Configuración y administración de la autenticación de Azure Active Directory con SQLConfigure and manage Azure Active Directory authentication with SQL

En este artículo se muestra cómo crear y rellenar una instancia de Azure AD y, a continuación, usarla con Azure SQL Database, Instancia administrada y SQL Data Warehouse.This article shows you how to create and populate Azure AD, and then use Azure AD with Azure SQL Database, Managed Instance, and SQL Data Warehouse. Para ver un resumen, consulte Autenticación con Azure Active Directory.For an overview, see Azure Active Directory Authentication.

Nota

Este artículo se aplica a Azure SQL Server y tanto a las bases de datos de SQL Database como a SQL Data Warehouse que se crean en el servidor de Azure SQL.This article applies to Azure SQL server, and to both SQL Database and SQL Data Warehouse databases that are created on the Azure SQL server. Para simplificar, SQL Database se utiliza cuando se hace referencia tanto a SQL Database como a SQL Data Warehouse.For simplicity, SQL Database is used when referring to both SQL Database and SQL Data Warehouse.

Importante

La conexión a una instancia de SQL Server que se ejecute en una máquina virtual de Azure no se admite si se usa una cuenta de Azure Active Directory.Connecting to SQL Server running on an Azure VM is not supported using an Azure Active Directory account. Utilice en su lugar una cuenta de Active Directory del dominio.Use a domain Active Directory account instead.

Nota

Este artículo se ha actualizado para usar el nuevo módulo Az de Azure PowerShell.This article has been updated to use the new Azure PowerShell Az module. Aún puede usar el módulo de AzureRM que continuará recibiendo correcciones de errores hasta diciembre de 2020 como mínimo.You can still use the AzureRM module, which will continue to receive bug fixes until at least December 2020. Para más información acerca del nuevo módulo Az y la compatibilidad con AzureRM, consulte Introducing the new Azure PowerShell Az module (Presentación del nuevo módulo Az de Azure PowerShell).To learn more about the new Az module and AzureRM compatibility, see Introducing the new Azure PowerShell Az module. Para obtener instrucciones sobre la instalación del módulo Az, consulte Instalación de Azure PowerShell.For Az module installation instructions, see Install Azure PowerShell.

Importante

El módulo de Azure Resource Manager de PowerShell todavía es compatible con Azure SQL Database, pero todo el desarrollo futuro se realizará para el módulo Az.Sql.The PowerShell Azure Resource Manager module is still supported by Azure SQL Database, but all future development is for the Az.Sql module. Para estos cmdlets, consulte AzureRM.Sql.For these cmdlets, see AzureRM.Sql. Los argumentos para los comandos en el módulo Az y en los módulos AzureRm son esencialmente idénticos.The arguments for the commands in the Az module and in the AzureRm modules are substantially identical.

Crear y rellenar una instancia de Azure AD.Create and populate an Azure AD

Cree una instancia de Azure AD y rellénela con usuarios y grupos.Create an Azure AD and populate it with users and groups. Azure AD puede ser el dominio administrado de Azure AD inicial.Azure AD can be the initial Azure AD managed domain. Azure AD también puede ser una instancia local de Active Directory Domain Services que se federa con Azure AD.Azure AD can also be an on-premises Active Directory Domain Services that is federated with the Azure AD.

Para obtener más información, consulte Integrating your on-premises identities with Azure Active Directory (Integración de sus identidades locales con Azure Active Directory), Incorporación de su nombre de dominio personalizado a Azure Active Directory, Microsoft Azure now supports federation with Windows Server Active Directory (Microsoft Azure admite ahora Windows Server Active Directory), Administración de su directorio de Azure AD, Administrar Azure AD mediante Windows PowerShell y Hybrid Identity Required Ports and Protocols (Puertos y protocolos requeridos para la identidad híbrida).For more information, see Integrating your on-premises identities with Azure Active Directory, Add your own domain name to Azure AD, Microsoft Azure now supports federation with Windows Server Active Directory, Administering your Azure AD directory, Manage Azure AD using Windows PowerShell, and Hybrid Identity Required Ports and Protocols.

Asociación o adición de una suscripción de Azure a Azure Active DirectoryAssociate or add an Azure subscription to Azure Active Directory

  1. Asocie la suscripción de Azure a Azure Active Directory mediante la creación del directorio como un directorio de confianza para la suscripción de Azure que hospeda la base de datos.Associate your Azure subscription to Azure Active Directory by making the directory a trusted directory for the Azure subscription hosting the database. Para obtener información, vea Asociación de las suscripciones de Azure con Azure AD.For details, see How Azure subscriptions are associated with Azure AD.

  2. Use el modificador del directorio en Azure Portal para cambiar a la suscripción asociada con el dominio.Use the directory switcher in the Azure portal to switch to the subscription associated with domain.

    Información adicional: Cada suscripción de Azure tiene una relación de confianza con una instancia de Azure AD.Additional information: Every Azure subscription has a trust relationship with an Azure AD instance. Esto significa que confía en ese directorio para autenticar usuarios, servicios y dispositivos.This means that it trusts that directory to authenticate users, services, and devices. Varias suscripciones pueden confiar en el mismo directorio, pero una suscripción confía solo en un único directorio.Multiple subscriptions can trust the same directory, but a subscription trusts only one directory. Esta relación de confianza que tiene una suscripción con un directorio es diferente de la relación que tiene una suscripción con todos los demás recursos de Azure (sitios web, bases de datos etc.), que son más parecidos a los recursos secundarios de una suscripción.This trust relationship that a subscription has with a directory is unlike the relationship that a subscription has with all other resources in Azure (websites, databases, and so on), which are more like child resources of a subscription. Si una suscripción expira, el acceso a esos otros recursos asociados a la suscripción también se detiene.If a subscription expires, then access to those other resources associated with the subscription also stops. Sin embargo, el directorio permanece en Azure y puede asociar otra suscripción a ese directorio y continuar con la administración de los usuarios del directorio.But the directory remains in Azure, and you can associate another subscription with that directory and continue to manage the directory users. Para más información sobre recursos, consulte Descripción de acceso a los recursos de Azure.For more information about resources, see Understanding resource access in Azure. Para más información sobre esta relación de confianza, vea Asociación o adición de una suscripción de Azure a Azure Active Directory.To learn more about this trusted relationship see How to associate or add an Azure subscription to Azure Active Directory.

Creación de un administrador de Azure AD para Azure SQL ServerCreate an Azure AD administrator for Azure SQL server

Cada servidor de Azure SQL Server (que hospeda una instancia de SQL Database o SQL Data Warehouse) se inicia con una única cuenta de administrador, que es el administrador de todo el servidor de Azure SQL Server.Each Azure SQL server (which hosts a SQL Database or SQL Data Warehouse) starts with a single server administrator account that is the administrator of the entire Azure SQL server. Se debe crear un segundo administrador de SQL Server que sea una cuenta de Azure AD.A second SQL Server administrator must be created, that is an Azure AD account. Esta entidad de seguridad se crea como un usuario de base de datos independiente en la base de datos maestra.This principal is created as a contained database user in the master database. Como administradores, las cuentas de administrador del servidor son miembros del rol db_owner en todas las bases de datos de usuarios y se especifican en cada base de datos de usuarios como el usuario dbo.As administrators, the server administrator accounts are members of the db_owner role in every user database, and enter each user database as the dbo user. Para más información sobre las cuentas de administrador de servidor, consulte Administración de bases de datos e inicios de sesión en Azure SQL Database.For more information about the server administrator accounts, see Managing Databases and Logins in Azure SQL Database.

Cuando se usa Azure Active Directory con replicación geográfica, el administrador de Azure Active Directory debe configurarse para los servidores principal y secundarios.When using Azure Active Directory with geo-replication, the Azure Active Directory administrator must be configured for both the primary and the secondary servers. Si un servidor no tiene un administrador de Azure Active Directory, los usuarios y los inicios de sesión de Azure Active Directory reciben un error "No se puede conectar con el servidor".If a server does not have an Azure Active Directory administrator, then Azure Active Directory logins and users receive a "Cannot connect" to server error.

Nota

Los usuarios que no se basen en una cuenta de Azure AD (incluida la cuenta de administrador del servidor Azure SQL Server) no pueden crear usuarios basados en Azure AD porque no tienen permisos para validar los usuarios de la base de datos propuesta con Azure AD.Users that are not based on an Azure AD account (including the Azure SQL server administrator account), cannot create Azure AD-based users, because they do not have permission to validate proposed database users with the Azure AD.

Aprovisionamiento de un administrador de Azure Active Directory para su instancia administradaProvision an Azure Active Directory administrator for your Managed Instance

Importante

Siga estos pasos únicamente si va a aprovisionar una instancia administrada.Only follow these steps if you are provisioning a Managed Instance. Esta operación solo la puede ejecutar el administrador global o de la compañía en Azure AD.This operation can only be executed by Global/Company administrator in Azure AD. Los pasos siguientes describen el proceso de concesión de permisos a los usuarios con privilegios diferentes en el directorio.Following steps describe the process of granting permissions for users with different privileges in directory.

La instancia administrada necesita permisos para leer Azure AD para realizar correctamente las tareas, como la autenticación de los usuarios a través de la pertenencia a grupos de seguridad o la creación de nuevos usuarios.Your Managed Instance needs permissions to read Azure AD to successfully accomplish tasks such as authentication of users through security group membership or creation of new users. Para que esto funcione, debe conceder permisos a la instancia administrada para leer Azure AD.For this to work, you need to grant permissions to Managed Instance to read Azure AD. Hay dos formas de hacerlo: desde el portal y desde PowerShell.There are two ways to do it: from Portal and PowerShell. Los siguientes pasos describen ambos métodos.The following steps both methods.

  1. En Azure Portal, en la esquina superior derecha, seleccione la conexión para desplegar una lista de posibles instancias de Active Directory.In the Azure portal, in the upper-right corner, select your connection to drop down a list of possible Active Directories.

  2. Elija el Active Directory correcto como el valor predeterminado de Azure AD.Choose the correct Active Directory as the default Azure AD.

    En este paso se vincula la suscripción asociada con Active Directory con Instancia administrada, asegurándose de que la misma suscripción se usa tanto para Azure AD como para Instancia administrada.This step links the subscription associated with Active Directory with Managed Instance making sure that the same subscription is used for both Azure AD and the Managed Instance.

  3. Navegue a la Instancia administrada y seleccione una que desee usar para la integración de Azure AD.Navigate to Managed Instance and select one that you want to use for Azure AD integration.

    aad

  4. Seleccione el banner encima de la página de administrador de Active Directory y conceda permiso al usuario actual.Select the banner on top of the Active Directory admin page and grant permission to the current user. Si inició sesión como administrador global o de la compañía en Azure AD, puede hacerlo desde Azure Portal o mediante PowerShell con el script siguiente.If you are logged in as Global/Company administrator in Azure AD, you can do it from the Azure portal or using PowerShell with the script below.

    grant permissions-portal

    # Gives Azure Active Directory read permission to a Service Principal representing the Managed Instance.
    # Can be executed only by a "Company Administrator" or "Global Administrator" type of user.
    
    $aadTenant = "<YourTenantId>" # Enter your tenant ID
    $managedInstanceName = "MyManagedInstance"
    
    # Get Azure AD role "Directory Users" and create if it doesn't exist
    $roleName = "Directory Readers"
    $role = Get-AzureADDirectoryRole | Where-Object {$_.displayName -eq $roleName}
    if ($role -eq $null) {
        # Instantiate an instance of the role template
        $roleTemplate = Get-AzureADDirectoryRoleTemplate | Where-Object {$_.displayName -eq $roleName}
        Enable-AzureADDirectoryRole -RoleTemplateId $roleTemplate.ObjectId
        $role = Get-AzureADDirectoryRole | Where-Object {$_.displayName -eq $roleName}
    }
    
    # Get service principal for managed instance
    $roleMember = Get-AzureADServicePrincipal -SearchString $managedInstanceName
    $roleMember.Count
    if ($roleMember -eq $null)
    {
        Write-Output "Error: No Service Principals with name '$    ($managedInstanceName)', make sure that managedInstanceName parameter was     entered correctly."
        exit
    }
    if (-not ($roleMember.Count -eq 1))
    {
        Write-Output "Error: More than one service principal with name pattern '$    ($managedInstanceName)'"
        Write-Output "Dumping selected service principals...."
        $roleMember
        exit
    }
    
    # Check if service principal is already member of readers role
    $allDirReaders = Get-AzureADDirectoryRoleMember -ObjectId $role.ObjectId
    $selDirReader = $allDirReaders | where{$_.ObjectId -match     $roleMember.ObjectId}
    
    if ($selDirReader -eq $null)
    {
        # Add principal to readers role
        Write-Output "Adding service principal '$($managedInstanceName)' to     'Directory Readers' role'..."
        Add-AzureADDirectoryRoleMember -ObjectId $role.ObjectId -RefObjectId     $roleMember.ObjectId
        Write-Output "'$($managedInstanceName)' service principal added to     'Directory Readers' role'..."
    
        #Write-Output "Dumping service principal '$($managedInstanceName)':"
        #$allDirReaders = Get-AzureADDirectoryRoleMember -ObjectId $role.ObjectId
        #$allDirReaders | where{$_.ObjectId -match $roleMember.ObjectId}
    }
    else
    {
        Write-Output "Service principal '$($managedInstanceName)' is already     member of 'Directory Readers' role'."
    }
    
  5. Después de que la operación se complete correctamente, la siguiente notificación se mostrará en la esquina superior derecha:After the operation is successfully completed, the following notification will show up in the top-right corner:

    success

  6. Ahora puede elegir el administrador de Azure AD para su instancia administrada.Now you can choose your Azure AD admin for your Managed Instance. Para ello, en la página Administrador de Active Directory, seleccione el comando Establecer administrador.For that, on the Active Directory admin page, select Set admin command.

    set-admin

  7. En la página de administrador de AAD, busque un usuario, seleccione el usuario o grupo que convertirá en administrador y después haga clic en Seleccionar.In the AAD admin page, search for a user, select the user or group to be an administrator, and then select Select.

    En la hoja Administrador de Active Directory se muestran todos los miembros y grupos de Active Directory.The Active Directory admin page shows all members and groups of your Active Directory. No se pueden seleccionar los usuarios o grupos que aparecen atenuados porque no se admiten como administradores de Azure AD.Users or groups that are grayed out can't be selected because they aren't supported as Azure AD administrators. Consulte la lista de administradores admitidos en la sección Características y limitaciones de Azure AD.See the list of supported admins in Azure AD Features and Limitations. El control de acceso basado en rol (RBAC) se aplica solo a Azure Portal y no se propaga a SQL Server.Role-based access control (RBAC) applies only to the Azure portal and isn't propagated to SQL Server.

    add-admin

  8. En la parte superior de la página Administrador de Active Directory, seleccione Guardar.At the top of the Active Directory admin page, select Save.

    Guardar

    El proceso de cambio del el administrador puede tardar varios minutos.The process of changing the administrator may take several minutes. El nuevo administrador aparecerá después en el cuadro Administrador de Active Directory.Then the new administrator appears in the Active Directory admin box.

Después de aprovisionar un administrador de Azure AD para Instancia administrada, puede empezar a crear entidades de seguridad del servidor de Azure AD (versión preliminar pública) con la sintaxis CREATE LOGIN.After provisioning an Azure AD admin for your Managed Instance, you can begin to create Azure AD server principals (logins) (public preview) with the CREATE LOGIN syntax. Para obtener más información, consulte la introducción sobre la Instancia administrada.For more information, see Managed Instance Overview.

Sugerencia

Si más adelante desea quitar un administrador, en la parte superior de la página Administrador de Active Directory, seleccione Quitar administrador y después Guardar.To later remove an Admin, at the top of the Active Directory admin page, select Remove admin, and then select Save.

Aprovisionamiento de un administrador de Azure Active Directory para el servidor de Azure SQL DatabaseProvision an Azure Active Directory administrator for your Azure SQL Database server

Importante

Simplemente siga estos pasos si va a aprovisionar un servidor de Azure SQL Database o Data Warehouse.Only follow these steps if you are provisioning an Azure SQL Database server or Data Warehouse.

Los dos procedimientos siguientes muestran cómo aprovisionar un administrador de Azure Active Directory para el servidor de Azure SQL Server en Azure Portal y mediante el uso de PowerShell.The following two procedures show you how to provision an Azure Active Directory administrator for your Azure SQL server in the Azure portal and by using PowerShell.

Portal de AzureAzure portal

  1. En Azure Portal, en la esquina superior derecha, seleccione la conexión para desplegar una lista de posibles instancias de Active Directory.In the Azure portal, in the upper-right corner, select your connection to drop down a list of possible Active Directories. Elija el Active Directory correcto como el valor predeterminado de Azure AD.Choose the correct Active Directory as the default Azure AD. En este paso se vincula la asociación de la suscripción de Active Directory con Azure SQL Server, de modo que se asegura de que la misma suscripción se use tanto para Azure AD como para SQL Server.This step links the subscription-associated Active Directory with Azure SQL server making sure that the same subscription is used for both Azure AD and SQL Server. (El servidor de Azure SQL se puede hospedar en Azure SQL Database o en Azure SQL Data Warehouse). choose-ad(The Azure SQL server can be hosting either Azure SQL Database or Azure SQL Data Warehouse.) choose-ad

  2. En el banner de la izquierda, seleccione Todos los servicios y, en el filtro, escriba SQL Server.In the left banner select All services, and in the filter type in SQL server. Seleccione Servidores SQL Server.Select Sql Servers.

    sqlservers.png

    Nota

    En esta página, antes de seleccionar Servidores SQL Server, puede seleccionar la estrella junto al nombre para incluir la categoría en favoritos y agregar Servidores SQL Server a la barra de navegación izquierda.On this page, before you select SQL servers, you can select the star next to the name to favorite the category and add SQL servers to the left navigation bar.

  3. En la página SQL Server, seleccione Administrador de Active Directory.On SQL Server page, select Active Directory admin.

  4. En la página Administrador de Active Directory, seleccione Establecer administrador. seleccionar Active DirectoryIn the Active Directory admin page, select Set admin. select active directory

  5. En la página Agregar administrador, busque un usuario, seleccione el usuario o grupo que convertirá en administrador y después haga clic en Seleccionar.In the Add admin page, search for a user, select the user or group to be an administrator, and then select Select. En la hoja Administrador de Active Directory se muestran todos los miembros y grupos de Active Directory.(The Active Directory admin page shows all members and groups of your Active Directory. No se pueden seleccionar los usuarios o grupos que aparecen atenuados porque no se admiten como administradores de Azure AD.Users or groups that are grayed out cannot be selected because they are not supported as Azure AD administrators. (Consulte la lista de administradores admitidos en la sección Características y limitaciones de Azure AD de Uso de la autenticación de Azure Active Directory con SQL Database o SQL Data Warehouse). El control de acceso basado en rol (RBAC) se aplica solo al portal y no se propaga a SQL Server.(See the list of supported admins in the Azure AD Features and Limitations section of Use Azure Active Directory Authentication for authentication with SQL Database or SQL Data Warehouse.) Role-based access control (RBAC) applies only to the portal and is not propagated to SQL Server. Seleccionar administradorselect admin

  6. En la parte superior de la página Administrador de Active Directory, seleccione GUARDAR.At the top of the Active Directory admin page, select SAVE. Guardar administradorsave admin

El proceso de cambio del el administrador puede tardar varios minutos.The process of changing the administrator may take several minutes. El nuevo administrador aparece en el cuadro Administrador de Active Directory .Then the new administrator appears in the Active Directory admin box.

Nota

Al configurar el nuevo administrador de Azure AD, el nuevo nombre del administrador (usuario o grupo) no puede estar en la base de datos maestra virtual como usuario de autenticación de SQL Server.When setting up the Azure AD admin, the new admin name (user or group) cannot already be present in the virtual master database as a SQL Server authentication user. Si estuviera presente, se producirá un error en el programa de instalación del administrador de Azure AD y, por lo tanto, deberá revertir su creación e indicar que ese administrador (nombre) ya existe.If present, the Azure AD admin setup will fail; rolling back its creation and indicating that such an admin (name) already exists. Como dicho usuario de autenticación de SQL Server no forma parte de Azure AD, se producirá un error cada vez que intente conectarse al servidor mediante la autenticación de Azure AD.Since such a SQL Server authentication user is not part of the Azure AD, any effort to connect to the server using Azure AD authentication fails.

Si más adelante desea quitar un administrador, en la parte superior de la página Administrador de Active Directory, seleccione Quitar administrador y después Guardar.To later remove an Admin, at the top of the Active Directory admin page, select Remove admin, and then select Save.

PowerShellPowerShell

Para ejecutar los cmdlets de PowerShell, necesitará tener Azure PowerShell instalado y en marcha.To run PowerShell cmdlets, you need to have Azure PowerShell installed and running. Para obtener información detallada, vea Instalación y configuración de Azure PowerShell.For detailed information, see How to install and configure Azure PowerShell. Para aprovisionar un administrador de Azure AD, debe ejecutar los siguientes comandos de Azure PowerShell:To provision an Azure AD admin, execute the following Azure PowerShell commands:

  • Connect-AzAccountConnect-AzAccount
  • Select-AzSubscriptionSelect-AzSubscription

Cmdlets que se usan para aprovisionar y administrar administradores de Azure AD:Cmdlets used to provision and manage Azure AD admin:

Nombre del cmdletCmdlet name DESCRIPCIÓNDescription
Set-AzSqlServerActiveDirectoryAdministratorSet-AzSqlServerActiveDirectoryAdministrator Aprovisiona un administrador de Azure Active Directory para Azure SQL Server o para Azure SQL Data Warehouse.Provisions an Azure Active Directory administrator for Azure SQL server or Azure SQL Data Warehouse. (Debe ser de la suscripción actual).(Must be from the current subscription.)
Remove-AzSqlServerActiveDirectoryAdministratorRemove-AzSqlServerActiveDirectoryAdministrator Quita un administrador de Azure Active Directory para Azure SQL Server o para Azure SQL Data Warehouse.Removes an Azure Active Directory administrator for Azure SQL server or Azure SQL Data Warehouse.
Get-AzSqlServerActiveDirectoryAdministratorGet-AzSqlServerActiveDirectoryAdministrator Devuelve información sobre un administrador de Azure Active Directory configurado actualmente para el servidor de Azure SQL Server o para Azure SQL Data Warehouse.Returns information about an Azure Active Directory administrator currently configured for the Azure SQL server or Azure SQL Data Warehouse.

Use el comando de PowerShell get-help para ver más información de cada uno de estos comandos; por ejemplo, get-help Set-AzSqlServerActiveDirectoryAdministrator.Use PowerShell command get-help to see more information for each of these commands, for example get-help Set-AzSqlServerActiveDirectoryAdministrator.

El script siguiente aprovisiona un grupo de administradores de Azure AD denominado DBA_Group (id. de objeto 40b79501-b343-44ed-9ce7-da4c8cc7353f) para el servidor demo_server, en un grupo de recursos llamado Group-23:The following script provisions an Azure AD administrator group named DBA_Group (object ID 40b79501-b343-44ed-9ce7-da4c8cc7353f) for the demo_server server in a resource group named Group-23:

Set-AzSqlServerActiveDirectoryAdministrator -ResourceGroupName "Group-23"
-ServerName "demo_server" -DisplayName "DBA_Group"

El parámetro de entrada DisplayName acepta tanto el nombre para mostrar de Azure AD, como el nombre principal de usuario.The DisplayName input parameter accepts either the Azure AD display name or the User Principal Name. Por ejemplo, DisplayName="John Smith" y DisplayName="johns@contoso.com".For example, DisplayName="John Smith" and DisplayName="johns@contoso.com". En los grupos de Azure AD solo se admite el nombre para mostrar de Azure AD.For Azure AD groups only the Azure AD display name is supported.

Nota

El comando Set-AzSqlServerActiveDirectoryAdministrator de Azure PowerShell no le impedirá aprovisionar administradores de Azure AD para usuarios no admitidos.The Azure PowerShell command Set-AzSqlServerActiveDirectoryAdministrator does not prevent you from provisioning Azure AD admins for unsupported users. Es posible aprovisionar un usuario no admitido, pero no podrá conectarse a una base de datos.An unsupported user can be provisioned, but can not connect to a database.

En el ejemplo siguiente se usa el elemento opcional ObjectID:The following example uses the optional ObjectID:

Set-AzSqlServerActiveDirectoryAdministrator -ResourceGroupName "Group-23"
-ServerName "demo_server" -DisplayName "DBA_Group" -ObjectId "40b79501-b343-44ed-9ce7-da4c8cc7353f"

Nota

El elemento ObjectID de Azure AD es necesario cuando el valor DisplayName no es único.The Azure AD ObjectID is required when the DisplayName is not unique. Para recuperar los valores ObjectID y DisplayName, use la sección Active Directory del Portal de Azure clásico y visualice las propiedades de un usuario o grupo.To retrieve the ObjectID and DisplayName values, use the Active Directory section of Azure Classic Portal, and view the properties of a user or group.

En el ejemplo siguiente se devuelve información sobre el administrador actual de Azure AD para el servidor de Azure SQL Server:The following example returns information about the current Azure AD admin for Azure SQL server:

Get-AzSqlServerActiveDirectoryAdministrator -ResourceGroupName "Group-23" -ServerName "demo_server" | Format-List

En el ejemplo siguiente se quita un administrador de Azure AD:The following example removes an Azure AD administrator:

Remove-AzSqlServerActiveDirectoryAdministrator -ResourceGroupName "Group-23" -ServerName "demo_server"

También puede aprovisionar un administrador de Azure Active Directory mediante las API de REST.You can also provision an Azure Active Directory Administrator by using the REST APIs. Para más información, consulte Service Management REST API Reference and Operations for Azure SQL Databases (Referencia de la API REST de administración de servicio y operaciones para bases de datos de Azure SQL).For more information, see Service Management REST API Reference and Operations for Azure SQL Database Operations for Azure SQL Database

CLICLI

También puede aprovisionar un administrador de Azure AD mediante una llamada a los siguientes comandos de la CLI:You can also provision an Azure AD admin by calling the following CLI commands:

Get-HelpCommand DESCRIPCIÓNDescription
az sql server ad-admin createaz sql server ad-admin create Aprovisiona un administrador de Azure Active Directory para Azure SQL Server o para Azure SQL Data Warehouse.Provisions an Azure Active Directory administrator for Azure SQL server or Azure SQL Data Warehouse. (Debe ser de la suscripción actual).(Must be from the current subscription.)
az sql server ad-admin deleteaz sql server ad-admin delete Quita un administrador de Azure Active Directory para Azure SQL Server o para Azure SQL Data Warehouse.Removes an Azure Active Directory administrator for Azure SQL server or Azure SQL Data Warehouse.
az sql server ad-admin listaz sql server ad-admin list Devuelve información sobre un administrador de Azure Active Directory configurado actualmente para el servidor de Azure SQL Server o para Azure SQL Data Warehouse.Returns information about an Azure Active Directory administrator currently configured for the Azure SQL server or Azure SQL Data Warehouse.
az sql server ad-admin updateaz sql server ad-admin update Actualiza el administrador de Azure Active Directory para un servidor Azure SQL Server o para Azure SQL Data Warehouse.Updates the Active Directory administrator for an Azure SQL server or Azure SQL Data Warehouse.

Para más información acerca de los comandos de la CLI, consulte SQL - az sql.For more information about CLI commands, see SQL - az sql.

Configurar los equipos cliente.Configure your client computers

En todos los equipos cliente, desde el que las aplicaciones o los usuarios se conectan a Azure SQL Database o a SQL Data Warehouse mediante identidades de Azure AD, debe instalar el software siguiente:On all client machines, from which your applications or users connect to Azure SQL Database or Azure SQL Data Warehouse using Azure AD identities, you must install the following software:

Puede cumplir estos requisitos mediante:You can meet these requirements by:

Crear usuarios de base de datos independiente en la base de datos y asignados a identidades de Azure AD.Create contained database users in your database mapped to Azure AD identities

Importante

Instancia administrada ahora admite entidades de seguridad del servidor de Azure AD (inicios de sesión) (versión preliminar pública), lo que le permite crear inicios de sesión de usuarios, grupos o aplicaciones de Azure AD.Managed Instance now supports Azure AD server principals (logins) (public preview), which enables you to create logins from Azure AD users, groups, or applications. Las inicios de sesión entidades de seguridad del servidor de Azure AD ofrecen la posibilidad de autenticarse en la Instancia administrada sin requerir la creación de usuarios de base de datos como un usuario de base de datos independiente.Azure AD server principals (logins) provides the ability to authenticate to your Managed Instance without requiring database users to be created as a contained database user. Para obtener más información, consulte la introducción sobre la Instancia administrada.For more information, see Managed Instance Overview. Para conocer la sintaxis de creación de entidades de seguridad (inicios de sesión) de un servidor de Azure AD, consulte CREATE LOGIN.For syntax on creating Azure AD server principals (logins), see CREATE LOGIN.

La autenticación de Azure Active Directory requiere que los usuarios de la base de datos se creen como usuarios de bases de datos independientes.Azure Active Directory authentication requires database users to be created as contained database users. Un usuario de base de datos independiente basado en una identidad de Azure AD es un usuario de base de datos que no tiene un inicio de sesión en la base de datos maestra y que se asigna a una identidad en el directorio de Azure AD que está asociado a la base de datos.A contained database user based on an Azure AD identity, is a database user that does not have a login in the master database, and which maps to an identity in the Azure AD directory that is associated with the database. La identidad de Azure AD puede ser una cuenta de usuario individual o un grupo.The Azure AD identity can be either an individual user account or a group. Para más información sobre los usuarios de bases de datos independientes, vea Usuarios de bases de datos independientes: cómo hacer que la base de datos sea portátil.For more information about contained database users, see Contained Database Users- Making Your Database Portable.

Nota

Los usuarios de base de datos (a excepción de los administradores) no se pueden crear mediante Azure Portal.Database users (with the exception of administrators) cannot be created using the Azure portal. Los roles de RBAC no se propagan a SQL Data Warehouse, SQL Database o SQL Server.RBAC roles are not propagated to SQL Server, SQL Database, or SQL Data Warehouse. Los roles de RBAC de Azure se utilizan para administrar los recursos de Azure y no se aplican a los permisos de base de datos.Azure RBAC roles are used for managing Azure Resources, and do not apply to database permissions. Por ejemplo, el rol Colaborador de SQL Server no concede acceso para conectarse a SQL Database o SQL Data Warehouse.For example, the SQL Server Contributor role does not grant access to connect to the SQL Database or SQL Data Warehouse. El permiso de acceso tiene que concederse directamente en la base de datos mediante instrucciones de Transact-SQL.The access permission must be granted directly in the database using Transact-SQL statements.

Advertencia

No se admiten los caracteres especiales como dos puntos : o la "Y" comercial & cuando se incluyen como nombres de usuario en las sentencias CREATE LOGIN y CREATE USER de T-SQL.Special characters like colon : or ampersand & when included as user names in the T-SQL CREATE LOGIN and CREATE USER statements are not supported.

Para crear un usuario de base de datos independiente basada en Azure AD (que no sea el administrador del servidor que es el propietario de la base de datos), conéctese a la base de datos con una identidad de Azure AD, como un usuario con al menos el permiso ALTER ANY USER .To create an Azure AD-based contained database user (other than the server administrator that owns the database), connect to the database with an Azure AD identity, as a user with at least the ALTER ANY USER permission. Después, use la sintaxis de Transact-SQL siguiente:Then use the following Transact-SQL syntax:

CREATE USER <Azure_AD_principal_name> FROM EXTERNAL PROVIDER;

Azure_AD_principal_name puede ser el nombre principal de usuario de un usuario de Azure AD, o el nombre para mostrar de un grupo de Azure AD.Azure_AD_principal_name can be the user principal name of an Azure AD user or the display name for an Azure AD group.

Ejemplos: para crear un usuario de base de datos independiente que represente un usuario de dominio administrado o federado de Azure AD:Examples: To create a contained database user representing an Azure AD federated or managed domain user:

CREATE USER [bob@contoso.com] FROM EXTERNAL PROVIDER;
CREATE USER [alice@fabrikam.onmicrosoft.com] FROM EXTERNAL PROVIDER;

Para crear un usuario de base de datos contenido que represente un grupo de dominio federado o de Azure AD, proporcione el nombre para mostrar de un grupo de seguridad:To create a contained database user representing an Azure AD or federated domain group, provide the display name of a security group:

CREATE USER [ICU Nurses] FROM EXTERNAL PROVIDER;

Para crear un usuario de base de datos independiente que represente a una aplicación que se conecta mediante un token de Azure AD:To create a contained database user representing an application that connects using an Azure AD token:

CREATE USER [appName] FROM EXTERNAL PROVIDER;

Nota

Este comando requiere acceso de SQL a Azure AD ("proveedor externo") en nombre del usuario que ha iniciado sesión.This command requires that SQL access Azure AD (the "external provider") on behalf of the logged-in user. A veces, surgen circunstancias que hacen que Azure AD devuelva una excepción a SQL.Sometimes, circumstances will arise that cause Azure AD to return an exception back to SQL. En estos casos, el usuario verá el error 33134 de SQL, que debe contener el mensaje de error específico de AAD.In these cases, the user will see SQL error 33134, which should contain the AAD-specific error message. La mayor parte de las veces el error indica que se deniega el acceso, que el usuario debe inscribirse en MFA para acceder al recurso, o que el acceso entre las aplicaciones propias debe controlarse con autorización previa.Most of the time, the error will say that access is denied, or that the user must enroll in MFA to access the resource, or that access between first-party applications must be handled via preauthorization. En los dos primeros casos, el problema se debe normalmente a las directivas de acceso condicional que se establecen en el inquilino de AAD del usuario: impiden que el usuario acceda al proveedor externo.In the first two cases, the issue is usually caused by Conditional Access policies that are set in the user's AAD tenant: they prevent the user from accessing the external provider. Actualizar las directivas de la entidad de certificación para permitir el acceso a la aplicación "00000002-0000-0000-c000-000000000000" (identificador de aplicación de Graph API de AAD) debería resolver el problema.Updating the CA policies to allow access to the application '00000002-0000-0000-c000-000000000000' (the application ID of the AAD Graph API) should resolve the issue. En caso de que el error indique que el acceso entre las aplicaciones propias debe controlarse con autorización previa, el problema se debe a que el usuario ha iniciado sesión como entidad de servicio.In the case that the error says access between first-party applications must be handled via preauthorization, the issue is because the user is signed in as a service principal. El comando debe ejecutarse correctamente si lo ejecuta un usuario.The command should succeed if it is executed by a user instead.

Sugerencia

No puede crear directamente un usuario a partir de una instancia de Azure Active Directory distinta a la que esté asociada a su suscripción de Azure.You cannot directly create a user from an Azure Active Directory other than the Azure Active Directory that is associated with your Azure subscription. Sin embargo, se pueden agregar miembros de otras instancias de AD que sean usuarios importados en el Active Directory asociado (que se conocen como "usuarios externos") a un grupo de Active Directory del AD inquilino.However, members of other Active Directories that are imported users in the associated Active Directory (known as external users) can be added to an Active Directory group in the tenant Active Directory. Al crear un usuario de la base de datos independiente para ese grupo de AD, los usuarios del Active Directory externo pueden obtener acceso a SQL Database.By creating a contained database user for that AD group, the users from the external Active Directory can gain access to SQL Database.

Para más información sobre la creación de usuarios de bases de datos independientes basados en identidades de Azure Active Directory, vea CREAR USUARIO (Transact-SQL).For more information about creating contained database users based on Azure Active Directory identities, see CREATE USER (Transact-SQL).

Nota

Si se quita el administrador de Azure Active Directory de Azure SQL Server, se impide que cualquier usuario de autenticación de Azure AD pueda conectarse al servidor.Removing the Azure Active Directory administrator for Azure SQL server prevents any Azure AD authentication user from connecting to the server. Si es necesario, un administrador de SQL Database puede quitar manualmente a usuarios de Azure AD no utilizados.If necessary, unusable Azure AD users can be dropped manually by a SQL Database administrator.

Nota

Si recibe la notificación Tiempo de espera de conexión agotado, es posible que deba establecer el parámetro TransparentNetworkIPResolution de la cadena de conexión en False.If you receive a Connection Timeout Expired, you may need to set the TransparentNetworkIPResolution parameter of the connection string to false. Para más información, consulte Connection timeout issue with .NET Framework 4.6.1 – TransparentNetworkIPResolution (Problema de tiempo de espera de conexión agotado con .NET Framework 4.6.1: TransparentNetworkIPResolution).For more information, see Connection timeout issue with .NET Framework 4.6.1 - TransparentNetworkIPResolution.

Cuando se crea un usuario de base de datos, dicho usuario recibe el permiso CONNECT y puede conectarse a esa base de datos como un miembro con el rol PUBLIC.When you create a database user, that user receives the CONNECT permission and can connect to that database as a member of the PUBLIC role. En un principio, los únicos permisos disponibles para el usuario son los permisos que se conceden al rol PUBLIC o cualquier otro permiso que se conceda a los grupos de Azure AD de los que sea miembro.Initially the only permissions available to the user are any permissions granted to the PUBLIC role, or any permissions granted to any Azure AD groups that they are a member of. Cuando se aprovisiona un usuario de base de datos de independiente basada en AD Azure, se pueden conceder permisos adicionales al usuario, del mismo modo que se conceden permisos a cualquier otro tipo de usuario.Once you provision an Azure AD-based contained database user, you can grant the user additional permissions, the same way as you grant permission to any other type of user. Normalmente, se conceden permisos a roles de base de datos y después se agregan usuarios a los roles.Typically grant permissions to database roles, and add users to roles. Para obtener más información, consulte Conceptos básicos de los permisos de los motores de las bases de datos.For more information, see Database Engine Permission Basics. Para obtener más información sobre los roles especiales de SQL Database, consulte Administración de bases de datos e inicios de sesión en Azure SQL Database.For more information about special SQL Database roles, see Managing Databases and Logins in Azure SQL Database. Una cuenta de usuario de dominio federado que se importa en un dominio administrado como un usuario externo debe usar la identidad del dominio administrado.A federated domain user account that is imported into a managed domain as an external user, must use the managed domain identity.

Nota

Los usuarios de Azure AD se marcan en los metadatos de la base de datos con el tipo E (EXTERNAL_USER) y en los grupos con el tipo X (EXTERNAL_GROUPS).Azure AD users are marked in the database metadata with type E (EXTERNAL_USER) and for groups with type X (EXTERNAL_GROUPS). Para obtener más información, consulte sys.database_principals (Transact-SQL).For more information, see sys.database_principals.

Conexión con la base de datos de usuario o el almacenamiento de datos mediante SQL Server Management Studio o SQL Server Data ToolsConnect to the user database or data warehouse by using SSMS or SSDT

Para confirmar que el administrador de Azure AD está correctamente configurado, conéctese a la base de datos maestra con la cuenta de administrador de Azure AD.To confirm the Azure AD administrator is properly set up, connect to the master database using the Azure AD administrator account. Para aprovisionar un usuario de base de datos independiente basada en un directorio de Azure AD (que no sea el administrador del servidor que es el propietario de la base de datos), conéctese a la base de datos con una identidad de Azure AD que tenga acceso a la base de datos.To provision an Azure AD-based contained database user (other than the server administrator that owns the database), connect to the database with an Azure AD identity that has access to the database.

Importante

La autenticación de Azure Active Directory es compatible con SQL Server 2016 Management Studio y SQL Server Data Tools en Visual Studio 2015.Support for Azure Active Directory authentication is available with SQL Server 2016 Management Studio and SQL Server Data Tools in Visual Studio 2015. La versión de agosto de 2016 de SSMS también incluye compatibilidad con la autenticación universal de Active Directory, que permite a los administradores requerir Multi-Factor Authentication con una llamada de teléfono, un mensaje de texto, tarjetas inteligentes con PIN o una notificación de aplicación móvil.The August 2016 release of SSMS also includes support for Active Directory Universal Authentication, which allows administrators to require Multi-Factor Authentication using a phone call, text message, smart cards with pin, or mobile app notification.

Uso de una identidad de Azure AD para conectarse mediante SQL Server Management Studio o SQL Server Database ToolsUsing an Azure AD identity to connect using SSMS or SSDT

Los procedimientos siguientes muestran cómo conectarse a una instancia de SQL Database con una identidad de Azure AD mediante SQL Server Management Studio o SQL Server Database Tools.The following procedures show you how to connect to a SQL database with an Azure AD identity using SQL Server Management Studio or SQL Server Database Tools.

Autenticación integrada de Active DirectoryActive Directory integrated authentication

Use este método si tiene la sesión iniciada en Windows con sus credenciales de Azure Active Directory desde un dominio federado.Use this method if you are logged in to Windows using your Azure Active Directory credentials from a federated domain.

  1. Inicie Management Studio o Data Tools y, en el cuadro de diálogo Conectar con el servidor (o Conectarse al motor de base de datos), en el cuadro Autenticación, seleccione Integrada de Active Directory.Start Management Studio or Data Tools and in the Connect to Server (or Connect to Database Engine) dialog box, in the Authentication box, select Active Directory - Integrated. No se necesita ni se puede especificar una contraseña para la conexión, ya que aparecen las credenciales existentes.No password is needed or can be entered because your existing credentials will be presented for the connection.

    Selección de autenticación integrada de Active Directory

  2. Seleccione el botón Opciones y, en la página Propiedades de conexión, en el cuadro Conectar con base de datos, escriba el nombre de la base de datos de usuarios a la que quiere conectarse.Select the Options button, and on the Connection Properties page, in the Connect to database box, type the name of the user database you want to connect to. (La opción Nombre de dominio o ID de inquilino de AD solo se admite para las opciones Universal con conexión MFA, en caso contrario se atenúa).(The AD domain name or tenant ID” option is only supported for Universal with MFA connection options, otherwise it is greyed out.)

    Selección del nombre de la base de datos

Autenticación de contraseña de Active DirectoryActive Directory password authentication

Use este método al conectarse con un nombre de entidad de seguridad de Azure AD mediante el dominio administrado de Azure AD.Use this method when connecting with an Azure AD principal name using the Azure AD managed domain. También puede utilizarlo para la cuenta federada sin acceso al dominio, por ejemplo, cuando se trabaja de forma remota.You can also use it for federated accounts without access to the domain, for example when working remotely.

Utilice este método para autenticarse en SQL DB/DW con Azure AD para los usuarios de Azure AD federados o nativos.Use this method to authenticate to SQL DB/DW with Azure AD for native or federated Azure AD users. Un usuario nativo es uno creado explícitamente en Azure AD y que se autentica mediante un nombre de usuario y una contraseña, mientras que un usuario federado es un usuario de Windows cuyo dominio está federado con Azure AD.A native user is one explicitly created in Azure AD and being authenticated using user name and password, while a federated user is a Windows user whose domain is federated with Azure AD. El último método (usuario y contraseña) puede usarse cuando un usuario desea usar sus credenciales de Windows, pero su máquina local no está unida al dominio (es decir, mediante un acceso remoto).The latter method (using user & password) can be used when a user wants to use their windows credential, but their local machine is not joined with the domain (for example, using a remote access). En este caso, un usuario de Windows puede indicar su cuenta de dominio y contraseña, y autenticarse en SQL DB/DW mediante credenciales federadas.In this case, a Windows user can indicate their domain account and password and can authenticate to SQL DB/DW using federated credentials.

  1. Inicie Management Studio o Data Tools y, en el cuadro de diálogo Conectar con el servidor (o Conectarse al motor de base de datos), en el cuadro Autenticación, seleccione Contraseña de Active Directory.Start Management Studio or Data Tools and in the Connect to Server (or Connect to Database Engine) dialog box, in the Authentication box, select Active Directory - Password.

  2. En el cuadro Nombre de usuario, escriba el nombre de usuario de Azure Active Directory con el formato nombreDeUsuario@dominio.com.In the User name box, type your Azure Active Directory user name in the format username@domain.com. Los nombres de usuario deben corresponderse con una cuenta de Azure Active Directory o una cuenta de un dominio federado con Azure Active Directory.User names must be an account from the Azure Active Directory or an account from a domain federate with the Azure Active Directory.

  3. En el cuadro Contraseña , escriba la contraseña de usuario de la cuenta de Azure Active Directory o de la cuenta de dominio federado.In the Password box, type your user password for the Azure Active Directory account or federated domain account.

    Selección de autenticación de contraseña de Active Directory

  4. Seleccione el botón Opciones y, en la página Propiedades de conexión, en el cuadro Conectar con base de datos, escriba el nombre de la base de datos de usuarios a la que quiere conectarse.Select the Options button, and on the Connection Properties page, in the Connect to database box, type the name of the user database you want to connect to. (Consulte el gráfico que aparece en la opción anterior).(See the graphic in the previous option.)

Uso de una identidad de Azure AD para conectarse desde una aplicación clienteUsing an Azure AD identity to connect from a client application

Los procedimientos siguientes muestran cómo conectarse a una instancia de SQL Database con una identidad de Azure AD desde una aplicación cliente.The following procedures show you how to connect to a SQL database with an Azure AD identity from a client application.

Autenticación integrada de Active DirectoryActive Directory integrated authentication

Para usar la autenticación integrada de Windows, la instancia de Active Directory del dominio se debe federar con Azure Active Directory.To use integrated Windows authentication, your domain’s Active Directory must be federated with Azure Active Directory. La aplicación cliente (o un servicio) que se conecte a la base de datos debe ejecutarse en un equipo unido a un dominio con las credenciales de dominio de un usuario.Your client application (or a service) connecting to the database must be running on a domain-joined machine under a user’s domain credentials.

Para conectarse a una base de datos mediante autenticación integrada y una identidad de Azure AD, la palabra clave Authentication de la cadena de conexión de la base de datos debe establecerse como Active Directory Integrated.To connect to a database using integrated authentication and an Azure AD identity, the Authentication keyword in the database connection string must be set to Active Directory Integrated. En el siguiente ejemplo de código de C# se usa ADO.NET.The following C# code sample uses ADO .NET.

string ConnectionString =
@"Data Source=n9lxnyuzhv.database.windows.net; Authentication=Active Directory Integrated; Initial Catalog=testdb;";
SqlConnection conn = new SqlConnection(ConnectionString);
conn.Open();

No se admite la palabra clave Integrated Security=True de la cadena de conexión para conectarse a Azure SQL Database.The connection string keyword Integrated Security=True is not supported for connecting to Azure SQL Database. Al crear una conexión ODBC tendrá que quitar espacios y establecer la autenticación en 'ActiveDirectoryIntegrated'.When making an ODBC connection, you will need to remove spaces and set Authentication to 'ActiveDirectoryIntegrated'.

Autenticación de contraseña de Active DirectoryActive Directory password authentication

Para conectarse a una base de datos mediante autenticación integrada y una identidad de Azure AD, la palabra clave Authentication debe establecerse como Active Directory Password.To connect to a database using integrated authentication and an Azure AD identity, the Authentication keyword must be set to Active Directory Password. La cadena de conexión debe contener las palabras clave y los valores User ID/UID y Password/PWD.The connection string must contain User ID/UID and Password/PWD keywords and values. En el siguiente ejemplo de código de C# se usa ADO.NET.The following C# code sample uses ADO .NET.

string ConnectionString =
@"Data Source=n9lxnyuzhv.database.windows.net; Authentication=Active Directory Password; Initial Catalog=testdb;  UID=bob@contoso.onmicrosoft.com; PWD=MyPassWord!";
SqlConnection conn = new SqlConnection(ConnectionString);
conn.Open();

Puede encontrar más información sobre los métodos de autenticación de Azure AD con los ejemplos de código de demostración que se encuentran disponibles en la demostración de la autenticación de Azure AD de GitHub.Learn more about Azure AD authentication methods using the demo code samples available at Azure AD Authentication GitHub Demo.

Token de Azure ADAzure AD token

Este método de autenticación permite a los servicios de nivel intermedio conectarse a Azure SQL Database o Azure SQL Data Warehouse mediante la obtención de un token de Azure Active Directory (AAD).This authentication method allows middle-tier services to connect to Azure SQL Database or Azure SQL Data Warehouse by obtaining a token from Azure Active Directory (AAD). Permite escenarios sofisticados, incluida la autenticación basada en certificados.It enables sophisticated scenarios including certificate-based authentication. Para usar la autenticación de token de Azure AD tiene que realizar cuatro pasos básicos:You must complete four basic steps to use Azure AD token authentication:

  1. Registrar la aplicación con Azure Active Directory y obtener el identificador de cliente para el código.Register your application with Azure Active Directory and get the client id for your code.
  2. Crear un usuario de base de datos que represente a la aplicación.Create a database user representing the application. (Completado anteriormente en el paso 6).(Completed earlier in step 6.)
  3. Crear un certificado en el equipo cliente que va ejecuta la aplicación.Create a certificate on the client computer runs the application.
  4. Agregar el certificado como una clave para la aplicación.Add the certificate as a key for your application.

Cadena de conexión de ejemplo:Sample connection string:

string ConnectionString =@"Data Source=n9lxnyuzhv.database.windows.net; Initial Catalog=testdb;"
SqlConnection conn = new SqlConnection(ConnectionString);
conn.AccessToken = "Your JWT token"
conn.Open();

Para más información, consulte el blog de seguridad de SQL Server.For more information, see SQL Server Security Blog. Para obtener información acerca de cómo agregar un certificado, consulte Introducción a la autenticación basada en certificados de Azure Active Directory.For information about adding a certificate, see Get started with certificate-based authentication in Azure Active Directory.

sqlcmdsqlcmd

Las instrucciones siguientes permiten conectar con la versión 13.1 de sqlcmd, que está disponible en el Centro de descarga.The following statements, connect using version 13.1 of sqlcmd, which is available from the Download Center.

Nota

sqlcmd con el comando -G no funciona con identidades del sistema y requiere un inicio de sesión de entidad de seguridad de usuario.sqlcmd with the -G command does not work with system identities, and requires a user principal login.

sqlcmd -S Target_DB_or_DW.testsrv.database.windows.net  -G  
sqlcmd -S Target_DB_or_DW.testsrv.database.windows.net -U bob@contoso.com -P MyAADPassword -G -l 30

Pasos siguientesNext steps