Verwenden der mehrstufigen Azure Active Directory-Authentifizierung

GILT FÜR: Azure SQL-Datenbank Azure SQL Managed Instance Azure Synapse Analytics

Azure SQL-Datenbank, Azure SQL Managed Instance und Azure Synapse Analytics unterstützen Verbindungen mit SQL Server Management Studio (SSMS) mithilfe der universellen Azure Active Directory-Authentifizierung mit mehrstufiger Authentifizierung. In diesem Artikel werden die Unterschiede zwischen den verschiedenen Authentifizierungsoptionen sowie die Einschränkungen bei Verwendung der universellen Authentifizierung in Azure Active Directory (Azure AD) für Azure SQL-Datenbank erörtert.

Herunterladen der aktuellen Version von SSMS: Laden Sie die neueste Version von SSMS unter Herunterladen von SQL Server Management Studio (SSMS) auf den Clientcomputer herunter.

Hinweis

Im Dezember 2021 werden Releases von SSMS vor Version 18.6 nicht länger über Azure Active Directory mit MFA authentifiziert.

Wenn Sie die Azure Active Directory-Authentifizierung mit MFA weiterhin nutzen möchten, benötigen Sie SSMS 18.6 oder höher.

Verwenden Sie für alle Features in diesem Artikel mindestens die Version 17.2 vom Juli 2017. Das letzte Verbindungsdialogfeld sollte ungefähr wie folgt aussehen:

Screenshot of the Connect to Server dialog in SQL Server Management Studio, showing settings for Server type, Server name, and Authentication.

Authentifizierungsoptionen

Es gibt zwei nicht interaktive Authentifizierungsmodelle für Azure AD, die in zahlreichen verschiedenen Anwendungen (ADO.NET, JDCB, ODC usw.) verwendet werden können. Bei diesen beiden Methoden werden niemals Popupdialogfelder angezeigt:

  • Azure Active Directory - Password
  • Azure Active Directory - Integrated

Die folgende interaktive Methode unterstützt auch Azure AD Multi-Factor Authentication (MFA):

  • Azure Active Directory - Universal with MFA

Azure AD MFA bietet Schutz für den Zugriff auf Daten sowie Anwendungen und erfüllt gleichzeitig Benutzeranforderungen nach einem einfachen Anmeldevorgang. Diese Lösung ermöglicht eine sichere Authentifizierung über eine Reihe einfacher Überprüfungsoptionen: Telefonanruf, SMS, Smartcards mit PIN oder Benachrichtigung in einer mobilen App. Benutzer können ihre bevorzugte Methode wählen. Bei der interaktiven MFA mit Azure AD kann ein Popupdialogfeld zur Überprüfung geöffnet werden.

Eine Beschreibung von Azure AD MFA finden Sie unter Multi-Factor Authentication. Konfigurationsschritte finden Sie unter Konfigurieren der Multi-Factor Authentication in Azure SQL-Datenbank für SQL Server Management Studio.

Name der Azure AD-Domäne oder Mandanten-ID-Parameter

Ab SSMS Version 17 können Benutzer, die aus anderen Azure Active Directory-Instanzen als Gastbenutzer in Active AD importiert wurden, beim Herstellen einer Verbindung den Namen der Azure AD-Domäne oder die Mandanten-ID angeben. Zu den Gastbenutzern zählen Benutzer, die von anderen Azure ADs eingeladen wurden, Microsoft-Konten wie outlook.com, hotmail.com, live.com oder andere Konten wie gmail.com. Durch diese Informationen kann bei der Authentifizierungsmethode Azure Active Directory - Universal with MFA die richtige Authentifizierungsstelle identifiziert werden. Diese Option ist für die Unterstützung von Microsoft-Konten (MSA) wie outlook.com, hotmail.com oder live.com oder Nicht-MSA-Konten erforderlich.

Alle diese Gastbenutzer, die mithilfe der universellen Authentifizierung authentifiziert werden sollen, müssen den Namen ihrer Azure AD-Domäne oder ihre Mandanten-ID eingeben. Dieser Parameter stellt den Namen der aktuellen Azure AD-Domäne oder die aktuelle Mandanten-ID dar, mit der der logische Azure SQL-Server verknüpft ist. Wenn der logische SQL-Server beispielsweise mit der Azure AD-Domäne contosotest.onmicrosoft.com verbunden ist, in der der Benutzer joe@contosodev.onmicrosoft.com als importierter Benutzer aus der Azure AD-Domäne contosodev.onmicrosoft.com gehostet wird, lautet der erforderliche Domänenname für die Authentifizierung dieses Benutzers contosotest.onmicrosoft.com. Wenn der Benutzer ein nativer Benutzer des mit dem logischen SQL-Server verknüpften Azure AD ist und kein MSA-Konto darstellt, sind weder Domänenname noch Mandanten-ID erforderlich. So geben Sie den Parameter ein (ab SSMS Version 17.2)

  1. Stellen Sie in SSMS eine Verbindung her. Geben Sie den Servernamen ein, und wählen Sie die Authentifizierung Azure Active Directory: universell mit MFA aus. Fügen Sie den Benutzernamen hinzu, mit dem Sie sich anmelden möchten.

  2. Aktivieren Sie das Kontrollkästchen Optionen, und wechseln Sie zur Registerkarte Verbindungseigenschaften. Füllen Sie das Dialogfeld Verbindung mit Datenbank herstellen für Ihre Datenbank aus. Aktivieren Sie das Kontrollkästchen AD-Domänenname oder Mandanten-ID, und geben Sie die Authentifizierungsstelle an, z.B. den Domänennamen (contosotest.onmicrosoft.com) oder die GUID der Mandanten-ID.

    Screenshot of the Connection Properties tab highlighting the settings for Connect to database and AD domain name or tenant ID.

Wenn Sie SSMS 18.x oder höher ausführen, wird der AD-Domänenname oder die Mandanten-ID nicht mehr für Gastbenutzer benötigt, weil diese Angaben von Version 18.x oder höher automatisch erkannt werden.

Screenshot of the Connection Properties tab in the Connect to Server dialog in S S M S.

Azure AD-Business-to-Business-Unterstützung

Azure AD-Benutzer, die für Azure AD B2B-Szenarien als Gastbenutzer unterstützt werden (siehe Was ist Azure B2B Collaboration?), können als Einzelpersonen oder als Mitglieder einer Azure AD-Gruppe, die in der zugehörigen Azure AD-Instanz erstellt und über CREATE USER (Transact-SQL) in einer bestimmten Datenbank manuell zugeordnet wurde, eine Verbindung mit SQL-Datenbank und Azure Synapse herstellen.

Beispiel: Wenn steve@gmail.com zur Azure AD-Instanz contosotest (mit der Azure AD-Domäne contosotest.onmicrosoft.com) eingeladen wird, muss ein Benutzer steve@gmail.com für eine bestimmte Datenbank (z. B. MyDatabase) von einem Azure AD-SQL-Administrator oder einem Azure AD-DBO erstellt werden, indem die Transact-SQL-Anweisung create user [steve@gmail.com] FROM EXTERNAL PROVIDER ausgeführt wird. Wenn steve@gmail.com einer Azure AD-Gruppe wie beispielsweise usergroup angehört, muss diese Gruppe für eine bestimmte Datenbank (z. B. MyDatabase) von einem Azure AD-SQL-Administrator oder einem Azure AD-DBO erstellt werden, indem die Transact-SQL-Anweisung create user [usergroup] FROM EXTERNAL PROVIDER ausgeführt wird.

Nach dem Erstellen des Datenbankbenutzers oder der Gruppe kann sich der Benutzer steve@gmail.com mithilfe der SSMS-Authentifizierungsoption Azure Active Directory – Universal with MFA bei MyDatabase anmelden. Standardmäßig verfügt der Benutzer oder die Gruppe nur über die Berechtigung „Verbinden“. Jeder weitere Datenzugriff muss von einem Benutzer mit ausreichenden Berechtigungen in der Datenbank gewährt werden.

Hinweis

Wenn Sie für SSMS 17.x steve@gmail.com als Gastbenutzer verwenden möchten, müssen Sie das Feld AD-Domänennamen oder Mandanten-ID aktivieren und den AD-Domänennamen contosotest.onmicrosoft.com im Dialogfeld Verbindungseigenschaft hinzufügen. Die Option AD-Domänenname oder Mandanten-ID wird nur für die Authentifizierung Azure Active Directory: universell mit MFA unterstützt. Andernfalls ist das Kontrollkästchen abgeblendet.

Einschränkungen der universellen Authentifizierung

  • SSMS und SqlPackage.exe sind die einzigen Tools, die derzeit für MFA über die universelle Active Directory-Authentifizierung aktiviert sind.
  • SSMS Version 17.2 unterstützt den gleichzeitigen Zugriff durch mehrere Benutzer mithilfe der universellen Authentifizierung mit mehrstufiger Authentifizierung. In Version 17.0 und 17.1 von SSMS konnte sich nur ein einziges Azure Active Directory-Konto über die universelle Authentifizierung bei einer SSMS-Instanz anmelden. Für die Anmeldung mit einem anderen Azure AD-Konto müssen Sie eine andere SSMS-Instanz verwenden. Diese Einschränkung ist auf die universelle Active Directory-Authentifizierung beschränkt. Sie können sich mit den Authentifizierungen Azure Active Directory - Password, Azure Active Directory - Integrated oder SQL Server Authentication bei einem anderen Server anmelden.
  • SSMS unterstützt die universelle Active Directory-Authentifizierung für den Objekt-Explorer, den Abfrage-Editor und die Abfragespeichervisualisierung.
  • SSMS Version 17.2 bietet Unterstützung von DacFx Wizard zum Exportieren/Extrahieren/Bereitstellen von Daten aus Datenbanken. Sobald ein bestimmter Benutzer über das erste Authentifizierungsdialogfeld mithilfe der universellen Authentifizierung authentifiziert wurde, funktioniert DacFx Wizard genau wie bei allen anderen Authentifizierungsmethoden.
  • Die SSMS-Tabellendesigner unterstützt die universelle Authentifizierung nicht.
  • Es bestehen keine weiteren Softwareanforderungen für die universelle Active Directory-Authentifizierung – mit einer Ausnahme: Sie müssen eine unterstützte SSMS-Version verwenden.
  • Lesen Sie den folgenden Link zur neuesten Version der Microsoft Authentication Library (MSAL) für universelle Authentifizierung: Übersicht der Microsoft Authentication Library (MSAL).

Nächste Schritte