Tutorial: Habilitar la autenticación solo de Azure Active Directory con Azure SQL

SE APLICA A: Azure SQL Database Azure SQL Managed Instance

Este artículo explica cómo habilitar la característica Autenticación solo de Azure AD con Azure SQL Database y Azure SQL Managed Instance. Si desea aprovisionar SQL Database o SQL Managed Instance con la autenticación de solo Azure AD habilitada, consulte Creación de un servidor con autenticación solo de Azure AD habilitada en Azure SQL.

En este tutorial aprenderá a:

• Asignar un rol para habilitar la autenticación solo de Azure AD
• Habilitar la autenticación solo de Azure AD mediante Azure Portal, la CLI de Azure o PowerShell
• Comprobar si la autenticación solo de Azure AD está habilitada
• Probar la conexión a Azure SQL
• Deshabilitar la autenticación solo de Azure AD mediante Azure Portal, la CLI de Azure o PowerShell

Requisitos previos

• Una instancia de Azure AD. Para más información, consulte Configuración y administración de la autenticación de Azure AD con Azure SQL.
• SQL Database o SQL Managed Instance con una base de datos e inicios de sesión o usuarios. Consulte Inicio rápido: Creación de una base de datos única de Azure SQL Database si aún no ha creado una base de datos única de Azure SQL o Inicio rápido: Creación de Azure SQL Managed Instance.

Asignar un rol para habilitar la autenticación solo de Azure AD

Para habilitar o deshabilitar la autenticación solo de Azure AD, los roles integrados seleccionados son necesarios para los usuarios de Azure AD que ejecutan estas operaciones en este tutorial. En este tutorial vamos a asignar al usuario el rol Administrador de seguridad SQL.

Para obtener más información sobre la asignación de roles en una cuenta de Azure AD, consulte Asignación de roles de administrador y de no administrador a usuarios con Azure Active Directory.

Para obtener más información sobre el permiso necesario para habilitar o deshabilitar la autenticación solo de Azure AD, consulte la sección Permisos del artículo sobre la autenticación solo de Azure AD.

1. En nuestro ejemplo, asignaremos el rol Administrador de seguridad SQL al usuario UserSqlSecurityManager@contoso.onmicrosoft.com. Con un usuario con privilegios que puede asignar roles Azure AD roles, inicie sesión en Azure Portal.

2. Vaya al recurso del servidor SQL y seleccione Control de acceso (IAM) en el menú. Seleccione el botón Agregar y, a continuación, Agregar asignación de roles en el menú desplegable.

   

3. En el panel Agregar asignación de roles, seleccione el rol Administrador de seguridad SQL y elija el usuario que quiera que tenga la capacidad de habilitar o deshabilitar la autenticación solo de Azure AD.

   

4. Haga clic en Save(Guardar).

Habilitación de la autenticación solo de Azure AD

Portal

Habilitación en SQL Database con Azure Portal

Para habilitar la autenticación solo de Azure AD en Azure Portal, consulte los pasos siguientes.

1. Con el usuario con el rol Administrador de seguridad SQL, vaya a Azure Portal.

2. Vaya al recurso del servidor SQL y seleccione Azure Active Directory en el menú Configuración.

   

3. Si no ha agregado un administrador de Azure Active Directory, deberá establecerlo para poder habilitar la autenticación solo de Azure AD.

4. Seleccione la casilla Solo admite la autenticación de Azure Active Directory para este servidor.

5. Se mostrará la ventana emergente Habilitar autenticación solo de Azure AD. Haga clic en Sí para habilitar la característica y guarde la configuración.

Habilitar en SQL Managed Instance con Azure Portal

Para habilitar la autenticación solo de Azure AD en Azure Portal, consulte los pasos siguientes.

1. Con el usuario con el rol Administrador de seguridad SQL, vaya a Azure Portal.

2. Vaya al recurso de SQL Managed Instance y seleccione Administrador de Active Directory en el menú Configuración.

3. Si no ha agregado un administrador de Azure Active Directory, deberá establecerlo para poder habilitar la autenticación solo de Azure AD.

4. Seleccione la casilla Solo se admite la autenticación Azure Active Directory para esta instancia administrada.

5. Se mostrará la ventana emergente Habilitar autenticación solo de Azure AD. Haga clic en Sí para habilitar la característica y guarde la configuración.

La CLI de Azure

Habilitación en SQL Database con la CLI de Azure

Para habilitar la autenticación solo de Azure AD en Azure SQL Database mediante la CLI de Azure, consulte los comandos siguientes. Instale la versión más reciente de la CLI de Azure. La versión de la CLI de Azure debe ser 2.14.2 o posterior. Para obtener más información sobre estos comandos, consulte az sql server ad-only-auth.

Para obtener más información sobre cómo administrar la autenticación solo de Azure AD con API, consulte Administración de la autenticación solo de Azure AD con API.

Nota:

Azure AD debe establecerse para el servidor antes de habilitar la autenticación solo de Azure AD. De lo contrario, se producirá un error en el comando de la CLI de Azure.

Para obtener los permisos y las acciones necesarios para que el usuario pueda realizar estos comandos para habilitar la autenticación solo de Azure AD, consulte el artículo sobre la autenticación solo de Azure AD.

1. Inicie sesión en Azure con la cuenta con el rol Administrador de seguridad SQL.

   az login
   

2. Ejecute el siguiente comando reemplazando <myserver> por el nombre de su servidor SQL y <myresource> por el recurso de Azure que contenga el servidor SQL.

   az sql server ad-only-auth enable --resource-group <myresource> --name <myserver>
   

Habilitar en SQL Managed Instance con la CLI de Azure

Para habilitar la autenticación solo de Azure AD en Azure SQL Managed Instance mediante la CLI de Azure, consulte los comandos siguientes. Instale la versión más reciente de la CLI de Azure.

1. Inicie sesión en Azure con la cuenta con el rol Administrador de seguridad SQL.

   az login
   

2. Ejecute el siguiente comando reemplazando <myserver> por el nombre de su servidor SQL y <myresource> por el recurso de Azure que contenga el servidor SQL.

   az sql mi ad-only-auth enable --resource-group <myresource> --name <myserver>
   

PowerShell

Habilitar en SQL Database con PowerShell

Para habilitar la autenticación solo de Azure AD en Azure SQL Database mediante PowerShell, consulte los comandos siguientes. Se requiere el módulo Az.Sql 2.10.0 o posterior para ejecutar estos comandos. Para obtener más información sobre estos comandos, consulte Enable-AzSqlInstanceActiveDirectoryOnlyAuthentication.

Para obtener más información sobre cómo administrar la autenticación solo de Azure AD con API, consulte Administración de la autenticación solo de Azure AD con API

Nota:

Azure AD debe establecerse para el servidor antes de habilitar la autenticación solo de Azure AD. De lo contrario, se producirá un error en el comando de PowerShell.

Para obtener los permisos y las acciones necesarios para que el usuario pueda realizar estos comandos para habilitar la autenticación solo de Azure AD, consulte el artículo sobre la autenticación solo de Azure AD. Si el usuario no tiene suficientes permisos, obtendrá el siguiente error:

Enable-AzSqlServerActiveDirectoryOnlyAuthentication : The client
'UserSqlServerContributor@contoso.onmicrosoft.com' with object id
'<guid>' does not have authorization to perform
action 'Microsoft.Sql/servers/azureADOnlyAuthentications/write' over scope
'/subscriptions/<guid>...'

1. Inicie sesión en Azure con la cuenta con el rol Administrador de seguridad SQL.

   Connect-AzAccount
   

2. Ejecute el siguiente comando reemplazando <myserver> por el nombre de su servidor SQL y <myresource> por el recurso de Azure que contenga el servidor SQL.

   Enable-AzSqlServerActiveDirectoryOnlyAuthentication -ServerName <myserver>  -ResourceGroupName <myresource>
   

Habilitar en SQL Managed Instance con PowerShell

Para habilitar la autenticación solo de Azure AD en Azure SQL Managed Instance mediante PowerShell, consulte los comandos siguientes. Se requiere el módulo Az.Sql 2.10.0 o posterior para ejecutar estos comandos.

Para obtener más información sobre cómo administrar la autenticación solo de Azure AD con API, consulte Administración de la autenticación solo de Azure AD con API.

1. Inicie sesión en Azure con la cuenta con el rol Administrador de seguridad SQL.

   Connect-AzAccount
   

2. Ejecute el siguiente comando reemplazando <myinstance> por el nombre de SQL Managed Instance y <myresource> por el recurso de Azure que contenga la instancia de SQL Managed Instance.

   Enable-AzSqlInstanceActiveDirectoryOnlyAuthentication -InstanceName <myinstance> -ResourceGroupName <myresource>
   

Comprobación del estado de la autenticación solo de Azure AD

Compruebe si la autenticación solo de Azure AD está habilitada para el servidor o la instancia.

Portal

Comprobación del estado en SQL Database

Vaya al recurso del servidor SQL en Azure Portal. Seleccione Azure Active Directory en el menú Configuración .

Comprobación del estado en SQL Managed Instance

Vaya al recurso de SQL Managed Instance en Azure Portal. Seleccione Administrador de Active Directory en el menú Configuración.

La CLI de Azure

Estos comandos se pueden usar para comprobar si la autenticación solo de Azure AD está habilitada para el servidor lógico de Azure SQL Database o SQL Managed Instance. Los miembros de los roles colaborador de Colaborador de SQL Server y colaborador de SQL Managed Instance pueden usar estos comandos para comprobar el estado de la autenticación solo de Azure AD, pero no pueden habilitar ni deshabilitar la característica.

Comprobación del estado en SQL Database

1. Inicie sesión en Azure con la cuenta con el rol Administrador de seguridad SQL. Para obtener más información sobre cómo administrar la autenticación solo de Azure AD con API, consulte Administración de la autenticación solo de Azure AD con API

   az login
   

2. Ejecute el siguiente comando reemplazando <myserver> por el nombre de su servidor SQL y <myresource> por el recurso de Azure que contenga el servidor SQL.

   az sql server ad-only-auth get --resource-group <myresource> --name <myserver>
   

3. Debería ver la siguiente salida:

   {
    "azureAdOnlyAuthentication": true,
    "/subscriptions/<guid>/resourceGroups/mygroup/providers/Microsoft.Sql/servers/myserver/azureADOnlyAuthentications/Default",
    "name": "Default",
    "resourceGroup": "myresource",
    "type": "Microsoft.Sql/servers"
   }
   

Comprobación del estado en SQL Managed Instance

1. Inicie sesión en Azure con la cuenta con el rol Administrador de seguridad SQL.

   az login
   

2. Ejecute el siguiente comando reemplazando <myserver> por el nombre de su servidor SQL y <myresource> por el recurso de Azure que contenga el servidor SQL.

   az sql mi ad-only-auth get --resource-group <myresource> --name <myserver>
   

3. Debería ver la siguiente salida:

   {
    "azureAdOnlyAuthentication": true,
    "id": "/subscriptions/<guid>/resourceGroups/myresource/providers/Microsoft.Sql/managedInstances/myinstance/azureADOnlyAuthentications/Default",
    "name": "Default",
    "resourceGroup": "myresource",
    "type": "Microsoft.Sql/managedInstances"
   }
   

PowerShell

Estos comandos se pueden usar para comprobar si la autenticación solo de Azure AD está habilitada para el servidor lógico de Azure SQL Database o SQL Managed Instance. Los miembros de los roles colaborador de Colaborador de SQL Server y colaborador de SQL Managed Instance pueden usar estos comandos para comprobar el estado de la autenticación solo de Azure AD, pero no pueden habilitar ni deshabilitar la característica.

El estado volverá a ser True si la característica está habilitada y será False si se deshabilita.

Comprobación del estado en SQL Database

1. Inicie sesión en Azure con la cuenta con el rol Administrador de seguridad SQL. Para obtener más información sobre cómo administrar la autenticación solo de Azure AD con API, consulte Administración de la autenticación solo de Azure AD con API

   Connect-AzAccount
   

2. Ejecute el siguiente comando reemplazando <myserver> por el nombre de su servidor SQL y <myresource> por el recurso de Azure que contenga el servidor SQL.

   Get-AzSqlServerActiveDirectoryOnlyAuthentication  -ServerName <myserver> -ResourceGroupName <myresource>
   

Comprobación del estado en SQL Managed Instance

1. Inicie sesión en Azure con la cuenta con el rol Administrador de seguridad SQL.

   Connect-AzAccount
   

2. Ejecute el siguiente comando reemplazando <myinstance> por el nombre de SQL Managed Instance y <myresource> por el recurso de Azure que contenga la instancia de SQL Managed Instance.

   Get-AzSqlInstanceActiveDirectoryOnlyAuthentication -InstanceName <myinstance> -ResourceGroupName <myresource>
   

Prueba de autenticación SQL con error de conexión

Después de habilitar la autenticación solo de Azure AD, haga la prueba con SQL Server Management Studio (SSMS) para conectarse a SQL Database o SQL Managed Instance. Use la autenticación SQL para la conexión.

Debería aparecer un mensaje de error de inicio de sesión similar al siguiente:

Cannot connect to <myserver>.database.windows.net.
Additional information:
  Login failed for user 'username'. Reason: Azure Active Directory only authentication is enabled.
  Please contact your system administrator. (Microsoft SQL Server, Error: 18456)

Deshabilitar la autenticación solo de Azure AD

Al deshabilitar la característica de autenticación solo de Azure AD, permite la autenticación de SQL y de Azure AD para Azure SQL.

Portal

Deshabilitación en SQL Database con Azure Portal

1. Con el usuario con el rol Administrador de seguridad SQL, vaya a Azure Portal.
2. Vaya al recurso del servidor SQL y seleccione Azure Active Directory en el menú Configuración.
3. Para deshabilitar la característica de autenticación solo de Azure AD, desactive la casilla Solo admite la autenticación de Azure Active Directory para este servidor y guarde la configuración.

Deshabilitación en SQL Managed Instance con Azure Portal

1. Con el usuario con el rol Administrador de seguridad SQL, vaya a Azure Portal.
2. Vaya al recurso de SQL Managed Instance y seleccione Administrador de Active Directory en el menú Configuración.
3. Para deshabilitar la característica de autenticación solo de Azure AD, desactive la casilla Solo se admite la autenticación Azure Active Directory para esta instancia administrada y guarde la configuración.

La CLI de Azure

Deshabilitar en SQL Database con la CLI de Azure

Para deshabilitar la autenticación solo de Azure AD en Azure SQL Database mediante la CLI de Azure, consulte los comandos siguientes.

1. Inicie sesión en Azure con la cuenta con el rol Administrador de seguridad SQL.

   az login
   

2. Ejecute el siguiente comando reemplazando <myserver> por el nombre de su servidor SQL y <myresource> por el recurso de Azure que contenga el servidor SQL.

   az sql server ad-only-auth disable --resource-group <myresource> --name <myserver>
   

3. Después de deshabilitar la autenticación solo de Azure AD, debería ver lo siguiente al comprobar el estado:

   {
    "azureAdOnlyAuthentication": false,
    "/subscriptions/<guid>/resourceGroups/mygroup/providers/Microsoft.Sql/servers/myserver/azureADOnlyAuthentications/Default",
    "name": "Default",
    "resourceGroup": "myresource",
    "type": "Microsoft.Sql/servers"
   }
   

Deshabilitar en SQL Managed Instance con la CLI de Azure

Para deshabilitar la autenticación solo de Azure AD en Azure SQL Managed Instance mediante la CLI de Azure, consulte los comandos siguientes.

1. Inicie sesión en Azure con la cuenta con el rol Administrador de seguridad SQL.

   az login
   

2. Ejecute el siguiente comando reemplazando <myserver> por el nombre de su servidor SQL y <myresource> por el recurso de Azure que contenga el servidor SQL.

   az sql mi ad-only-auth disable --resource-group <myresource> --name <myserver>
   

3. Después de deshabilitar la autenticación solo de Azure AD, debería ver lo siguiente al comprobar el estado:

   {
    "azureAdOnlyAuthentication": false,
    "id": "/subscriptions/<guid>/resourceGroups/myresource/providers/Microsoft.Sql/managedInstances/myinstance/azureADOnlyAuthentications/Default",
    "name": "Default",
    "resourceGroup": "myresource",
    "type": "Microsoft.Sql/managedInstances"
   }
   

PowerShell

Deshabilitar en SQL Database con PowerShell

Para deshabilitar la autenticación solo de Azure AD en Azure SQL Database mediante PowerShell, consulte los comandos siguientes.

1. Inicie sesión en Azure con la cuenta con el rol Administrador de seguridad SQL.

   Connect-AzAccount
   

2. Ejecute el siguiente comando reemplazando <myserver> por el nombre de su servidor SQL y <myresource> por el recurso de Azure que contenga el servidor SQL.

   Disable-AzSqlServerActiveDirectoryOnlyAuthentication -ServerName <myserver>  -ResourceGroupName <myresource>
   

Deshabilitar en SQL Managed Instance con PowerShell

Para deshabilitar la autenticación solo de Azure AD en Azure SQL Managed Instance mediante PowerShell, consulte los comandos siguientes.

1. Inicie sesión en Azure con la cuenta con el rol Administrador de seguridad SQL.

   Connect-AzAccount
   

2. Ejecute el siguiente comando reemplazando <myinstance> por el nombre de SQL Managed Instance y <myresource> por el recurso de Azure que contenga la instancia administrada.

   Disable-AzSqlInstanceActiveDirectoryOnlyAuthentication -InstanceName <myinstance> -ResourceGroupName <myresource>
   

Volver a probar la conexión a Azure SQL

Después de deshabilitar la autenticación solo de Azure AD, pruebe a conectarse mediante inicio de sesión con autenticación SQL. Ahora debería poder conectarse a su servidor o instancia.

Pasos siguientes

• Autenticación solo de Azure AD con Azure SQL
• Creación de un servidor con autenticación solo con Azure AD habilitada en Azure SQL
• Uso de Azure Policy para aplicar la autenticación exclusiva de Azure Active Directory con Azure SQL