Azure Active Directory-verificatie gebruikenUse Azure Active Directory authentication

van toepassing op:  Ja Azure SQL database  Ja Azure SQL Managed instance  Ja Azure Synapse Analytics (SQL DW)APPLIES TO: yesAzure SQL Database yesAzure SQL Managed Instance yes Azure Synapse Analytics (SQL DW)

Azure Active Directory-verificatie (Azure AD) is een mechanisme voor het maken van verbinding met Azure SQL database, Azure SQL Managed instanceen azure Synapse Analytics (voorheen Azure SQL Data Warehouse) met behulp van identiteiten in azure AD.Azure Active Directory (Azure AD) authentication is a mechanism for connecting to Azure SQL Database, Azure SQL Managed Instance, and Azure Synapse Analytics (formerly Azure SQL Data Warehouse) by using identities in Azure AD.

Notitie

Dit artikel is van toepassing op Azure SQL Database, SQL Managed instance en Azure Synapse Analytics.This article applies to Azure SQL Database, SQL Managed Instance, and Azure Synapse Analytics.

Met Azure AD-verificatie kunt u de identiteit van databasegebruikers en andere Microsoft-services op één locatie centraal beheren.With Azure AD authentication, you can centrally manage the identities of database users and other Microsoft services in one central location. Centraal identiteitsbeheer biedt één plek voor het beheren van databasegebruikers en vereenvoudigt het machtigingenbeheer.Central ID management provides a single place to manage database users and simplifies permission management. Dit biedt verschillende voordelen, zoals:Benefits include the following:

  • Het biedt een alternatief voor SQL Server-verificatie.It provides an alternative to SQL Server authentication.

  • Het helpt bij het stoppen van de verspreiding van gebruikers identiteiten op meerdere servers.It helps stop the proliferation of user identities across servers.

  • Hiermee kan het draaien van wacht woorden op één plek plaatsvinden.It allows password rotation in a single place.

  • Klanten kunnen database machtigingen beheren met externe groepen (Azure AD).Customers can manage database permissions using external (Azure AD) groups.

  • Wachtwoorden hoeven niet meer te worden opgeslagen door het inschakelen van geïntegreerde Windows-verificatie en andere vormen van authenticatie die worden ondersteund door Azure Active Directory.It can eliminate storing passwords by enabling integrated Windows authentication and other forms of authentication supported by Azure Active Directory.

  • Voor Azure AD-verificatie worden de Inge sloten database gebruikers gebruikt voor het verifiëren van identiteiten op database niveau.Azure AD authentication uses contained database users to authenticate identities at the database level.

  • Azure AD biedt ondersteuning voor verificatie op basis van tokens voor toepassingen die verbinding maken met SQL Database en SQL Managed instance.Azure AD supports token-based authentication for applications connecting to SQL Database and SQL Managed Instance.

  • Azure AD-verificatie ondersteunt:Azure AD authentication supports:

  • Azure AD biedt ondersteuning voor verbindingen van SQL Server Management Studio die gebruikmaken van Active Directory universele verificatie, waaronder Multi-Factor Authentication.Azure AD supports connections from SQL Server Management Studio that use Active Directory Universal Authentication, which includes Multi-Factor Authentication. Multi-Factor Authentication bevat sterke verificatie met een scala aan eenvoudige verificatie opties: telefoon oproep, SMS-bericht, Smart Cards met pincode of mobiele app-melding.Multi-Factor Authentication includes strong authentication with a range of easy verification options — phone call, text message, smart cards with pin, or mobile app notification. Zie voor meer informatie SSMS-ondersteuning voor Azure AD-multi-factor Authentication met Azure SQL database, SQL Managed instance en Azure SynapseFor more information, see SSMS support for Azure AD Multi-Factor Authentication with Azure SQL Database, SQL Managed Instance, and Azure Synapse

  • Azure AD biedt ondersteuning voor vergelijkbare verbindingen van SQL Server Data Tools (SSDT) die gebruikmaken van Active Directory Interactive Authentication.Azure AD supports similar connections from SQL Server Data Tools (SSDT) that use Active Directory Interactive Authentication. Zie Azure Active Directory-ondersteuning in SQL Server Data tools (SSDT) voor meer informatie.For more information, see Azure Active Directory support in SQL Server Data Tools (SSDT)

Notitie

Het is niet mogelijk om verbinding te maken met een SQL Server-exemplaar dat wordt uitgevoerd op een virtuele machine van Azure (VM) met behulp van een Azure Active Directory-account.Connecting to a SQL Server instance that's running on an Azure virtual machine (VM) is not supported using an Azure Active Directory account. Gebruik in plaats hiervan een Active Directory-domeinaccount.Use a domain Active Directory account instead.

De configuratiestappen omvatten de volgende procedures voor het configureren en gebruiken van Azure Active Directory-verificatie.The configuration steps include the following procedures to configure and use Azure Active Directory authentication.

  1. Maak en vul Azure AD.Create and populate Azure AD.
  2. Optioneel: koppel of wijzig de Active Directory die momenteel aan uw Azure-abonnement is gekoppeld.Optional: Associate or change the active directory that is currently associated with your Azure Subscription.
  3. Maak een Azure Active Directory-beheerder.Create an Azure Active Directory administrator.
  4. Configureer uw client computers.Configure your client computers.
  5. Maak Inge sloten database gebruikers in uw data base die zijn toegewezen aan Azure AD-identiteiten.Create contained database users in your database mapped to Azure AD identities.
  6. Maak verbinding met uw data base met behulp van Azure AD-identiteiten.Connect to your database by using Azure AD identities.

Notitie

Zie Azure AD configureren met Azure SQL databasevoor meer informatie over het maken en vullen van Azure AD en het configureren van Azure ad met Azure SQL database, SQL Managed instance en Azure Synapse.To learn how to create and populate Azure AD, and then configure Azure AD with Azure SQL Database, SQL Managed Instance, and Azure Synapse, see Configure Azure AD with Azure SQL Database.

Architectuur van vertrouwensrelatieTrust architecture

  • Alleen het Cloud gedeelte van Azure AD, SQL Database, SQL Managed instance en Azure Synapse worden beschouwd als ondersteuning voor native gebruikers wachtwoorden van Azure AD.Only the cloud portion of Azure AD, SQL Database, SQL Managed Instance, and Azure Synapse is considered to support Azure AD native user passwords.
  • Als u referenties voor eenmalige aanmelding (of gebruiker/wacht woord voor Windows-referenties) voor Windows wilt ondersteunen, gebruikt u Azure Active Directory referenties van een federatief of beheerd domein dat is geconfigureerd voor naadloze eenmalige aanmelding voor Pass-Through-en wacht woord-hash-verificatie.To support Windows single sign-on credentials (or user/password for Windows credential), use Azure Active Directory credentials from a federated or managed domain that is configured for seamless single sign-on for pass-through and password hash authentication. Zie Azure Active Directory naadloze eenmalige aanmeldingvoor meer informatie.For more information, see Azure Active Directory Seamless Single Sign-On.
  • Voor de ondersteuning van federatieve aanmelding (of gebruiker/wachtwoord voor Windows-referenties), is de communicatie met het ADFS-blok vereist.To support Federated authentication (or user/password for Windows credentials), the communication with ADFS block is required.

Raadpleeg de volgende artikelen voor meer informatie over hybride Azure AD-identiteiten, de instellingen en synchronisatie:For more information on Azure AD hybrid identities, the setup, and synchronization, see the following articles:

Zie het onderstaande diagram voor een voor beeld Federated Authentication met ADFS-infra structuur (of gebruiker/wacht woord voor Windows-referenties).For a sample federated authentication with ADFS infrastructure (or user/password for Windows credentials), see the diagram below. De pijlen geven communicatiepaden aan.The arrows indicate communication pathways.

aad-verificatiediagram

In het volgende diagram worden de federatie-, vertrouwens en hostingrelaties aangegeven waarmee een client verbinding kan maken met een database door een token in te dienen.The following diagram indicates the federation, trust, and hosting relationships that allow a client to connect to a database by submitting a token. Het token wordt geverifieerd door een Azure AD en wordt vertrouwd door de database.The token is authenticated by an Azure AD, and is trusted by the database. Klant 1 kan een Azure Active Directory met systeemeigen gebruikers of een Azure AD met federatieve gebruikers vertegenwoordigen.Customer 1 can represent an Azure Active Directory with native users or an Azure AD with federated users. Klant 2 is een mogelijke oplossing met inbegrip van geïmporteerde gebruikers, in dit voor beeld, afkomstig van een federatieve Azure Active Directory met ADFS wordt gesynchroniseerd met Azure Active Directory.Customer 2 represents a possible solution including imported users, in this example coming from a federated Azure Active Directory with ADFS being synchronized with Azure Active Directory. Het is belangrijk om te begrijpen dat toegang tot een database met behulp van Azure AD-verificatie vereist dat het hostingabonnement is gekoppeld aan Azure AD.It's important to understand that access to a database using Azure AD authentication requires that the hosting subscription is associated to the Azure AD. Hetzelfde abonnement moet worden gebruikt om de Azure SQL Database, het SQL Managed instance of Azure Synapse-resources te maken.The same subscription must be used to create the Azure SQL Database, SQL Managed Instance, or Azure Synapse resources.

abonnementsrelatie

BeheerdersstructuurAdministrator structure

Wanneer u Azure AD-verificatie gebruikt, zijn er twee beheerders accounts: de oorspronkelijke Azure SQL Database beheerder en de Azure AD-beheerder.When using Azure AD authentication, there are two Administrator accounts: the original Azure SQL Database administrator and the Azure AD administrator. Dezelfde concepten zijn van toepassing op Azure Synapse.The same concepts apply to Azure Synapse. Alleen de beheerder op basis van een Azure AD-account kan de eerste Azure AD-databasegebruiker in een gebruikersdatabase maken.Only the administrator based on an Azure AD account can create the first Azure AD contained database user in a user database. De aanmelding van de Azure AD-beheerder kan een Azure AD-gebruiker of een Azure AD-groep zijn.The Azure AD administrator login can be an Azure AD user or an Azure AD group. Wanneer de beheerder een groeps account is, kan dit worden gebruikt door elk groepslid om meerdere Azure AD-beheerders voor de server in te scha kelen.When the administrator is a group account, it can be used by any group member, enabling multiple Azure AD administrators for the server. Het gebruik van groeps account als beheerder verbetert de beheer baarheid, zodat u groeps leden in azure AD centraal kunt toevoegen en verwijderen zonder de gebruikers of machtigingen in SQL Database of Azure Synapse te wijzigen.Using group account as an administrator enhances manageability by allowing you to centrally add and remove group members in Azure AD without changing the users or permissions in SQL Database or Azure Synapse. Er kan maar één Azure AD-beheerder (een gebruiker of groep) tegelijk worden geconfigureerd.Only one Azure AD administrator (a user or group) can be configured at any time.

beheerdersstructuur

MachtigingenPermissions

Als u nieuwe gebruikers wilt maken, moet u de machtiging ALTER ANY USER in de database hebben.To create new users, you must have the ALTER ANY USER permission in the database. De machtiging ALTER ANY USER kan aan elke databasegebruiker worden verleend.The ALTER ANY USER permission can be granted to any database user. De machtiging ALTER ANY USER is ook verleend aan de beheerdersaccounts van de server, databasegebruikers met de machtiging CONTROL ON DATABASEof ALTER ON DATABASE voor die database en leden van de databaserol db_owner.The ALTER ANY USER permission is also held by the server administrator accounts, and database users with the CONTROL ON DATABASE or ALTER ON DATABASE permission for that database, and by members of the db_owner database role.

Als u een Inge sloten database gebruiker wilt maken in Azure SQL Database, SQL Managed instance of Azure Synapse, moet u verbinding maken met de data base of het exemplaar met behulp van een Azure AD-identiteit.To create a contained database user in Azure SQL Database, SQL Managed Instance, or Azure Synapse, you must connect to the database or instance using an Azure AD identity. Om de eerste gebruiker voor een ingesloten database te maken, moet u gebruikmaken van een Azure AD-beheerder (die de eigenaar is van de database) om verbinding te maken met de database.To create the first contained database user, you must connect to the database by using an Azure AD administrator (who is the owner of the database). Dit wordt geïllustreerd in Azure Active Directory authenticatie configureren en beheren met SQL database of Azure Synapse.This is demonstrated in Configure and manage Azure Active Directory authentication with SQL Database or Azure Synapse. Azure AD-verificatie is alleen mogelijk als de Azure AD-beheerder is gemaakt voor Azure SQL Database, een beheerd exemplaar van SQL of Azure Synapse.Azure AD authentication is only possible if the Azure AD admin was created for Azure SQL Database, SQL Managed Instance, or Azure Synapse. Als de Azure Active Directory-beheerder van de server is verwijderd, kunnen bestaande Azure Active Directory gebruikers die eerder in SQL Server zijn gemaakt, geen verbinding meer maken met de data base met behulp van hun Azure Active Directory referenties.If the Azure Active Directory admin was removed from the server, existing Azure Active Directory users created previously inside SQL Server can no longer connect to the database using their Azure Active Directory credentials.

Functies en beperkingen van Azure ADAzure AD features and limitations

  • De volgende leden van Azure AD kunnen worden ingericht voor Azure SQL Database:The following members of Azure AD can be provisioned for Azure SQL Database:

  • Azure AD-gebruikers die deel uitmaken van een groep met db_owner serverrol, kunnen de referentie Create Data Base scoped CREDENTIAL niet gebruiken voor Azure SQL database en Azure Synapse.Azure AD users that are part of a group that has db_owner server role cannot use the CREATE DATABASE SCOPED CREDENTIAL syntax against Azure SQL Database and Azure Synapse. U ziet de volgende fout:You will see the following error:

    SQL Error [2760] [S0001]: The specified schema name 'user@mydomain.com' either does not exist or you do not have permission to use it.

    Verleen de rol db_owner rechtstreeks aan de individuele Azure AD-gebruiker om het probleem met CREATE DATABASE SCOPED CREDENTIAL te beperken.Grant the db_owner role directly to the individual Azure AD user to mitigate the CREATE DATABASE SCOPED CREDENTIAL issue.

  • Deze systeemfuncties retourneren NULL-waarden wanneer ze worden uitgevoerd onder Azure AD-principals:These system functions return NULL values when executed under Azure AD principals:

    • SUSER_ID()
    • SUSER_NAME(<admin ID>)
    • SUSER_SNAME(<admin SID>)
    • SUSER_ID(<admin name>)
    • SUSER_SID(<admin name>)

SQL Managed InstanceSQL Managed Instance

  • Azure AD-server-principals (aanmeldingen) en gebruikers worden ondersteund voor door SQL beheerd exemplaar.Azure AD server principals (logins) and users are supported for SQL Managed Instance.
  • Het instellen van Azure AD-server principals (aanmeldingen) die zijn toegewezen aan een Azure AD-groep als de data base-eigenaar, wordt niet ondersteund in een SQL Managed instance.Setting Azure AD server principals (logins) mapped to an Azure AD group as database owner is not supported in SQL Managed Instance.
    • Een uitbrei ding hiervan is dat wanneer een groep wordt toegevoegd als onderdeel van de dbcreator Server functie, gebruikers van deze groep verbinding kunnen maken met het SQL Managed instance en nieuwe data bases kunnen maken, maar geen toegang tot de data base hebben.An extension of this is that when a group is added as part of the dbcreator server role, users from this group can connect to the SQL Managed Instance and create new databases, but will not be able to access the database. Dit is omdat de nieuwe data base-eigenaar SA is en niet de Azure AD-gebruiker.This is because the new database owner is SA, and not the Azure AD user. Dit probleem treedt niet op als de afzonderlijke gebruiker wordt toegevoegd aan de dbcreator Server functie.This issue does not manifest if the individual user is added to the dbcreator server role.
  • De uitvoering van SQL Agent-beheer en-taken wordt ondersteund voor Azure AD-server-principals (aanmeldingen).SQL Agent management and jobs execution are supported for Azure AD server principals (logins).
  • Database-back-up en herstelbewerkingen kunnen worden uitgevoerd door Azure AD-server-principals (aanmeldingen).Database backup and restore operations can be executed by Azure AD server principals (logins).
  • Controle van alle-instructies met betrekking tot Azure AD-server-principals (aanmeldingen) en verificatie gebeurtenissen wordt ondersteund.Auditing of all statements related to Azure AD server principals (logins) and authentication events is supported.
  • Exclusieve beheerders verbinding voor Azure AD-server-principals (aanmeldingen) die lid zijn van de serverrol sysadmin wordt ondersteund.Dedicated administrator connection for Azure AD server principals (logins) which are members of sysadmin server role is supported.
    • Ondersteund via SQLCMD-hulp programma en SQL Server Management Studio.Supported through SQLCMD Utility and SQL Server Management Studio.
  • Aanmeldingstriggers worden ondersteund voor aanmeldingsgebeurtenissen die afkomstig zijn van Azure AD-server-principal s(aanmeldingen).Logon triggers are supported for logon events coming from Azure AD server principals (logins).
  • Service Broker en DB-mail kunnen worden ingesteld met behulp van een Azure AD server-principal (aanmelden).Service Broker and DB mail can be setup using an Azure AD server principal (login).

Verbinding maken met behulp van Azure AD-identiteitenConnect by using Azure AD identities

Azure Active Directory-verificatie ondersteunt de volgende methoden om verbinding te maken met een database met behulp van Azure AD-identiteiten:Azure Active Directory authentication supports the following methods of connecting to a database using Azure AD identities:

  • Azure Active Directory – wachtwoordAzure Active Directory Password
  • Azure Active Directory – geïntegreerdAzure Active Directory Integrated
  • Azure Active Directory universeel met Multi-Factor AuthenticationAzure Active Directory Universal with Multi-Factor Authentication
  • Verificatie van toepassingstoken gebruikenUsing Application token authentication

De volgende verificatie methoden worden ondersteund voor Azure AD-server-principals (aanmeldingen):The following authentication methods are supported for Azure AD server principals (logins):

  • Azure Active Directory – wachtwoordAzure Active Directory Password
  • Azure Active Directory – geïntegreerdAzure Active Directory Integrated
  • Azure Active Directory universeel met Multi-Factor AuthenticationAzure Active Directory Universal with Multi-Factor Authentication

Aanvullende overwegingenAdditional considerations

  • Voor een betere beheerbaarheid raden wij u aan een toegewezen Azure AD-groep in te richten als beheerder.To enhance manageability, we recommend you provision a dedicated Azure AD group as an administrator.
  • Er kan slechts één Azure AD-beheerder (een gebruiker of groep) op elk gewenst moment worden geconfigureerd voor een server in SQL Database of Azure Synapse.Only one Azure AD administrator (a user or group) can be configured for a server in SQL Database or Azure Synapse at any time.
    • Het toevoegen van Azure AD-server-principals (aanmeldingen) voor een SQL Managed instance biedt de mogelijkheid om meerdere Azure AD server-principals (aanmeldingen) te maken die kunnen worden toegevoegd aan de sysadmin rol.The addition of Azure AD server principals (logins) for SQL Managed Instance allows the possibility of creating multiple Azure AD server principals (logins) that can be added to the sysadmin role.
  • Alleen een Azure AD-beheerder voor de server kan voor het eerst verbinding maken met de server of het beheerde exemplaar met behulp van een Azure Active Directory-account.Only an Azure AD administrator for the server can initially connect to the server or managed instance using an Azure Active Directory account. De Active Directory-beheerder kan vervolgens nieuwe Azure AD-databasegebruikers configureren.The Active Directory administrator can configure subsequent Azure AD database users.
  • Het is raadzaam om de time-out voor de verbinding in te stellen op 30 seconden.We recommend setting the connection timeout to 30 seconds.
  • SQL Server 2016 Management Studio en SQL Server Data Tools voor Visual Studio 2015 (versie 14.0.60311.1 van april 2016 of later) ondersteunen Azure Active Directory-verificatie.SQL Server 2016 Management Studio and SQL Server Data Tools for Visual Studio 2015 (version 14.0.60311.1April 2016 or later) support Azure Active Directory authentication. (Azure AD-verificatie wordt ondersteund door de .NET Framework-gegevensprovider voor SqlServer; minimaal .NET Framework versie 4.6).(Azure AD authentication is supported by the .NET Framework Data Provider for SqlServer; at least version .NET Framework 4.6). Daarom kunnen de nieuwste versies van deze hulpprogram ma's en gegevenslaag toepassingen (DAC en BACPAC) gebruikmaken van Azure AD-verificatie.Therefore the newest versions of these tools and data-tier applications (DAC and BACPAC) can use Azure AD authentication.
  • Vanaf versie 15.0.1, sqlcmd utility en bcp Utility ondersteunen Active Directory interactieve verificatie met multi-factor Authentication.Beginning with version 15.0.1, sqlcmd utility and bcp utility support Active Directory Interactive authentication with Multi-Factor Authentication.
  • SQL Server Data Tools voor Visual Studio 2015 vereist minimaal de versie van april 2016 van de hulpmiddelen voor gegevens (versie 14.0.60311.1).SQL Server Data Tools for Visual Studio 2015 requires at least the April 2016 version of the Data Tools (version 14.0.60311.1). Op dit moment worden Azure AD-gebruikers niet weer gegeven in SSDT Objectverkenner.Currently, Azure AD users are not shown in SSDT Object Explorer. Als tijdelijke oplossing kunt u de gebruikers weergeven in sys.database_principals.As a workaround, view the users in sys.database_principals.
  • Microsoft JDBC Driver 6.0 voor SQL Server ondersteunt Azure AD-verificatie.Microsoft JDBC Driver 6.0 for SQL Server supports Azure AD authentication. Zie ook De verbindingseigenschappen instellen.Also, see Setting the Connection Properties.
  • Poly Base kan niet worden geverifieerd met behulp van Azure AD-verificatie.PolyBase cannot authenticate by using Azure AD authentication.
  • Azure AD-verificatie wordt ondersteund voor Azure SQL Database en Azure Synapse via de Blade Azure Portal Data Base importeren en Data Base exporteren .Azure AD authentication is supported for Azure SQL Database and Azure Synapse by using the Azure portal Import Database and Export Database blades. Importeren en exporteren met behulp van Azure AD-verificatie wordt ook ondersteund vanuit een Power shell-opdracht.Import and export using Azure AD authentication is also supported from a PowerShell command.
  • Azure AD-verificatie wordt ondersteund voor SQL Database, SQL Managed instance en Azure Synapse met behulp van de CLI.Azure AD authentication is supported for SQL Database, SQL Managed Instance, and Azure Synapse with using the CLI. Zie Azure AD-verificatie configureren en beheren met SQL database of Azure Synapse en SQL Server-AZ SQL Servervoor meer informatie.For more information, see Configure and manage Azure AD authentication with SQL Database or Azure Synapse and SQL Server - az sql server.

Volgende stappenNext steps