Megosztás a következőn keresztül:


Use Microsoft Entra authentication

A következőre vonatkozik: Azure SQL DatabaseAzure SQL Managed InstanceAzure Synapse Analytics

Ez a cikk áttekintést nyújt arról, hogy a Microsoft Entra ID (korábbi nevén Azure Active Directory) használatával hitelesíthet az Azure SQL Database-ben, az Azure SQL Managed Instance-ben, a Windows Azure-beli virtuális gépeken futó SQL Serverben, az Azure Synapse Analyticsben a Synapse SQL-ben és a Windows és Linux rendszerhez készült SQL Serverben.

Ha meg szeretné tudni, hogyan hozhat létre és tölthet fel Microsoft Entra-azonosítót, majd hogyan konfigurálhatja a Microsoft Entra-azonosítót az Azure SQL Database-zel, az Azure SQL Managed Instance-lel és a Synapse SQL-sel az Azure Synapse Analyticsben, tekintse át a Microsoft Entra-azonosító és a Microsoft Entra-azonosító konfigurálását azure-beli virtuális gépeken futó SQL Serverrel.

Megjegyzés:

A Microsoft Entra ID az Azure Active Directory (Azure AD) új neve. Jelenleg frissítjük a dokumentációt.

Áttekintés

With Microsoft Entra authentication, you can centrally manage the identities of database users and other Microsoft services in one central location. A központi azonosítófelügyelettel egyetlen helyen kezelheti az adatbázis-felhasználókat, így leegyszerűsítheti az engedélykezelést. Ez az alábbi előnyökkel jár:

  • Alternatívát kínál az SQL Server-hitelesítés helyett.

  • Segít megállítani a felhasználói identitások terjedését a kiszolgálókon.

  • Lehetővé teszi a jelszóváltást egyetlen helyen.

  • Az ügyfelek Microsoft Entra-csoportokkal kezelhetik az adatbázis-engedélyeket.

  • Kiküszöbölheti a jelszavak tárolását azáltal, hogy engedélyezi az integrált Windows-hitelesítést és a Microsoft Entra ID által támogatott egyéb hitelesítési formákat.

  • A Microsoft Entra-hitelesítés tartalmazott adatbázis-felhasználók használatával hitelesíti az identitásokat az adatbázis szintjén.

  • A Microsoft Entra ID támogatja az SQL Database-hez és felügyelt SQL-példányhoz csatlakozó alkalmazások jogkivonatalapú hitelesítését.

  • A Microsoft Entra-hitelesítés a következőket támogatja:

    • Csak felhőalapú Microsoft Entra-identitások.
    • A Microsoft Entra hibrid identitásai, amelyek támogatják a következőt:
      • Felhőalapú hitelesítés két lehetőséggel, zökkenőmentes egyszeri bejelentkezéssel (SSO) átmenő hitelesítéssel és jelszókivonat-hitelesítéssel .
      • Összevont hitelesítés.
    • A Microsoft Entra hitelesítési módszereiről és a választható módszerekről az alábbi cikkben talál további információt:
  • Az SQL Server Management Studio támogatja a Microsoft Entrát többtényezős hitelesítéssel használó kapcsolatokat. A többtényezős hitelesítés számos egyszerű ellenőrzési lehetőséggel biztosít erős hitelesítést– telefonhívást, szöveges üzenetet, pin-kóddal ellátott intelligens kártyákat vagy mobilalkalmazás-értesítéseket. További információ: A Microsoft Entra többtényezős hitelesítésének SSMS-támogatása az Azure SQL Database-lel, a felügyelt SQL-példányokkal és az Azure Synapse-nal

  • Az SQL Server Data Tools (SSDT) emellett számos hitelesítési lehetőséget támogat a Microsoft Entra ID-val. További információ: Microsoft Entra ID-támogatás az SQL Server Data Tools (SSDT)-ben.

A konfigurációs lépések a következő eljárásokat tartalmazzák a Microsoft Entra-hitelesítés konfigurálásához és használatához.

  1. Microsoft Entra-bérlő létrehozása és feltöltése.
  2. Nem kötelező: Társítsa vagy módosítsa az Azure-előfizetéséhez társított aktuális könyvtárat.
  3. Hozzon létre egy Microsoft Entra-rendszergazdát.
  4. Konfigurálja az ügyfélszámítógépeket.
  5. Tartalmazott adatbázis-felhasználók létrehozása az adatbázisban a Microsoft Entra-identitásokhoz megfeleltetve.
  6. Csatlakozás az adatbázisba Microsoft Entra-identitásokkal.

Megjegyzés:

Az Azure SQL, az Azure-beli virtuális gépek és az SQL Server 2022 esetében a Microsoft Entra-hitelesítés csak a Microsoft Entra-azonosítóból származó hozzáférési jogkivonatokat támogatja, és nem támogatja a külső hozzáférési jogkivonatokat. A Microsoft Entra ID nem támogatja a Microsoft Entra ID-lekérdezések külső végpontokra való átirányítását sem. Ez az összes SQL-platformra és a Microsoft Entra-hitelesítést támogató összes operációs rendszerre vonatkozik.

Az architektúra megbízhatósága

  • Csak a Microsoft Entra ID, az SQL Database, a felügyelt SQL-példány, a Windows Azure-beli virtuális gépeken futó SQL Server és az Azure Synapse felhőrésze támogatja a Microsoft Entra natív felhasználói jelszavait.
  • A Windows egyszeri bejelentkezési hitelesítő adatainak (vagy a Windows hitelesítő adataihoz tartozó felhasználó/jelszó) támogatásához használja a Microsoft Entra hitelesítő adatait egy összevont vagy felügyelt tartományból, amely konfigurálva van a zökkenőmentes egyszeri bejelentkezéshez az átmenő és a jelszókivonatos hitelesítéshez. További információért lásd: Microsoft Entra zökkenőmentes egyszeri bejelentkezés.
  • Az összevont hitelesítés (vagy a Windows hitelesítő adataihoz tartozó felhasználó/jelszó) támogatásához az ADFS-blokktal való kommunikációra van szükség.

A Microsoft Entra hibrid identitásokkal, a beállítással és a szinkronizálással kapcsolatos további információkért tekintse meg az alábbi cikkeket:

Az ADFS-infrastruktúrával (vagy windowsos hitelesítő adatok felhasználójával/jelszavával) történő összevont hitelesítés mintájáért tekintse meg az alábbi ábrát. A nyilak kommunikációs útvonalakat jelölnek.

Diagram of Microsoft Entra authentication for Azure SQL.

Az alábbi ábra azokat az összevonási, megbízhatósági és üzemeltetési kapcsolatokat mutatja be, amelyek lehetővé teszik az ügyfél számára, hogy jogkivonat elküldésével csatlakozzon egy adatbázishoz. A jogkivonatot a Microsoft Entra ID hitelesíti, és az adatbázis megbízhatónak minősíti. Az 1. ügyfél képviselheti a Microsoft Entra-azonosítót natív felhasználókkal, vagy a Microsoft Entra-azonosítót összevont felhasználókkal. A 2. ügyfél egy lehetséges megoldást jelöl, beleértve az importált felhasználókat is, ebben a példában egy összevont Microsoft Entra-azonosítóból származik, amely az ADFS-t szinkronizálja a Microsoft Entra-azonosítóval. Fontos tisztában lenni azzal, hogy a Microsoft Entra-hitelesítést használó adatbázisokhoz való hozzáféréshez az üzemeltetési előfizetés a Microsoft Entra-azonosítóhoz van társítva. Ugyanazt az előfizetést kell használni az Azure SQL Database, a felügyelt SQL-példány vagy az Azure Synapse-erőforrások létrehozásához.

Diagram shows the relationship between subscriptions in the Microsoft Entra configuration.

Rendszergazda istrator struktúra

A Microsoft Entra-hitelesítés használatakor két Rendszergazda istrator-fiók létezik: az eredeti Azure SQL Database-rendszergazda és a Microsoft Entra-rendszergazda. Ugyanezek a fogalmak vonatkoznak az Azure Synapse-ra is. Csak a Microsoft Entra-fiókon alapuló rendszergazda hozhatja létre az első Microsoft Entra-azonosítót tartalmazó adatbázis-felhasználót egy felhasználói adatbázisban. A Microsoft Entra rendszergazdai bejelentkezés lehet Microsoft Entra-felhasználó vagy Microsoft Entra-csoport. Ha a rendszergazda csoportfiók, azt bármely csoporttag használhatja, így több Microsoft Entra-rendszergazda is használhatja a kiszolgálóhoz. A csoportfiók rendszergazdaként való használata javítja a kezelhetőséget azáltal, hogy lehetővé teszi a csoporttagok központi hozzáadását és eltávolítását a Microsoft Entra-azonosítóban anélkül, hogy módosítaná az SQL Database vagy az Azure Synapse felhasználóit vagy engedélyeit. Egyszerre csak egy Microsoft Entra-rendszergazda (felhasználó vagy csoport) konfigurálható.

Diagram shows the administrator structure for Microsoft Entra ID used with SQL Server.

Megjegyzés:

Az Azure SQL-lel történő Microsoft Entra-hitelesítés csak azt az egyetlen Microsoft Entra-bérlőt támogatja, amelyben az Azure SQL-erőforrás jelenleg található. A bérlő összes Microsoft Entra-objektuma beállítható felhasználóként, amely lehetővé teszi az Azure SQL-hez való hozzáférést ebben a bérlőben. A Microsoft Entra-rendszergazdának az Azure SQL-erőforrás bérlőjéről is rendelkeznie kell. Nem támogatott a Microsoft Entra több-bérlős hitelesítése, amely különböző bérlőkről fér hozzá az Azure SQL-hez.

Permissions

Új felhasználók létrehozásához rendelkeznie kell az ALTER ANY USER adatbázis engedélyével. Az ALTER ANY USER engedély bármely adatbázis-felhasználónak adható. Az ALTER ANY USER engedélyt a kiszolgálói rendszergazdai fiókok és az adatbázis felhasználói is birtokolják az CONTROL ON DATABASE adott adatbázishoz vagy ALTER ON DATABASE engedélyhez, valamint az db_owner adatbázis-szerepkör tagjai.

Ha tartalmazott adatbázis-felhasználót szeretne létrehozni az Azure SQL Database-ben, az Azure SQL Managed Instance-ben vagy az Azure Synapse-ban, Microsoft Entra-identitással kell csatlakoznia az adatbázishoz vagy a példányhoz. Az első tárolt adatbázis-felhasználó létrehozásához csatlakoznia kell az adatbázishoz egy Microsoft Entra-rendszergazdával (aki az adatbázis tulajdonosa). Ezt a Microsoft Entra-hitelesítés konfigurálása és kezelése AZ SQL Database vagy az Azure Synapse használatával című témakörben mutatjuk be. A Microsoft Entra-hitelesítés csak akkor lehetséges, ha a Microsoft Entra-rendszergazda az Azure SQL Database-hez, a felügyelt Azure SQL-példányhoz vagy az Azure Synapse-hoz lett létrehozva. Ha a Microsoft Entra rendszergazdáját eltávolították a kiszolgálóról, a kiszolgálón korábban létrehozott Microsoft Entra-felhasználók már nem tudnak csatlakozni az adatbázishoz a Microsoft Entra hitelesítő adataikkal.

A Microsoft Entra funkciói és korlátozásai

  • A Microsoft Entra ID következő tagjai építhetők ki az Azure SQL Database-hez:

  • Az adatbázis-szerepkörbe tartozó db_owner csoporthoz tartozó Microsoft Entra-felhasználók nem használhatják a CREATE DATABA Standard kiadás SCOPED CREDENTIAL szintaxist az Azure SQL Database-hez és az Azure Synapse-hoz. A következő hibaüzenet jelenik meg:

    SQL Error [2760] [S0001]: The specified schema name 'user@mydomain.com' either doesn't exist or you do not have permission to use it.

    A CREATE DATABA Standard kiadás SCOPED CREDENTIAL probléma megoldásához adja hozzá közvetlenül az egyes Microsoft Entra-felhasználóhoz a db_owner szerepkört.

  • Ezek a rendszerfüggvények nem támogatottak, és NULL értékeket ad vissza, amikor a Microsoft Entra-tagok alatt hajtják végre:

    • SUSER_ID()
    • SUSER_NAME(<ID>)
    • SUSER_SNAME(<SID>)
    • SUSER_ID(<name>)
    • SUSER_SID(<name>)
  • Az Azure SQL Database nem hoz létre implicit felhasználókat a Microsoft Entra-csoporttagság részeként bejelentkezett felhasználók számára. Emiatt a tulajdonjog-hozzárendelést igénylő különböző műveletek sikertelenek lesznek, még akkor is, ha a Microsoft Entra-csoportot tagként hozzáadják egy ilyen engedélyekkel rendelkező szerepkörhöz.

    Ha például egy felhasználó a db_ddladmin szerepkörrel rendelkező Microsoft Entra-csoporton keresztül jelentkezett be egy adatbázisba, nem tudja explicit módon definiált séma (például tábla, nézet vagy típus) nélkül végrehajtani a CREATE SCHEMA, ALTER SCHEMA és egyéb objektumlétrehozási utasításokat. A probléma megoldásához létre kell hozni egy Microsoft Entra-felhasználót az adott felhasználóhoz, vagy módosítani kell a Microsoft Entra csoportot, hogy a DEFAULT_SCHEMA a dbo-hoz rendelje.

SQL Managed Instance

  • A Microsoft Entra-kiszolgálónevek (bejelentkezések) és a felhasználók támogatottak a felügyelt SQL-példányokban.

  • A Felügyelt SQL-példány nem támogatja a Microsoft Entra-csoportra leképezett Microsoft Entra-bejelentkezések adatbázis-tulajdonosként való beállítását.

    • Ennek egyik bővítménye, hogy amikor a kiszolgálói szerepkör részeként hozzáad egy csoportot, a dbcreator csoport felhasználói csatlakozhatnak a felügyelt SQL-példányhoz, és új adatbázisokat hozhatnak létre, de nem férhetnek hozzá az adatbázishoz. Ennek az az oka, hogy az új adatbázis tulajdonosa sa, és nem a Microsoft Entra-felhasználó. Ez a probléma nem jelenik meg, ha az egyes felhasználó hozzáadódik a dbcreator kiszolgálói szerepkörhöz.
  • Az SQL Agent kezelése és a feladatok végrehajtása támogatott a Microsoft Entra-bejelentkezésekhez.

  • Az adatbázis biztonsági mentési és visszaállítási műveleteit a Microsoft Entra-kiszolgálónevek (bejelentkezések) hajthatják végre.

  • A Microsoft Entra-kiszolgálónevekhez (bejelentkezésekhez) és a hitelesítési eseményekhez kapcsolódó összes utasítás naplózása támogatott.

  • A sysadmin-kiszolgálói szerepkör tagjait képező Microsoft Entra-kiszolgálónevek (bejelentkezések) dedikált rendszergazdai kapcsolata támogatott.

    • Az SQLCMD Segédprogram és az SQL Server Management Studio támogatja.
  • A bejelentkezési eseményindítók támogatottak a Microsoft Entra-kiszolgálónevekből (bejelentkezésekből) érkező bejelentkezési eseményekhez.

  • A Service Broker és a DB-levelek a Microsoft Entra-kiszolgálónévvel (bejelentkezéssel) állíthatók be.

Connect by using Microsoft Entra identities

A Microsoft Entra-hitelesítés az alábbi módszereket támogatja az adatbázishoz való csatlakozáshoz a Microsoft Entra-identitások használatával:

  • Microsoft Entra jelszó
  • A Microsoft Entra integrálva
  • Microsoft Entra Universal többtényezős hitelesítéssel
  • Alkalmazásjogkivonat-hitelesítés használata

A Microsoft Entra-kiszolgálónevek (bejelentkezések) esetében a következő hitelesítési módszerek támogatottak:

  • Microsoft Entra jelszó
  • A Microsoft Entra integrálva
  • Microsoft Entra Universal többtényezős hitelesítéssel

Additional considerations

  • A kezelhetőség javítása érdekében javasoljuk, hogy rendszergazdaként kiépítsen egy dedikált Microsoft Entra-csoportot.
  • Az SQL Database-ben vagy az Azure Synapse-ban egyszerre csak egy Microsoft Entra-rendszergazda (felhasználó vagy csoport) konfigurálható egy kiszolgálóhoz.
    • A Felügyelt SQL-példányhoz tartozó Microsoft Entra-kiszolgálónevek (bejelentkezések) hozzáadása lehetővé teszi több Microsoft Entra-kiszolgálónév (bejelentkezés) létrehozását, amelyek hozzáadhatók a sysadmin szerepkörhöz.
  • Kezdetben csak a kiszolgáló Microsoft Entra-rendszergazdája csatlakozhat a kiszolgálóhoz vagy a felügyelt példányhoz Egy Microsoft Entra-fiók használatával. A Microsoft Entra rendszergazdája konfigurálhatja a Microsoft Entra-adatbázis további felhasználóit.
  • A 2048-nál több Microsoft Entra biztonsági csoport tagjaiként működő Microsoft Entra-felhasználók és szolgáltatásnevek (Microsoft Entra-alkalmazások) nem támogatottak az SQL Database, a felügyelt SQL-példány vagy az Azure Synapse adatbázisába való bejelentkezéshez.
  • Javasoljuk, hogy a kapcsolat időtúllépését 30 másodpercre állítsa.
  • Az SQL Server 2016 Management Studio és az SQL Server Data Tools for Visual Studio 2015 (14.0.60311.1April 2016-os vagy újabb verzió) támogatja a Microsoft Entra-hitelesítést. (A Microsoft Entra-hitelesítést a .NET-keretrendszer SqlServer adatszolgáltatója; legalább .NET-keretrendszer 4.6-os verzió). Ezért ezeknek az eszközöknek és adatrétegű alkalmazásoknak a legújabb verziói (DAC és BACPAC) használhatják a Microsoft Entra-hitelesítést.
  • A 15.0.1-es verziótól kezdve az sqlcmd segédprogram és a bcp segédprogram támogatja az Active Directory interaktív hitelesítést többtényezős hitelesítéssel.
  • Az SQL Server Data Tools for Visual Studio 2015 használatához legalább a Data Tools 2016. áprilisi verziója szükséges (14.0.60311.1-es verzió). A Microsoft Entra-felhasználók jelenleg nem jelennek meg az SSDT Object Explorerben. Kerülő megoldásként tekintse meg a felhasználókat a sys.database_principals.
  • Az SQL Serverhez készült Microsoft JDBC Driver 6.0 támogatja a Microsoft Entra-hitelesítést. Lásd még a Csatlakozás ion tulajdonságainak beállítását.
  • A PolyBase nem tud Microsoft Entra-hitelesítéssel hitelesíteni.
  • A Microsoft Entra-hitelesítés az Azure SQL Database és az Azure Synapse esetében támogatott az Azure Portal Adatbázis importálása és adatbázis exportálása panelek használatával. A PowerShell-parancsok a Microsoft Entra-hitelesítéssel történő importálást és exportálást is támogatják.
  • A Microsoft Entra-hitelesítés az SQL Database, a felügyelt SQL-példány és az Azure Synapse esetében támogatott a parancssori felület használatával. További információ: Microsoft Entra-hitelesítés konfigurálása és kezelése AZ SQL Database-zel vagy az Azure Synapse-nal és AZ SQL Serverrel – az sql serverrel.

További lépések

  • Ha tudni szeretné, hogyan hozhat létre és tölthet fel Egy Microsoft Entra-bérlőt, majd hogyan konfigurálhatja azt azure SQL Database-sel, felügyelt Azure SQL-példánysal vagy Azure Synapse-nal, olvassa el a Microsoft Entra-hitelesítés konfigurálása és kezelése AZ SQL Database-lel, a felügyelt SQL-példányokkal vagy az Azure Synapse-nal című témakört.
  • A Microsoft Entra-kiszolgálónevek (bejelentkezések) felügyelt SQL-példányokkal való használatáról a Felügyelt SQL-példány microsoft Entra-kiszolgálóneveivel (bejelentkezéseivel) kapcsolatos oktatóanyagban olvashat
  • A bejelentkezések, a felhasználók, az adatbázisszerepkörök és az SQL Database engedélyeinek áttekintéséért lásd : Bejelentkezések, felhasználók, adatbázisszerepkörök és engedélyek.
  • További információ az adatbázis résztvevőivel kapcsolatban: Résztvevők.
  • További információ az adatbázis-szerepkörökkel kapcsolatban: Adatbázis-szerepkörök.
  • A Felügyelt SQL-példányhoz tartozó Microsoft Entra-kiszolgálónevek (bejelentkezések) létrehozásáról a CREATE LOGIN (BEJELENTKEZÉS LÉTREHOZÁSA) című témakörben olvashat.
  • További információ az SQL Database tűzfalszabályaival kapcsolatban: SQL Database tűzfalszabályok.