What is Windows Authentication for Microsoft Entra principals on Azure SQL Managed Instance?
A következőre vonatkozik:
Felügyelt Azure SQL-példány
A felügyelt Azure SQL-példány egy intelligens, méretezhető felhőalapú adatbázis-szolgáltatás, amely a legszélesebb körű SQL Server-adatbázismotor-kompatibilitást egyesíti a teljes mértékben felügyelt és örökzöld platform szolgáltatásként nyújtott előnyeivel. A Microsoft Entra ID (korábbi nevén Azure Active Directory) Kerberos-hitelesítése lehetővé teszi a Windows-hitelesítés hozzáférését a felügyelt Azure SQL-példányhoz. A felügyelt példányokhoz készült Windows-hitelesítés lehetővé teszi az ügyfelek számára, hogy meglévő szolgáltatásokat helyezzenek át a felhőbe, miközben zökkenőmentes felhasználói élményt biztosítanak, és az infrastruktúra modernizálásának alapjait biztosítják.
Megjegyzés:
A Microsoft Entra ID az Azure Active Directory (Azure AD) új neve. Jelenleg frissítjük a dokumentációt.
Főbb képességek és forgatókönyvek
Az ügyfelek az infrastruktúra, az alkalmazás és az adatszintek modernizálásakor a Microsoft Entra ID-ra váltással modernizálják identitáskezelési képességeiket is. Az Azure SQL több Microsoft Entra hitelesítési lehetőséget is kínál:
- A jelszó a Microsoft Entra hitelesítő adataival biztosít hitelesítést
- Univerzális az MFA-val többtényezős hitelesítés hozzáadása
- Az integrált az olyan összevonási szolgáltatókat használja, mint a Active Directory összevonási szolgáltatások (AD FS) (ADFS) az egyszeri bejelentkezés (SSO) engedélyezéséhez
- A szolgáltatásnév engedélyezi a hitelesítést az Azure-alkalmazásokból
- A felügyelt identitás lehetővé teszi a Microsoft Entra-identitásokhoz rendelt alkalmazások hitelesítését
Egyes örökölt alkalmazások azonban nem módosíthatják a hitelesítést a Microsoft Entra-azonosítóra: előfordulhat, hogy az örökölt alkalmazáskód már elérhető, függőség áll fenn az örökölt illesztőprogramokkal kapcsolatban, előfordulhat, hogy az ügyfelek nem módosíthatók, és így tovább. A Microsoft Entra-tagok Windows-hitelesítése eltávolítja ezt a migrálási blokkolót, és az ügyfélalkalmazások szélesebb köréhez nyújt támogatást.
A Felügyelt példányokon futó Microsoft Entra-tagok Windows-hitelesítése az Active Directoryhoz, a Microsoft Entra ID-hoz vagy a hibrid Microsoft Entra-azonosítóhoz csatlakoztatott eszközökhöz vagy virtuális gépekhez (virtuális gépekhez) érhető el – a Microsoft Entra-azonosítóban és az Active Directoryban is létezik hibrid Microsoft Entra-felhasználói identitás, és a Microsoft Entra Kerberos használatával hozzáférhet egy felügyelt Azure-példányhoz.
A Windows-hitelesítés felügyelt példányhoz való engedélyezéséhez nem szükséges, hogy az ügyfelek új helyszíni infrastruktúrát telepítsenek, vagy kezeljék a tartományi szolgáltatások beállításának többletterhelését.
A Felügyelt Azure SQL-példányon futó Microsoft Entra-tagok Windows-hitelesítése két fő forgatókönyvet tesz lehetővé: a helyszíni SQL-kiszolgálók Azure-ba való migrálását minimális módosításokkal és a biztonsági infrastruktúra modernizálását.
Helyszíni SQL-kiszolgálók áthelyezése az Azure-ba minimális módosításokkal
A Microsoft Entra-tagok Windows-hitelesítésének engedélyezésével az ügyfelek az alkalmazáshitelesítési vermek módosításainak implementálása vagy a Microsoft Entra Domain Services üzembe helyezése nélkül migrálhatnak a felügyelt Azure SQL-példányba. Az ügyfelek Windows-hitelesítéssel is hozzáférhetnek egy felügyelt példányhoz az Active Directoryból vagy a Microsoft Entra-hoz csatlakoztatott eszközeikről.
A Microsoft Entra-tagok Windows-hitelesítése a következő mintákat is lehetővé teszi felügyelt példányokon. Ezeket a mintákat gyakran használják a hagyományos helyszíni SQL-kiszolgálókon:
- "Dupla ugrás" hitelesítés: A webalkalmazások IIS-identitás megszemélyesítéssel futtatnak lekérdezéseket egy példányon a végfelhasználó biztonsági környezetében.
- A kiterjesztett eseményeket és az SQL Server Profilert használó nyomkövetések Windows-hitelesítéssel indíthatók el, így könnyen használhatóak a munkafolyamathoz szokott adatbázis-rendszergazdák és fejlesztők számára. Megtudhatja, hogyan futtathat nyomkövetést felügyelt Azure SQL-példányon a Microsoft Entra-tagok Windows-hitelesítésével.
Biztonsági infrastruktúra modernizálása
Ha engedélyezi a Windows-hitelesítést a Microsoft Entra-tagok számára a felügyelt Azure SQL-példányon, az ügyfelek modernizálhatják biztonsági gyakorlataikat.
Az ügyfél például a Windows-hitelesítésre támaszkodó bevált eszközökkel engedélyezheti a mobilelemzők számára, hogy biometrikus hitelesítő adatokkal hitelesítsék magukat egy felügyelt példányon. Ez akkor is elvégezhető, ha a mobilelemző a Microsoft Entra-azonosítóhoz csatlakoztatott laptopról dolgozik.
További lépések
További információ a Felügyelt Azure SQL-példányOn a Microsoft Entra-tagok Windows-hitelesítésének implementálásáról:
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: