Uso dell'autenticazione a più fattori Azure Active Directory

SI APPLICA A: Database SQL di Azure Istanza gestita di SQL di Azure Azure Synapse Analytics

Il database SQL di Azure, Azure SQL Istanza gestita e Azure sinapsi Analytics supportano le connessioni da SQL Server Management Studio (SSMS) usando Azure Active Directory universale con autenticazione a più fattori. Questo articolo descrive le differenze tra le varie opzioni di autenticazione e anche le limitazioni associate all'uso dell'autenticazione universale in Azure Active Directory (Azure AD) per Azure SQL.

Scaricare la versione più recente di SSMS: nel computer client scaricare la versione più recente di SSMS da Scaricare SQL Server Management Studio (SSMS).

Nota

A partire da dicembre 2021, le versioni di SSMS precedenti alla 18.6 non eseguiranno più l'autenticazione tramite Azure Active Directory con MFA.

Per continuare a usare l'autenticazione di Azure Active Directory con MFA, è necessario SSMS 18.6 o versione successiva.

Per tutte le funzionalità descritte in questo articolo, usare almeno la versione 17.2 di luglio 2017. La finestra di dialogo di connessione più recente dovrebbe avere un aspetto simile al seguente:

Screenshot della finestra di dialogo Connetti al server in SQL Server Management Studio, che mostra le impostazioni per il tipo di server, il nome del server e l'autenticazione.

Opzioni di autenticazione

Esistono due modelli di autenticazione non interattiva per Azure AD, che possono essere usati in molte applicazioni diverse (ADO.NET, JDCB, ODC e così via). Questi due metodi non aprono mai finestre di dialogo popup:

  • Azure Active Directory - Password
  • Azure Active Directory - Integrated

Il metodo interattivo che supporta anche Azure AD Multi-Factor Authentication (multi-factor authentication) è:

  • Azure Active Directory - Universal with MFA

Azure AD MFA consente di proteggere l'accesso ai dati e alle applicazioni dell'utente, garantendo al tempo stesso agli utenti una procedura di accesso semplice. Offre funzionalità avanzate di autenticazione con una serie di semplici opzioni di verifica, tra cui telefonata, SMS, smart card con pin o notifica tramite app per dispositivi mobili, in modo che ogni utente possa scegliere il metodo che preferisce. La convalida di MFA interattiva con Azure AD può avvenire attraverso una finestra popup.

Per una descrizione di Azure AD Multi-Factor Authentication, vedere multi-factor authentication. Per la procedura di configurazione, vedere Configurare Multi-Factor Authentication con database SQL di Azure per SQL Server Management Studio.

Parametro nome di dominio o ID tenant di Azure AD

A partire da SSMS versione 17, gli utenti che vengono importati nella Azure ad corrente da altre Azure Active Directory come utenti guest possono fornire l'Azure ad nome di dominio o l'ID tenant quando si connettono. Gli utenti guest includono quelli invitati da altre istanze di Azure AD, gli account Microsoft, ad esempio outlook.com, hotmail.com, live.com, o altri account come gmail.com. Queste informazioni consentono Azure Active Directory - Universal with MFA all'autenticazione di identificare l'autorità di autenticazione corretta. Questa opzione è necessaria anche per supportare gli account Microsoft (MSA), ad esempio outlook.com, hotmail.com e live.com, o altri account non MSA.

Tutti gli utenti guest che vogliono essere autenticati tramite l'autenticazione universale devono immettere il nome di dominio Azure AD o l'ID tenant. Questo parametro rappresenta il nome di dominio Azure AD o l'ID tenant corrente a cui è associato il server logico SQL di Azure. Se ad esempio il server logico SQL è associato al dominio Azure AD, in contosotest.onmicrosoft.com cui l'utente joe@contosodev.onmicrosoft.com è ospitato come utente importato dal dominio Azure ad contosodev.onmicrosoft.com , il nome di dominio necessario per autenticare l'utente è contosotest.onmicrosoft.com . Quando l'utente è un utente nativo del Azure AD associato al server logico SQL e non è un account MSA, non è necessario alcun nome di dominio o ID tenant. Per immettere il parametro (a partire dalla versione 17,2 di SSMS):

  1. Aprire una connessione in SSMS. Immettere il nome del server e selezionare Azure Active Directory universale con autenticazione a più fattori. Aggiungere il nome utente con cui si vuole accedere.

  2. Selezionare la casella Opzioni e passare alla scheda Proprietà connessione . Nella finestra di dialogo Connetti al database completare la finestra di dialogo per il database. Selezionare la casella ID tenant o nome di dominio AD e specificare l'autorità di autenticazione, ad esempio il nome di dominio (contosotest.onmicrosoft.com) o il GUID dell'ID tenant.

    Screenshot della scheda delle proprietà della connessione che evidenzia le impostazioni per Connetti al database e al nome di dominio di Active Directory o all'ID tenant.

Se si esegue SSMS 18. x o versione successiva, l'ID tenant o il nome di dominio di Active Directory non è più necessario per gli utenti guest perché 18. x o versione successiva lo riconosce automaticamente.

Screenshot della scheda Proprietà connessione nella finestra di dialogo Connetti al server in S S M. "database" è selezionato nel campo Connetti al database.

Supporto per Azure AD business-to-business

Importante

Il supporto per gli utenti guest per la connessione al database SQL di Azure, a SQL Istanza gestita e a sinapsi di Azure senza che sia necessario far parte di un gruppo è attualmente disponibile in anteprima pubblica. Per altre informazioni, vedere creare Azure ad utenti guest e impostare come amministratore Azure ad.

Azure AD gli utenti supportati per Azure AD scenari B2B come utenti Guest (vedere informazioni su collaborazione B2B di Azure) possono connettersi al database SQL e alla sinapsi di Azure solo come parte dei membri di un gruppo creato nel Azure ad associato ed essere mappati manualmente usando l'istruzione Create User (Transact-SQL) in un database specifico. Se ad esempio steve@gmail.com viene invitato in contosotest di Azure AD (con dominio di Azure AD contosotest.onmicrosoft.com), è necessario creare un gruppo, ad esempio usergroup, nell'istanza di Azure AD che contiene il membro steve@gmail.com. Questo gruppo deve quindi essere creato per un database specifico, ad esempio, MyDatabase da un Azure ad amministratore SQL o Azure ad dbo, eseguendo l'istruzione Transact-SQL CREATE USER [usergroup] FROM EXTERNAL PROVIDER .

Dopo aver creato l'utente del database, l'utente steve@gmail.com può accedere MyDatabase usando l'opzione di autenticazione di SSMS Azure Active Directory – Universal with MFA . Per impostazione predefinita, usergroup dispone solo dell'autorizzazione Connect. Ogni ulteriore accesso ai dati dovrà essere concesso nel database da un utente con privilegi sufficienti.

Nota

Per SSMS 17. x, l'uso steve@gmail.com di come utente Guest è necessario controllare la casella nome di dominio ad o ID tenant e aggiungere il nome di dominio ad nella finestra contosotest.onmicrosoft.com di dialogo Proprietà connessione . L'opzione nome di dominio ad o ID tenant è supportata solo per la Azure Active Directory universale con autenticazione a più fattori. In caso contrario, la casella di controllo è disattivata.

Limitazioni dell'autenticazione universale

  • SSMS e SqlPackage.exe sono gli unici strumenti attualmente abilitati per MFA tramite l'autenticazione universale di Active Directory.
  • SSMS versione 17,2 supporta l'accesso simultaneo multiutente usando l'autenticazione universale con multi-factor authentication. Per SSMS versione 17,0 e 17,1, lo strumento limita un account di accesso per un'istanza di SSMS usando l'autenticazione universale per un singolo account Azure Active Directory. Per accedere con un altro account di Azure AD, è necessario usare un'altra istanza di SSMS. Questa restrizione è limitata all'autenticazione universale di Active Directory; è possibile accedere a un server diverso usando Azure Active Directory - Password l'autenticazione, Azure Active Directory - Integrated l'autenticazione o SQL Server Authentication .
  • SSMS supporta l'autenticazione universale di Active Directory per la visualizzazione di Esplora oggetti, Editor di query e Archivio query.
  • La versione 17.2 di SSMS fornisce il supporto di DacFx Wizard per le funzioni di esportazione, estrazione e distribuzione dei dati del database. Quando un utente ha eseguito l'autenticazione mediante la finestra di dialogo iniziale usando l'autenticazione universale, DacFx Wizard funziona esattamente come per tutti gli altri metodi di autenticazione.
  • Progettazione tabelle di SSMS non supporta l'autenticazione universale.
  • Non ci sono requisiti software aggiuntivi per l'autenticazione universale di Active Directory ad eccezione del fatto che si utilizzi una versione supportata di SSMS.
  • Vedere il collegamento seguente per la versione più recente di Active Directory Authentication Library (ADAL) per l'autenticazione universale: Microsoft. IdentityModel. clients. ActiveDirectory.

Passaggi successivi