Проверка подлинности Microsoft Entra для SQL Server

Область применения: SQL Server 2022 (16.x)

SQL Server 2022 (16.x) предоставляет поддержку проверки подлинности с помощью идентификатора Microsoft Entra (ранее Azure Active Directory) в локальной среде Windows и Linux и SQL Server на виртуальных машинах Windows Windows.

Используйте идентификатор Microsoft Entra с автономными экземплярами SQL Server или группами доступности AlwaysOn. Экземпляры отказоустойчивого кластера SQL Server в настоящее время не поддерживают проверку подлинности Microsoft Entra.

Обзор

Теперь вы можете подключиться к SQL Server с помощью следующих методов проверки подлинности Microsoft Entra:

  • Стандартная проверка подлинности
  • Имя пользователя и пароль
  • Поддержка
  • Универсальная с многофакторной проверкой подлинности
  • Субъект-служба
  • Управляемое удостоверение
  • Маркер доступа

Существующие режимы проверки подлинности, проверка подлинности SQL и проверка подлинности Windows остаются неизменными.

Идентификатор Microsoft Entra — это облачная служба управления удостоверениями и доступом Azure. Идентификатор Microsoft Entra концептуально похож на Active Directory, предоставляя централизованный репозиторий для управления доступом к ресурсам вашей организации. Удостоверения — это объекты в идентификаторе Microsoft Entra, представляющих пользователей, групп или приложений. Их можно назначать с помощью управления доступом на основе ролей и использовать для проверки подлинности в ресурсах Azure. Для проверки подлинности Microsoft Entra поддерживается:

  • База данных SQL Azure
  • Управляемый экземпляр SQL Azure
  • SQL Server на виртуальных машинах Windows Azure
  • Azure Synapse Analytics
  • SQL Server

Дополнительные сведения см. в статье Об использовании проверки подлинности Microsoft Entra с помощью SQL Azure и настройке проверки подлинности Microsoft Entra с помощью SQL Azure и управления ими.

Если ваш Windows Server Active Directory федеративный с идентификатором Microsoft Entra, пользователи могут проходить проверку подлинности с помощью SQL Server с помощью учетных данных Windows в качестве имен входа Windows или входа Microsoft Entra. Хотя идентификатор Microsoft Entra не поддерживает все функции AD, поддерживаемые Windows Server Active Directory, такие как учетные записи служб или сложная сетевая архитектура леса. Существуют другие возможности идентификатора Microsoft Entra, например многофакторную проверку подлинности, которая недоступна в Active Directory. Сравните идентификатор Microsoft Entra с Active Directory , чтобы узнать больше.

Подключение SQL Server к Azure с помощью идентификатора Microsoft Entra

Чтобы SQL Server взаимодействовал с Azure, sql Server и узел Windows или Linux должны быть зарегистрированы в Azure Arc. Чтобы включить взаимодействие SQL Server с Azure, необходимо установить агент Azure Arc и расширение Azure для SQL Server.

Инструкции по началу работы см. в разделе Подключение SQL Server к Azure Arc.

Примечание.

Если вы используете SQL Server на виртуальной машине Azure, вам не нужно зарегистрировать виртуальную машину в Azure Arc, вместо этого необходимо зарегистрировать виртуальную машину с расширением агента IaaS SQL. После регистрации виртуальной машины см. дополнительные сведения о включении проверки подлинности Azure AD для SQL Server на виртуальных машинах Azure.

Стандартная проверка подлинности

Параметр проверки подлинности по умолчанию с идентификатором Microsoft Entra, который обеспечивает проверку подлинности с помощью менее паролей и неинтерактивных механизмов, включая управляемые удостоверения, Visual Studio, Visual Studio Code, Azure CLI и многое другое.

Имя пользователя и пароль

Позволяет указать имя пользователя и пароль для клиента и драйвера. Метод имени пользователя и пароля обычно отключен для многих клиентов по соображениям безопасности. Хотя подключения шифруются, рекомендуется избежать использования имени пользователя и пароля, если это возможно, так как это требует отправки паролей по сети.

Поддержка

С помощью интегрированной проверка подлинности Windows (IWA) идентификатор Microsoft Entra предоставляет решение для организаций как с локальной, так и облачной инфраструктурой. Локальные домены Active Directory можно синхронизировать с идентификатором Microsoft Entra с помощью федерации, позволяя обрабатывать управление и управление доступом в идентификаторе Microsoft Entra, а проверка подлинности пользователей остается локальной. С помощью IWA учетные данные Windows пользователя проходят проверку подлинности в Active Directory и после успешного получения маркера проверки подлинности пользователя из идентификатора Microsoft Entra ID возвращаются в SQL.

Универсальная с многофакторной проверкой подлинности

Это стандартный интерактивный метод с параметром многофакторной проверки подлинности для учетных записей Microsoft Entra. Это работает в большинстве сценариев.

Субъект-служба

Субъект-служба — это удостоверение, которое можно создать для использования с автоматизированными инструментами, заданиями и приложениями. С помощью метода проверки подлинности субъекта-службы можно подключиться к экземпляру SQL Server с помощью идентификатора клиента и секрета удостоверения субъекта-службы.

Управляемое удостоверение

Управляемые удостоверения — это специальные формы субъектов-служб. Существует два типа управляемых удостоверений: назначаемые системой и назначаемые пользователем. Управляемые удостоверения, назначаемые системой, включены непосредственно в ресурсе Azure, в то время как назначаемые пользователем управляемые удостоверения являются автономным ресурсом, который можно назначить одному или нескольким ресурсам Azure.

Примечание.

Чтобы использовать управляемое удостоверение для подключения к ресурсу SQL через клиенты GUI, такие как SSMS и ADS, компьютер, на котором запущено клиентское приложение, должен иметь клиент Microsoft Entra, работающий с сертификатом удостоверения, хранящимся в нем. Это чаще всего достигается с помощью виртуальной машины Azure, так как удостоверение можно легко назначить компьютеру на панели портала виртуальной машины.

Для инструментов, использующих библиотеки удостоверений Azure, например SQL Server Management Studio (SSMS), при подключении с управляемым удостоверением необходимо использовать GUID для входа, например abcd1234-abcd-1234-abcd-abcd1234abcd1234. Дополнительные сведения см. в разделе (ManagedIdentityCredential). Если вы неправильно передайте имя пользователя, возникает ошибка, например:

ManagedIdentityCredential authentication unavailable. The requested identity has not been assigned to this resource.
Status: 400 (Bad Request)
Content:
{"error":"invalid_request","error_description":"Identity not found"}

Маркер доступа

Некоторые клиенты, не использующие графический пользовательский интерфейс, такие как Invoke-sqlcmd, предоставляют маркер доступа. Область действия или аудитория маркера доступа должна быть https://database.windows.net/.

Замечания

  • Для проверки подлинности Microsoft Entra поддерживается только локальная среда SQL Server 2022 (16.x) с поддерживаемой операционной системой Windows или Linux или SQL Server 2022 на виртуальных машинах Windows Azure.
  • Чтобы подключить SQL Server к Azure Arc, учетной записи Microsoft Entra требуются следующие разрешения:
    • Участник группы Подключение Azure Connected Machine или Участник в группе ресурсов.
    • Участник роли Администратор ресурсов Azure Connected Machine в группе ресурсов.
    • Участник роли Читатель в группе ресурсов.
  • Проверка подлинности Microsoft Entra не поддерживается для экземпляров отказоустойчивого кластера SQL Server