Uso dell'autenticazione di AAD a più fattori con il database SQL di Azure e Azure sinapsi Analytics (supporto di SSMS per l'autenticazione a più fattori)Using Multi-factor AAD authentication with Azure SQL Database and Azure Synapse Analytics (SSMS support for MFA)

Il database SQL di Azure e la sinapsi di Azure supportano le connessioni da SQL Server Management Studio (SSMS) con Active Directory l'autenticazione universale.Azure SQL Database and Azure Synapse support connections from SQL Server Management Studio (SSMS) using Active Directory Universal Authentication. In questo articolo vengono illustrate le differenze tra le varie opzioni di autenticazione e anche le limitazioni associate all'utilizzo dell'autenticazione universale.This article discusses the differences between the various authentication options, and also the limitations associated with using Universal Authentication.

Scaricare la versione più recente di SSMS: nel computer client scaricare la versione più recente di SSMS da Scaricare SQL Server Management Studio (SSMS).Download the latest SSMS - On the client computer, download the latest version of SSMS, from Download SQL Server Management Studio (SSMS).

Per tutte le funzionalità descritte in questo articolo, usare almeno il 2017 luglio, versione 17,2.For all the features discussed in this article, use at least July 2017, version 17.2. La finestra di dialogo connessione più recente dovrebbe avere un aspetto simile all'immagine seguente:The most recent connection dialog box, should look similar to the following image:

1mfa-universal-connect1mfa-universal-connect

Le cinque opzioni di autenticazioneThe five authentication options

Active Directory autenticazione universale supporta i due metodi di autenticazione non interattiva:Active Directory Universal Authentication supports the two non-interactive authentication methods: - autenticazione Active Directory - PasswordActive Directory - Password authentication - autenticazione Active Directory - IntegratedActive Directory - Integrated authentication

Sono disponibili anche due modelli di autenticazione non interattiva, che possono essere usati in molte applicazioni diverse (ADO.NET, JDCB, ODC e così via).There are two non-interactive authentication models as well, which can be used in many different applications (ADO.NET, JDCB, ODC, etc.). Questi due metodi non generano mai finestre di dialogo popup:These two methods never result in pop-up dialog boxes:

  • Active Directory - Password
  • Active Directory - Integrated

Il metodo interattivo è che supporta anche l'autenticazione a più fattori di Azure:The interactive method is that also supports Azure multi-factor authentication (MFA) is:

  • Active Directory - Universal with MFA

Azure MFA consente di salvaguardare l'accesso a dati e applicazioni soddisfacendo l'aspettativa dell'utente all'uso di un processo di accesso semplice.Azure MFA helps safeguard access to data and applications while meeting user demand for a simple sign-in process. Offre funzionalità avanzate di autenticazione con una serie di semplici opzioni di verifica, tra cui telefonata, SMS, smart card con pin o notifica tramite app per dispositivi mobili, in modo che ogni utente possa scegliere il metodo che preferisce.It delivers strong authentication with a range of easy verification options (phone call, text message, smart cards with pin, or mobile app notification), allowing users to choose the method they prefer. La convalida di MFA interattiva con Azure AD può avvenire attraverso una finestra popup.Interactive MFA with Azure AD can result in a pop-up dialog box for validation.

Per una descrizione di Multi-Factor Authentication (autenticazione a più fattori), consultare Multi-Factor Authentication.For a description of Multi-Factor Authentication, see Multi-Factor Authentication. Per la procedura di configurazione, vedere Configurare Multi-Factor Authentication con database SQL di Azure per SQL Server Management Studio.For configuration steps, see Configure Azure SQL Database multi-factor authentication for SQL Server Management Studio.

Parametro nome di dominio o ID tenant di Azure ADAzure AD domain name or tenant ID parameter

A partire dalla versione 17 di SSMS, gli utenti che vengono importati come utenti guest nell'istanza corrente di Active Directory da altre istanze di Azure Active Directory possono specificare il nome di dominio o l'ID tenant di Azure AD al momento della connessione.Beginning with SSMS version 17, users that are imported into the current Active Directory from other Azure Active Directories as guest users, can provide the Azure AD domain name, or tenant ID when they connect. Gli utenti guest includono quelli invitati da altre istanze di Azure AD, gli account Microsoft, ad esempio outlook.com, hotmail.com, live.com, o altri account come gmail.com.Guest users include users invited from other Azure ADs, Microsoft accounts such as outlook.com, hotmail.com, live.com, or other accounts like gmail.com. Queste informazioni consentono all'autenticazione universale di Active Directory con MFA di identificare l'autorità di autenticazione corretta.This information, allows Active Directory Universal with MFA Authentication to identify the correct authenticating authority. Questa opzione è necessaria anche per supportare gli account Microsoft (MSA), ad esempio outlook.com, hotmail.com e live.com, o altri account non MSA.This option is also required to support Microsoft accounts (MSA) such as outlook.com, hotmail.com, live.com, or non-MSA accounts. Tutti gli utenti che desiderano essere autenticati usando l'autenticazione universale devono immettere il nome di dominio o l'ID tenant di AD Azure.All these users who want to be authenticated using Universal Authentication must enter their Azure AD domain name or tenant ID. Questo parametro rappresenta il nome di dominio/ID tenant di Azure AD a cui è collegato il server di Azure.This parameter represents the current Azure AD domain name/tenant ID the Azure Server is linked with. Se ad esempio il server di Azure è associato al dominio di Azure AD contosotest.onmicrosoft.com in cui l'utente joe@contosodev.onmicrosoft.com è ospitato come utente importato dal dominio di Azure AD contosodev.onmicrosoft.com, il nome del dominio richiesto per l'autenticazione di questo utente è contosotest.onmicrosoft.com.For example, if Azure Server is associated with Azure AD domain contosotest.onmicrosoft.com where user joe@contosodev.onmicrosoft.com is hosted as an imported user from Azure AD domain contosodev.onmicrosoft.com, the domain name required to authenticate this user is contosotest.onmicrosoft.com. Se l'utente è un utente nativo di Azure AD collegato al server di Azure e non è un account MSA, non è necessario usare l'ID tenant o il nome di dominio.When the user is a native user of the Azure AD linked to Azure Server, and is not an MSA account, no domain name or tenant ID is required. Per immettere il parametro (a partire dalla versione 17,2 di SSMS), nella finestra di dialogo Connetti al database , completare la finestra di dialogo, selezionando Active Directory universale con autenticazione a più fattori, fare clic su Opzioni, completare la casella nome utente e quindi fare clic sulla scheda Proprietà connessione . controllare il nome di dominio ad o l'ID tenant e fornire autorità di autenticazione, ad esempio il nome di dominio (ContosoTest.onmicrosoft.com) o il GUID dell'ID tenant.To enter the parameter (beginning with SSMS version 17.2), in the Connect to Database dialog box, complete the dialog box, selecting Active Directory - Universal with MFA authentication, click Options, complete the User name box, and then click the Connection Properties tab. Check the AD domain name or tenant ID box, and provide authenticating authority, such as the domain name (contosotest.onmicrosoft.com) or the GUID of the tenant ID.
mfa-tenant-ssmsmfa-tenant-ssms

Se si esegue SSMS 18. x o versione successiva, il nome di dominio di Active Directory o l'ID tenant non è più necessario per gli utenti guest perché 18. x o versione successiva lo riconosce automaticamente.If you are running SSMS 18.x or later then the AD domain name or tenant ID is no longer needed for guest users because 18.x or later automatically recognizes it.

autenticazione a più fattori-tenant-SSMS

Supporto per Azure AD business-to-businessAzure AD business to business support

Azure AD utenti supportati per Azure AD scenari B2B come utenti Guest (vedere informazioni su collaborazione B2B di Azure) possono connettersi al database SQL e alla sinapsi di Azure solo come parte dei membri di un gruppo creato in Azure ad correnti e mappati manualmente usando l'istruzione Transact-SQL CREATE USER in un determinato database.Azure AD users supported for Azure AD B2B scenarios as guest users (see What is Azure B2B collaboration) can connect to SQL Database and Azure Synapse only as part of members of a group created in current Azure AD and mapped manually using the Transact-SQL CREATE USER statement in a given database. Se ad esempio steve@gmail.com viene invitato in contosotest di Azure AD (con dominio di Azure AD contosotest.onmicrosoft.com), è necessario creare un gruppo, ad esempio usergroup, nell'istanza di Azure AD che contiene il membro steve@gmail.com.For example, if steve@gmail.com is invited to Azure AD contosotest (with the Azure Ad domain contosotest.onmicrosoft.com), an Azure AD group, such as usergroup must be created in the Azure AD that contains the steve@gmail.com member. Quindi, è necessario creare questo gruppo per un database specifico (ovvero database) Azure AD amministratore SQL o Azure AD DBO eseguendo un'istruzione CREATE USER [usergroup] FROM EXTERNAL PROVIDER Transact-SQL.Then, this group must be created for a specific database (that is, MyDatabase) by Azure AD SQL admin or Azure AD DBO by executing a Transact-SQL CREATE USER [usergroup] FROM EXTERNAL PROVIDER statement. Dopo che è stato creato l'utente del database, l'utente steve@gmail.com può accedere a MyDatabase usando l'opzione di autenticazione Active Directory – Universal with MFA support di SSMS.After the database user is created, then the user steve@gmail.com can log in to MyDatabase using the SSMS authentication option Active Directory – Universal with MFA support. Per impostazione predefinita, al gruppo di utenti è concessa solo l'autorizzazione di connessione. Per qualsiasi altro tipo di accesso ai dati l'autorizzazione deve essere concessa secondo la normale procedura.The usergroup, by default, has only the connect permission and any further data access that will need to be granted in the normal way. Si noti che steve@gmail.com, in qualità di utente guest, deve selezionare la casella e aggiungere il nome di dominio AD contosotest.onmicrosoft.com nella finestra di dialogo Proprietà connessione di SSMS.Note that user steve@gmail.com as a guest user must check the box and add the AD domain name contosotest.onmicrosoft.com in the SSMS Connection Property dialog box. L'opzione ID tenant o nome di dominio AD è supportata solo per le opzioni di connessione Universale con supporto MFA. Negli altri casi non è disponibile.The AD domain name or tenant ID option is only supported for the Universal with MFA connection options, otherwise it is greyed out.

Limitazioni dell'autenticazione universale per database SQL e sinapsi di AzureUniversal Authentication limitations for SQL Database and Azure Synapse

  • SSMS e SqlPackage.exe sono gli unici strumenti attualmente abilitati per MFA tramite l'autenticazione universale di Active Directory.SSMS and SqlPackage.exe are the only tools currently enabled for MFA through Active Directory Universal Authentication.
  • La versione 17.2 di SSMS supporta l'accesso simultaneo di più utenti tramite l'autenticazione universale con supporto MFA.SSMS version 17.2, supports multi-user concurrent access using Universal Authentication with MFA. Nelle versioni 17.0 e 17.1 un solo account di Azure Active Directory può accedere a un'istanza di SSMS mediante l'autenticazione universale.Version 17.0 and 17.1, restricted a login for an instance of SSMS using Universal Authentication to a single Azure Active Directory account. Per accedere come un altro account di Azure AD, è necessario utilizzare un'altra istanza di SSMS.To log in as another Azure AD account, you must use another instance of SSMS. Questa restrizione è limitata all'autenticazione universale di Active Directory; è possibile accedere a server differenti tramite l'autenticazione con password di Active Directory, l'autenticazione integrata di Active Directory o autenticazione SQL Server.(This restriction is limited to Active Directory Universal Authentication; you can log in to different servers using Active Directory Password Authentication, Active Directory Integrated Authentication, or SQL Server Authentication).
  • SSMS supporta l'autenticazione universale di Active Directory per la visualizzazione di Esplora oggetti, Editor di query e Archivio query.SSMS supports Active Directory Universal Authentication for Object Explorer, Query Editor, and Query Store visualization.
  • La versione 17.2 di SSMS fornisce il supporto di DacFx Wizard per le funzioni di esportazione, estrazione e distribuzione dei dati del database.SSMS version 17.2 provides DacFx Wizard support for Export/Extract/Deploy Data database. Quando un utente ha eseguito l'autenticazione mediante la finestra di dialogo iniziale usando l'autenticazione universale, DacFx Wizard funziona esattamente come per tutti gli altri metodi di autenticazione.Once a specific user is authenticated through the initial authentication dialog using Universal Authentication, the DacFx Wizard functions the same way it does for all other authentication methods.
  • Progettazione tabelle di SSMS non supporta l'autenticazione universale.The SSMS Table Designer does not support Universal Authentication.
  • Non ci sono requisiti software aggiuntivi per l'autenticazione universale di Active Directory ad eccezione del fatto che si utilizzi una versione supportata di SSMS.There are no additional software requirements for Active Directory Universal Authentication except that you must use a supported version of SSMS.
  • La versione di Active Directory Authentication Library (ADAL) per l'autenticazione universale è stata aggiornata alla versione rilasciata disponibile più recente, ovvero ADAL.dll 3.13.9.The Active Directory Authentication Library (ADAL) version for Universal authentication was updated to its latest ADAL.dll 3.13.9 available released version. Vedere Active Directory Authentication Library 3.14.1.See Active Directory Authentication Library 3.14.1.

Passaggi successiviNext steps