Többtényezős Microsoft Entra-hitelesítés használata Synapse SQL-lel (MFA SSMS-támogatás)

A Synapse SQL támogatja az SQL Server Management Studióból (SSMS) származó kapcsolatokat az Active Directory univerzális hitelesítéssel.

Ez a cikk a különböző hitelesítési lehetőségek közötti különbségeket, valamint az univerzális hitelesítés használatával kapcsolatos korlátozásokat ismerteti.

Töltse le a legújabb SSMS-t – Az ügyfélszámítógépen töltse le az SSMS legújabb verzióját az SQL Server Management Studio (SSMS) letöltéséből.

A cikkben tárgyalt összes funkcióhoz használja legalább 2017 júliusában a 17.2-es verziót. A legutóbbi kapcsolat párbeszédpanelnek az alábbi képhez hasonlóan kell kinéznie:

Az öt hitelesítési lehetőség

Az Active Directory univerzális hitelesítése támogatja a két nem interaktív hitelesítési módszert: - Active Directory - Password hitelesítés - Active Directory - Integrated hitelesítés

Két nem interaktív hitelesítési modell is létezik, amelyek számos különböző alkalmazásban (ADO.NET, JDCB, ODC stb.) használhatók. Ez a két módszer soha nem eredményez előugró párbeszédpaneleket:

• Active Directory - Password
• Active Directory - Integrated

Az interaktív módszer a Microsoft Entra többtényezős hitelesítést (MFA) is támogatja:

• Active Directory - Universal with MFA

A Microsoft Entra többtényezős hitelesítés segít megvédeni az adatokhoz és alkalmazásokhoz való hozzáférést, miközben kielégíti a felhasználói igényeket egy egyszerű bejelentkezési folyamathoz. Erős hitelesítést biztosít számos egyszerű ellenőrzési lehetőséggel (telefonhívás, szöveges üzenet, intelligens kártya pin-kóddal vagy mobilalkalmazás-értesítéssel), így a felhasználók kiválaszthatják a kívánt módszert. Az interaktív MFA a Microsoft Entra ID-vel egy felugró párbeszédpanelt eredményezhet az érvényesítéshez.

A többtényezős hitelesítés leírását a többtényezős hitelesítéssel kapcsolatban talál.

Microsoft Entra tartománynév vagy bérlőazonosító paraméter

Az SSMS 17-es verziójától kezdődően a többi Azure Active Directoryból vendégfelhasználóként az aktuális Active Directoryba importált felhasználók megadhatják a Microsoft Entra tartománynevet vagy bérlőazonosítót, amikor csatlakoznak.

A vendégfelhasználók közé tartoznak a más Azure AD-ekből, Microsoft-fiókokból, például outlook.com, hotmail.com, live.com vagy más fiókokból, például gmail.com meghívott felhasználók. Ez az információ lehetővé teszi, hogy az Active Directory univerzális és MFA-hitelesítéssel azonosítsa a megfelelő hitelesítésszolgáltatót. Ez a lehetőség a Microsoft-fiókok (MSA), például outlook.com, hotmail.com, live.com vagy nem MSA-fiókok támogatásához is szükséges.

Az univerzális hitelesítéssel hitelesíteni kívánt összes felhasználónak meg kell adnia a Microsoft Entra tartománynevét vagy bérlőazonosítóját. Ez a paraméter azt a Microsoft Entra-tartománynevet/bérlőazonosítót jelöli, amelyhez az Azure Server kapcsolódik.

Ha például az Azure Server a Microsoft Entra tartományhoz contosotest.onmicrosoft.com van társítva, ahol a felhasználó joe@contosodev.onmicrosoft.com a Microsoft Entra tartományból contosodev.onmicrosoft.comimportált felhasználóként van üzemeltetve, a felhasználó hitelesítéséhez szükséges tartománynév.contosotest.onmicrosoft.com

Ha a felhasználó az Azure Serverhez társított Microsoft Entra-azonosító natív felhasználója, és nem MSA-fiók, nincs szükség tartománynévre vagy bérlőazonosítóra.

Ha meg szeretné adni a paramétert (az SSMS 17.2-es verziójától kezdve), a Csatlakozás adatbázisba párbeszédpanelen jelölje be az Active Directory – Univerzális MFA-hitelesítést, válassza a Beállítások lehetőséget, töltse ki a Felhasználónév mezőt, majd válassza a Csatlakozás ion Properties (Tulajdonságok) lapot.

Jelölje be az AD-tartománynevet vagy a bérlőazonosítót , és adjon meg hitelesítésszolgáltatót, például a tartománynevet (contosotest.onmicrosoft.com) vagy a bérlőazonosító GUID azonosítóját.

Ha SSMS 18.x vagy újabb rendszert futtat, akkor az AD-tartománynévre vagy bérlőazonosítóra már nincs szükség a vendégfelhasználók számára, mert a 18.x vagy újabb verzió automatikusan felismeri azt.

Microsoft Entra vállalati támogatás

A Microsoft Entra B2B-forgatókönyvekhez vendégfelhasználóként támogatott Microsoft Entra-felhasználók (lásd : Mi az Az Azure B2B együttműködés ? – A Synapse SQL-hez csak az aktuális Microsoft Entra-azonosítóban létrehozott csoport tagjaiként csatlakozhat, és manuálisan van leképezve a Transact-SQL CREATE USER utasítással egy adott adatbázisban.

Ha például steve@gmail.com meghívják az Azure AD-be contosotest (a Microsoft Entra tartománnyal contosotest.onmicrosoft.com), akkor egy Microsoft Entra-csoportot kell létrehozni, például usergroup a tagot tartalmazó steve@gmail.com Microsoft Entra-azonosítóban. Ezt a csoportot ezután létre kell hoznia egy adott adatbázishoz (azaz MyDatabase- hez) a Microsoft Entra SQL rendszergazdája vagy a Microsoft Entra DBO egy Transact-SQL-utasítás CREATE USER [usergroup] FROM EXTERNAL PROVIDER végrehajtásával.

Az adatbázis-felhasználó létrehozása után a felhasználó steve@gmail.com bejelentkezhet MyDatabase az SSMS hitelesítési lehetőséggel Active Directory – Universal with MFA support.

A felhasználói csoport alapértelmezés szerint csak a kapcsolódási engedéllyel rendelkezik, és minden további adathozzáférést, amelyet a szokásos módon kell megadni.

Vendégfelhasználóként be kell jelölnie a jelölőnégyzetet, steve@gmail.com és hozzá kell adnia az AD-tartománynevet contosotest.onmicrosoft.com az SSMS Csatlakozás ion Tulajdonság párbeszédpanelen. Az AD-tartománynév vagy a bérlőazonosító beállítás csak az Univerzális és az MFA kapcsolati beállítások esetében támogatott, ellenkező esetben a rendszer szürkével jelöli ki.

A Synapse SQL univerzális hitelesítési korlátozásai

• Az SSMS és az SqlPackage.exe az egyetlen eszköz, amely jelenleg engedélyezve van az MFA-hoz az Active Directory univerzális hitelesítésén keresztül.
• Az SSMS 17.2-es verziója támogatja a többfelhasználós egyidejű hozzáférést az univerzális hitelesítés és az MFA használatával. A 17.0-s és a 17.1-es verzió egyetlen Microsoft Entra-fiókra korlátozta az SSMS egy példányának bejelentkezését univerzális hitelesítéssel. Ha másik Microsoft Entra-fiókként szeretne bejelentkezni, az SSMS egy másik példányát kell használnia. (Ez a korlátozás az Active Directory univerzális hitelesítésére korlátozódik; az Active Directory jelszóhitelesítés, az Active Directory integrált hitelesítés vagy az SQL Server-hitelesítés használatával bejelentkezhet a különböző kiszolgálókra).
• Az SSMS támogatja az Active Directory univerzális hitelesítést az Object Explorerhez, a Lekérdezésszerkesztő és a Lekérdezéstár vizualizációhoz.
• Az SSMS 17.2-es verziója támogatja a DacFx varázslót az adatadatbázis exportálásához/kinyeréséhez/üzembe helyezéséhez. Ha egy adott felhasználó hitelesítése az univerzális hitelesítést használó kezdeti hitelesítési párbeszédpanelen történik, a DacFx varázsló ugyanúgy működik, mint az összes többi hitelesítési módszer esetében.
• Az SSMS-tábla Tervező nem támogatja az univerzális hitelesítést.
• Az Active Directory univerzális hitelesítésre nincs további szoftverkövetelmény, kivéve, hogy az SSMS támogatott verzióját kell használnia.
• Az univerzális hitelesítés Active Directory Authentication Library (ADAL) verziója frissült a legújabb ADAL.dll 3.13.9-es kiadású kiadásra. Lásd: Active Directory Authentication Library 3.14.1.

Következő lépések

További információkért tekintse meg a Synapse SQL és az SQL Server Management Studio Csatlakozás.