут продолжать работать без каких-либо изменений при миграции на Управляемый экземпляр SQL. Другие пользователи могут использовать имя входа Microsoft Entra, синхронизированное с AD, чтобы пройти проверку подлинности до Управляемый экземпляр SQL.

Хотя связь Управляемый экземпляр обеспечивает репликацию данных между SQL Server и Управляемый экземпляр SQL практически в режиме реального времени, реплика только для чтения в облаке предотвращает создание субъектов Microsoft Entra. Режим метаданных проверки подлинности Windows позволяет клиентам использовать существующее имя входа Windows для проверки подлинности в реплике, если происходит отработка отказа.

Проверка подлинности Microsoft Entra для SQL Server 2022 и более поздних версий

SQL Server 2022 предоставляет поддержку проверки подлинности Microsoft Entra. Многие пользователи хотели бы ограничить режимы проверки подлинности только для использования современной проверки подлинности и перенести все субъекты Windows в идентификатор Microsoft Entra. Однако существуют сценарии, в которых проверка подлинности Windows по-прежнему требуется, например код приложения, привязанный к субъектам Windows. Режим метаданных проверки подлинности Windows позволяет клиентам продолжать использовать субъекты Windows для авторизации в SQL Server, используя субъекты Microsoft Entra, синхронизированные для проверки подлинности.

SQL Server не понимает синхронизацию между Active Directory и идентификатором Microsoft Entra. Хотя пользователи и группы синхронизированы между AD и идентификатором Microsoft Entra, вам по-прежнему пришлось создать имя входа с помощью синтаксиса CREATE LOGIN FROM EXTERNAL PROVIDER и добавить разрешения для входа. Режим метаданных проверки подлинности Windows устраняет необходимость вручную перенести имена входа в идентификатор Microsoft Entra.

Сравнение режима метаданных проверки подлинности

Ниже приведена блок-диаграмма, которая объясняет, как работает режим метаданных проверки подлинности с Управляемый экземпляр SQL:

Схема блок-схемы режима метаданных проверки подлинности.

Ранее пользователи, которые синхронизируют пользователей между AD и Идентификатором Microsoft Entra, не смогут пройти проверку подлинности с помощью имени входа, созданного из субъекта Windows, независимо от того, использовали ли они проверка подлинности Windows или проверку подлинности Microsoft Entra, синхронизированную с AD. С помощью режима метаданных проверки подлинности Windows клиенты теперь могут пройти проверку подлинности с помощью имени входа, созданного из субъекта Windows, с помощью проверка подлинности Windows или синхронизированного субъекта Microsoft Entra.

Для синхронизированных пользователей проверка подлинности завершается успешно или завершается ошибкой на основе следующих конфигураций и типа входа:

Режим метаданных проверки подлинности ИЗ WINDOWS FROM EXTERNAL PROVIDER
Режим Windows
Проверка подлинности Microsoft Entra Выполняется успешно Сбои
Проверка подлинности Windows Выполняется успешно Сбои
Режим идентификатора записи Майкрософт
Проверка подлинности Microsoft Entra Сбои Выполняется успешно
Проверка подлинности Windows Сбои Выполняется успешно
Парный режим
Проверка подлинности Microsoft Entra Сбои Выполняется успешно
Проверка подлинности Windows Выполняется успешно Сбои

Дополнительные сведения о реализации проверки подлинности Windows для субъектов Microsoft Entra в Управляемый экземпляр SQL: