Použití Azure Active Directory ověřování

PLATÍ PRO: Azure SQL Database Azure SQL Managed Instance Azure Synapse Analytics

Azure Active Directory (Azure AD) je mechanismus pro připojení ke službě Azure SQL Database, Azure SQL Managed Instancea Synapse SQL v Azure Synapse Analytics pomocí identit v Azure AD.

Prostřednictvím ověřování služby Azure AD můžete centrálně spravovat identity uživatelů databází a další služby Microsoftu z jednoho umístění. Centrální správa ID poskytuje jediné místo pro správu uživatelů databáze a zjednodušuje správu oprávnění. Mezi jeho výhody patří následující:

• Nabízí alternativu k SQL Server ověřování.

• Pomáhá zastavit nárůst počtu identit uživatelů napříč servery.

• Umožňuje rotaci hesel na jednom místě.

• Zákazníci mohou spravovat oprávnění k databázi pomocí externích skupin (Azure AD).

• Může eliminovat ukládání hesel povolením integrovaného ověřování Windows ověřování a dalších forem ověřování podporovaných Azure Active Directory.

• Ověřování Azure AD používá uživatele obsažené databáze k ověřování identit na úrovni databáze.

• Azure AD podporuje ověřování na základě tokenů pro aplikace, které se připojují SQL Database a SQL spravované instance.

• Ověřování Azure AD podporuje:

  • Cloudové identity Azure AD.
  • Hybridní identity Azure AD, které podporují:
    • Cloudové ověřování se dvěma možnostmi a bezproblémovým ověřováním pomocí jednotného přihlašování (SSO) a ověřováním hodnot hash hesel
    • Federované ověřování.
  • Další informace o metodách ověřování Azure AD a o tom, kterou z nich zvolit, najdete v následujícím článku:
    • Volba správné metody ověřování pro vaše Azure Active Directory identit

• Azure AD podporuje připojení z SQL Server Management Studio, která používají univerzální ověřování Active Directory, což zahrnuje vícefaktorové ověřování. Vícefaktorové ověřování zahrnuje silné ověřování s řadou možností snadného ověření – telefonní hovor, textová zpráva, čipové karty s pin kódem nebo oznámení mobilní aplikace. Další informace najdete v tématu Podpora služby SSMS pro službu Azure AD Multi-Factor Authentication Azure SQL Database, SQL Managed Instance a Azure Synapse

• Azure AD podporuje podobná připojení z nástrojů SQL Server Data Tools (SSDT) využívající interaktivní ověřování Active Directory. Další informace najdete v tématu Azure Active Directory v SQL Server Data Tools (SSDT).

Kroky konfigurace zahrnují následující postupy konfigurace a použití Azure Active Directory ověřování.

1. Vytvořte a naplňte Azure AD.
2. Volitelné: Přidružte nebo změňte active directory, který je aktuálně přidružený k vašemu předplatnému Azure.
3. Vytvořte správce Azure Active Directory.
4. Nakonfigurujte klientské počítače.
5. Vytvořte uživatele databáze s obsahem v databázi mapované na identity Azure AD.
6. Připojení k databázi pomocí identit Azure AD.

Architektura důvěryhodnosti

• Za podporu hesel nativních uživatelů Azure AD se SQL Database, SQL spravovaná instance a Azure Synapse služby Azure AD.
• Pokud chcete podporovat přihlašovací údaje pro jednotné přihlašování (nebo přihlašovací údaje uživatele Windows hesla), použijte přihlašovací údaje Azure Active Directory z federované nebo spravované domény, které jsou nakonfigurované pro bezproblémové jednotné přihlašování pro předávkované ověřování Windows ověřování hodnot hash hesel. Další informace najdete v Azure Active Directory bezproblémového jednotného přihlašování.
• Pro podporu federovaného ověřování (nebo uživatele nebo hesla pro Windows přihlašovací údaje) se vyžaduje komunikace s blokem ADFS.

Další informace o hybridních identitách Azure AD, nastavení a synchronizaci najdete v následujících článcích:

• Ověřování hodnot hash hesel – Implementace synchronizace hodnot hash hesel pomocí synchronizace Připojení Azure AD
• Předávkové ověřování – Azure Active Directory předávk ověřování
• Federované ověřování – nasazení Active Directory Federation Services (AD FS) v Azure a Azure AD Připojení a federace

Ukázkové federované ověřování s infrastrukturou ADFS (nebo uživatelské jméno a heslo pro Windows přihlašovací údaje) najdete v následujícím diagramu. Šipky označují komunikační cesty.

Následující diagram znázorňuje federaci, vztah důvěryhodnosti a vztahy hostování, které umožňují klientovi připojit se k databázi odesláním tokenu. Token je ověřený službou Azure AD a databáze mu důvěřuje. Zákazník 1 může reprezentovat Azure Active Directory s nativními uživateli nebo Azure AD s federými uživateli. Zákazník 2 představuje možné řešení, včetně importovaných uživatelů. V tomto příkladu pochází z federovaného Azure Active Directory se synchronizací služby AD FS s Azure Active Directory. Je důležité si uvědomit, že přístup k databázi pomocí ověřování Azure AD vyžaduje, aby k Azure AD bylo přidružené hostitelské předplatné. Stejné předplatné se musí použít k vytvoření Azure SQL Database, SQL spravované instance nebo Azure Synapse prostředků.

Struktura správce

Při použití ověřování Azure AD existují dva účty správce: původní účet Azure SQL Database správce a správce Azure AD. Stejné koncepty platí i pro Azure Synapse. Prvního uživatele databáze obsažené v Azure AD může v uživatelské databázi vytvořit pouze správce založený na účtu Azure AD. Přihlašovací jméno správce Azure AD může být uživatel Azure AD nebo skupina Azure AD. Pokud je správcem skupinový účet, může ho používat kterýkoli člen skupiny, což pro server umožňuje více správců Azure AD. Použití skupinového účtu jako správce vylepšuje možnosti správy tím, že umožňuje centrálně přidávat a odebírat členy skupiny v Azure AD beze změny uživatelů nebo oprávnění v SQL Database nebo Azure Synapse. Kdykoli je možné nakonfigurovat pouze jednoho správce Azure AD (uživatele nebo skupinu).

Oprávnění

Pokud chcete vytvořit nové uživatele, musíte mít ALTER ANY USER oprávnění v databázi. Oprávnění ALTER ANY USER lze udělit libovolnému uživateli databáze. Oprávnění také vlastní účty správce serveru a uživatelé databáze s oprávněním nebo pro databázi a členy ALTER ANY USER CONTROL ON DATABASE databázové ALTER ON DATABASE db_owner role.

Pokud chcete vytvořit uživatele databáze s Azure SQL Database, SQL Managed Instance nebo Azure Synapse, musíte se připojit k databázi nebo instanci pomocí identity Azure AD. Pokud chcete vytvořit prvního uživatele databáze s obsahem, musíte se k databázi připojit pomocí správce Azure AD (který je vlastníkem databáze). To je znázorněno v tématu Konfigurace a správa Azure Active Directory ověřování pomocí SQL Database nebo Azure Synapse. Ověřování Azure AD je možné pouze v případě, že správce Azure AD byl vytvořen Azure SQL Database, SQL spravované instance nebo Azure Synapse. Pokud byl Azure Active Directory serveru odebrán, stávající uživatelé služby Azure Active Directory, kteří vytvořili dříve v rámci služby SQL Server, se už nebudou moci připojit k databázi pomocí svých přihlašovacích Azure Active Directory účtu.

Funkce a omezení Azure AD

• Následující členy Azure AD je možné zřídit pro Azure SQL Database:

  • Nativní členové: Člen vytvořený v Azure AD ve spravované doméně nebo v doméně zákazníka. Další informace najdete v tématu Přidání vlastního názvu domény do Azure AD.
  • Členové domény služby Active Directory federované s Azure Active Directory ve spravované doméně nakonfigurované pro bezproblémové jednotné přihlašování s předávkovaným ověřováním nebo ověřováním hodnot hash hesel. Další informace najdete v tématu Microsoft Azure podporuje federaci s Windows Server Active Directory a Azure Active Directory bezproblémového jednotného přihlašování.
  • Importovali jste členy z jiných členů Azure AD, kteří jsou nativními nebo federované členy domény.
  • Skupiny služby Active Directory vytvořené jako skupiny zabezpečení.

• Uživatelé Azure AD, kteří jsou součástí skupiny, která má roli serveru, nemohou použít syntaxi db_owner CREATE DATABASE SCOPED CREDENTIAL pro Azure SQL Database a Azure Synapse. Zobrazí se následující chyba:

  SQL Error [2760] [S0001]: The specified schema name 'user@mydomain.com' either does not exist or you do not have permission to use it.

  Udělení role přímo jednotlivým uživatelům Azure AD za účelem zmírnění problému db_owner s PŘIHLAŠOVACÍMI ÚDAJŮ V OBORU CREATE DATABASE

• Tyto systémové funkce při spuštění v rámci objektů zabezpečení Azure AD vrací hodnoty NULL:

  • SUSER_ID()
  • SUSER_NAME(<admin ID>)
  • SUSER_SNAME(<admin SID>)
  • SUSER_ID(<admin name>)
  • SUSER_SID(<admin name>)

Spravovaná instance SQL

• Objekty zabezpečení serveru Azure AD (přihlášení) a uživatelé se podporují SQL spravované instanci.
• Nastavení instančních objektů (přihlášení) azure AD namapovaných na skupinu Azure AD jako vlastníka databáze se ve spravované instanci SQL nepodporuje.
  • Rozšíření toho je, že když je skupina přidána jako součást role serveru, uživatelé z této skupiny se mohou připojit ke spravované instanci SQL a vytvářet nové databáze, ale nebudou mít přístup k dbcreator databázi. Je to proto, že novým vlastníkem databáze je SA, a ne uživatel Azure AD. Tento problém se neprojeví, pokud je jednotlivý uživatel přidán do dbcreator role serveru.
• SQL Pro objekty zabezpečení serveru Azure AD (přihlášení) se podporuje správa agentů a spouštění úloh.
• Operace zálohování a obnovení databáze mohou provádět objekty zabezpečení serveru Azure AD (přihlášení).
• Podporuje se auditování všech příkazů souvisejících s objekty zabezpečení serveru Azure AD (přihlášení) a událostmi ověřování.
• Podporuje se vyhrazené připojení správce pro objekty zabezpečení (přihlášení) serveru Azure AD, které jsou členy role serveru sysadmin.
  • Podporováno prostřednictvím nástroje SQLCMD a SQL Server Management Studio.
• Triggery přihlášení jsou podporovány pro události přihlášení přicházející z objektů zabezpečení serveru Azure AD (přihlášení).
• Service Broker a databázové pošty je možné nastavit pomocí objektu zabezpečení serveru Azure AD (přihlášení).

Připojení s využitím identit Azure AD

ověřování Azure Active Directory podporuje následující metody připojení k databázi pomocí identit Azure AD:

• Azure Active Directory Zadáno
• Azure Active Directory Integrované
• Azure Active Directory Univerzální s Multi-Factor Authentication
• Použití ověřování pomocí tokenu aplikace

Pro objekty zabezpečení serveru Azure AD (přihlášení) se podporují následující metody ověřování:

• Azure Active Directory Zadáno
• Azure Active Directory Integrované
• Azure Active Directory Univerzální s Multi-Factor Authentication

Další aspekty

• Pro zlepšení spravovatelnosti doporučujeme zřídit vyhrazenou skupinu Azure AD jako správce.
• pro server v SQL Database nebo Azure Synapse se dá nakonfigurovat jenom jeden správce Azure AD (uživatel nebo skupina).
  • přidání objektů zabezpečení serveru azure ad (přihlášení) pro SQL Managed Instance umožňuje vytvořit více objektů zabezpečení serveru azure ad (přihlášení), které je možné do sysadmin role přidat.
• pouze správce Azure AD pro server se může zpočátku připojit k serveru nebo spravované instanci pomocí účtu Azure Active Directory. Správce služby Active Directory může nakonfigurovat další uživatele databáze služby Azure AD.
• uživatelé a instanční objekty služby azure ad (aplikace Azure ad), které jsou členy více než 2048 skupin zabezpečení služby azure ad, se nepodporují pro přihlášení k databázi v SQL Database, spravované instanci nebo Azure Synapse.
• Doporučujeme nastavit časový limit připojení na 30 sekund.
• SQL Server 2016 Management Studio a SQL Server Data Tools for Visual Studio 2015 (verze 14.0.60311.1 duben 2016 nebo novější) podporují Azure Active Directory ověřování. (ověřování Azure AD podporuje .NET Framework Zprostředkovatel dat pro SqlServer; minimálně verze .NET Framework 4,6). Proto můžou nejnovější verze těchto nástrojů a aplikací na datové vrstvě (DAC a BACPAC) používat ověřování Azure AD.
• Od verze 15.0.1 Nástroj Sqlcmd Utility a BCP podporuje interaktivní ověřování služby Active Directory s Multi-Factor Authentication.
• SQL Server data tools for Visual Studio 2015 vyžadují alespoň 2016 verze nástrojů data tools (verze 14.0.60311.1). V současné době se uživatelé Azure AD nezobrazí v SSDT Průzkumník objektů. Alternativním řešením je zobrazit uživatele v Sys.database_principals.
• Microsoft JDBC Driver 6,0 pro SQL Server podporuje ověřování Azure AD. Viz také Nastavení vlastností připojení.
• Základ se nedá ověřit pomocí ověřování Azure AD.
• ověřování azure AD se podporuje pro Azure SQL Database a Azure Synapse pomocí Azure Portal importovat databáze a exportovat databáze . Import a export pomocí ověřování Azure AD se taky podporuje z příkazu PowerShellu.
• ověřování azure AD se podporuje pro SQL Database, SQL spravované Instance a Azure Synapse s použitím rozhraní příkazového řádku. další informace najdete v tématu konfigurace a správa ověřování Azure AD pomocí SQL Database nebo Azure Synapse a SQL Server-az SQL Server.

Další kroky

• další informace o tom, jak vytvořit a naplnit instanci Azure AD a jak ji nakonfigurovat pomocí Azure SQL Database, SQL spravované instance nebo azure Synapse, najdete v tématu konfigurace a správa Azure Active Directory ověřování pomocí SQL Database, SQL spravované instance nebo azure Synapse.
• kurz použití objektů zabezpečení serveru azure ad (přihlášení) s SQL managed instance najdete v tématu objekty zabezpečení serveru azure ad (přihlášení) se službou SQL Managed instance .
• přehled přihlašovacích údajů, uživatelů, databázových rolí a oprávnění v SQL Database najdete v tématu přihlášení, uživatelé, databázové role a oprávnění.
• Další informace o objektech zabezpečení databáze najdete v tématu Objekty zabezpečení.
• Další informace o databázových rolích najdete v tématu věnovaném databázovým rolím.
• syntaxi při vytváření objektů zabezpečení serveru Azure AD (přihlášení) pro SQL spravovanou instanci najdete v tématu vytvoření přihlašovacíchúdajů.
• Další informace o pravidlech brány firewall pro SQL Database najdete v tématu Pravidla brány firewall služby SQL Database.