Реализация проверки подлинности Windows при доступе к Управляемому экземпляру SQL Azure с помощью Microsoft Entra ID и Kerberos

  • Статья

Проверка подлинности Windows для субъектов Управляемый экземпляр SQL Azure в идентификаторе Microsoft Entra (прежнее название — Azure Active Directory) позволяет клиентам перемещать существующие службы в облако, сохраняя простой пользовательский интерфейс и предоставляя основу для модернизации инфраструктуры безопасности. Чтобы включить проверку подлинности Windows для субъектов Microsoft Entra, следует преобразовать клиент Microsoft Entra в независимую область Kerberos и настроить входящее доверие в личном домене.

Эта конфигурация позволяет пользователям в домене клиента получать доступ к ресурсам в клиенте Microsoft Entra. Он не позволит пользователям в клиенте Microsoft Entra получать доступ к ресурсам в домене клиента.

На следующей схеме представлен обзор реализации проверки подлинности Windows для управляемого экземпляра с помощью идентификатора Microsoft Entra и Kerberos:

An overview of authentication: a client submits an encrypted Kerberos ticket as part of an authentication request to a managed instance. The managed instance submits the encrypted Kerberos ticket to Microsoft Entra I D, which exchanges it for a Microsoft Entra token that is returned the managed instance. The managed instance uses this token to authenticate the user.