Uso dell'autenticazione Azure Active Directory a più fattori

SI APPLICA A: database SQL di Azure Azure SQL istanza gestita di Azure Synapse Analytics

database SQL di Azure, l'istanza gestita di Azure SQL e Azure Synapse Analytics supportano le connessioni da SQL Server Management Studio (SSMS) usando Azure Active Directory - Universale con autenticazione a più fattori. Questo articolo illustra le differenze tra le varie opzioni di autenticazione e le limitazioni associate all'uso dell'autenticazione universale in Azure Active Directory (Azure AD) per Azure SQL.

Scaricare la versione SSMS - Nel computer client scaricare l'ultima versione di SSMS, da Download SQL Server Management Studio (SSMS).

Nota

Nel mese di dicembre 2021, le versioni SSMS precedenti alla 18.6 non verranno più autenticate tramite Azure Active Directory con MFA.

Per continuare a usare Azure Active Directory autenticazione a più fattori, è necessario SSMS 18.6 o versione successiva.

Per tutte le funzionalità descritte in questo articolo, usare almeno luglio 2017, versione 17.2. La finestra di dialogo di connessione più recente dovrebbe avere un aspetto simile all'immagine seguente:

Screenshot of the Connect to Server dialog in SQL Server Management Studio, showing settings for Server type, Server name, and Authentication.

Opzioni di autenticazione

Esistono due modelli di autenticazione non interattivi per Azure AD, che possono essere usati in molte applicazioni diverse (ADO.NET, JDCB, ODC e così via). Questi due metodi non comportano mai finestre di dialogo popup:

  • Azure Active Directory - Password
  • Azure Active Directory - Integrated

Il metodo interattivo che supporta anche l'autenticazione Azure AD a più fattori (MFA) è:

  • Azure Active Directory - Universal with MFA

Azure AD'autenticazione a più fattori consente di proteggere l'accesso a dati e applicazioni e soddisfare al contempo la richiesta degli utenti di un semplice processo di accesso. Offre un'autenticazione avanzata con una serie di semplici opzioni di verifica (chiamata telefonica, SMS, smart card con pin o notifica dell'app per dispositivi mobili), che consentono agli utenti di scegliere il metodo preferito. L'autenticazione a più fattori interattiva Azure AD può compilare una finestra di dialogo popup per la convalida.

Per una descrizione delle Azure AD a più fattori, vedere Autenticazione a più fattori. Per la procedura di configurazione, vedere Configurare database SQL di Azure'autenticazione a più fattori per SQL Server Management Studio.

Azure AD nome di dominio o ID tenant

A partire da SSMS versione 17,gli utenti importati nel Azure AD corrente da altri utenti guest di Azure Active Directory possono fornire il nome di dominio Azure AD o l'ID tenant quando si connettono. Gli utenti guest includono utenti invitati da altri AZURE ADS, account Microsoft come outlook.com, hotmail.com, live.com o altri account come gmail.com. Queste informazioni consentono Azure Active Directory - Universal with MFA all'autenticazione di identificare l'autorità di autenticazione corretta. Questa opzione è necessaria anche per supportare account Microsoft (MSA), ad esempio account outlook.com, hotmail.com, live.com o non MSA.

Tutti gli utenti guest che vogliono essere autenticati con l'autenticazione universale devono immettere il nome Azure AD di dominio o l'ID tenant. Questo parametro rappresenta il nome di Azure AD o l'ID tenant corrente a cui è associato il server logico SQL Azure. Ad esempio, se il server logico SQL è associato al dominio Azure AD , in cui l'utente è ospitato come utente importato dal dominio Azure AD , il nome di dominio necessario per autenticare l'utente è contosotest.onmicrosoft.comjoe@contosodev.onmicrosoft.comcontosodev.onmicrosoft.comcontosotest.onmicrosoft.com . Quando l'utente è un utente nativo del Azure AD associato SQL server logico e non è un account MSA, non è necessario alcun nome di dominio o ID tenant. Per immettere il parametro (a partire SSMS versione 17.2):

  1. Aprire una connessione in SSMS. Immettere il nome del server e selezionare Azure Active Directory - Universale con autenticazione a più fattori. Aggiungere il nome utente con cui si vuole eseguire l'accesso.

  2. Selezionare la casella Opzioni e passare alla scheda Proprietà connessione. Nella finestra di Connessione a database completare la finestra di dialogo per il database. Selezionare la casella Nome di dominio Active Directory o ID tenant e specificare l'autorità di autenticazione, ad esempio il nome di dominio (contosotest.onmicrosoft.com) o il GUID dell'ID tenant.

    Screenshot of the Connection Properties tab highlighting the settings for Connect to database and AD domain name or tenant ID.

Se si esegue SSMS 18.x o versione successiva, il nome di dominio o l'ID tenant di Active Directory non è più necessario per gli utenti guest perché 18.x o versioni successive lo riconosce automaticamente.

Screenshot of the Connection Properties tab in the Connect to Server dialog in S S M S.

Azure AD supporto business-to-business

gli utenti di Azure AD supportati per gli scenari B2B di Azure AD come utenti guest (vedere Che cos'è la collaborazione di Azure B2B)possono connettersi a database SQL e Azure Synapse come singoli utenti o membri di un gruppo di Azure AD creato nel Azure AD associato e mappati manualmente usando create USER (Transact- SQL) in un determinato database.

Se, ad esempio, viene invitato a Azure AD (con il dominio Azure AD), un utente deve essere creato per un database specifico, ad esempio MyDatabase, da un amministratore di Azure AD SQL o da un dbO di Azure AD eseguendo l'istruzione steve@gmail.comcontosotestcontosotest.onmicrosoft.comsteve@gmail.comsteve@gmail.comTransact-SQL. create user [steve@gmail.com] FROM EXTERNAL PROVIDER Se fa parte di un gruppo di Azure AD, ad esempio questo gruppo deve essere creato per un database specifico, ad esempio MyDatabase, da un amministratore di Azure AD SQL o da un Azure AD DBO eseguendo l'istruzione steve@gmail.comusergroupsteve@gmail.comTransact-SQL. create user [usergroup] FROM EXTERNAL PROVIDER

Dopo aver creato l'utente o il gruppo di database, l'utente può accedere usando steve@gmail.comMyDatabase l'SSMS di Azure Active Directory – Universal with MFA autenticazione. Per impostazione predefinita, l'utente o il gruppo ha solo l'autorizzazione di connessione. Qualsiasi ulteriore accesso ai dati dovrà essere concesso nel database da un utente con privilegi sufficienti.

Nota

Per SSMS 17.x, usando come utente guest, è necessario selezionare la casella Nome di dominio Active Directory o ID tenant e aggiungere il nome di dominio Active Directory nella finestra di dialogo steve@gmail.comsteve@gmail.comcontosotest.onmicrosoft.comcontosotest.onmicrosoft.com connessione. L'opzione Nome di dominio Active Directory o ID tenant è supportata solo per l'Azure Active Directory - Universale con autenticazione a più fattori. In caso contrario, la casella di controllo è disattivata.

Limitazioni dell'autenticazione universale

  • SSMS e SqlPackage.exe sono gli unici strumenti attualmente abilitati per l'autenticazione a più fattori tramite l'autenticazione universale di Active Directory.
  • SSMS versione 17.2 supporta l'accesso simultaneo multi-utente tramite l'autenticazione universale con MFA. Per SSMS versione 17.0 e 17.1, lo strumento limita l'accesso per un'istanza di SSMS che usa l'autenticazione universale a un singolo account Azure Active Directory. Per accedere come altro account Azure AD, è necessario usare un'altra istanza di SSMS. Questa restrizione è limitata all'autenticazione universale di Active Directory. è possibile accedere a un server diverso usando Azure Active Directory - Password l'autenticazione, Azure Active Directory - Integrated l'autenticazione o SQL Server Authentication .
  • SSMS supporta l'autenticazione universale di Active Directory per Esplora oggetti, l'editor di query e la visualizzazione Archivio query.
  • SSMS versione 17.2 fornisce il supporto della Procedura guidata DacFx per l'esportazione/estrazione/distribuzione del database di dati. Dopo l'autenticazione di un utente specifico tramite la finestra di dialogo di autenticazione iniziale con l'autenticazione universale, la Procedura guidata DacFx funziona come per tutti gli altri metodi di autenticazione.
  • Progettazione SSMS tabella non supporta l'autenticazione universale.
  • Non sono disponibili altri requisiti software per l'autenticazione universale di Active Directory, ad eccezione del fatto che è necessario usare una versione supportata di SSMS.
  • Vedere il collegamento seguente per la versione più recente di Microsoft Authentication Library (MSAL) per l'autenticazione universale: Panoramica della libreria di autenticazione Microsoft (MSAL).

Passaggi successivi