Korzystanie z uwierzytelniania wieloskładnikowego Azure Active DirectoryUsing multi-factor Azure Active Directory authentication

dotyczy:  tak Azure SQL Database tak, aby usługa Azure  SQL Managed instance była  usługą Azure Synapse Analytics (wersja zapoznawcza)APPLIES TO: yesAzure SQL Database yesAzure SQL Managed Instance yes Azure Synapse Analytics (Preview)

Azure SQL Database, wystąpienie zarządzane przez platformę Azure i usługa Azure Synapse Analytics obsługują połączenia z SQL Server Management Studio (SSMS) przy użyciu uwierzytelniania WIELOskładnikowego Azure Active Directory .Azure SQL Database, Azure Managed Instance, and Azure Synapse Analytics support connections from SQL Server Management Studio (SSMS) using Azure Active Directory - Universal with MFA authentication. W tym artykule omówiono różnice między różnymi opcjami uwierzytelniania, a także ograniczenia związane z uwierzytelnianiem uniwersalnym.This article discusses the differences between the various authentication options, and also the limitations associated with using Universal Authentication.

Pobierz najnowszy program SSMS — na komputerze klienckim Pobierz najnowszą wersję programu ssms z SQL Server Management Studio pobierania (SSMS).Download the latest SSMS - On the client computer, download the latest version of SSMS, from Download SQL Server Management Studio (SSMS).

Aby zapoznać się ze wszystkimi funkcjami omówionymi w tym artykule, należy użyć co najmniej 2017 lipca w wersji 17,2.For all the features discussed in this article, use at least July 2017, version 17.2. Ostatnie połączenie okno dialogowe powinno wyglądać podobnie do poniższej ilustracji:The most recent connection dialog box, should look similar to the following image:

1mfa — połączenie uniwersalne1mfa-universal-connect

Pięć opcji uwierzytelnianiaThe five authentication options

Active Directory uniwersalne uwierzytelnianie obsługuje dwie nieinteraktywne metody uwierzytelniania:Active Directory Universal Authentication supports the two non-interactive authentication methods: - Azure Active Directory - PasswordponowneAzure Active Directory - Password authentication - Azure Active Directory - IntegratedponowneAzure Active Directory - Integrated authentication

Istnieją również dwa nieinteraktywne modele uwierzytelniania, które mogą być używane w wielu różnych aplikacjach (ADO.NET, JDCB, ODC itp.).There are two non-interactive authentication models as well, which can be used in many different applications (ADO.NET, JDCB, ODC, etc.). Te dwie metody nigdy nie powodują wyskakujących okien dialogowych:These two methods never result in pop-up dialog boxes:

  • Azure Active Directory - Password
  • Azure Active Directory - Integrated

Metoda interaktywna obsługująca również usługę Azure Multi-Factor Authentication (MFA) to:Active Directory - Universal with MFAThe interactive method that also supports Azure Multi-Factor Authentication (MFA) is: Active Directory - Universal with MFA

Usługa Azure MFA zabezpiecza dostęp do danych i aplikacji, a jednocześnie spełnia wymagania użytkowników dotyczące prostoty procesu logowania.Azure MFA helps safeguard access to data and applications while meeting user demand for a simple sign-in process. Zapewnia silne uwierzytelnianie dzięki szerokiemu zakresowi opcji łatwej weryfikacji (połączenie telefoniczne, wiadomość tekstowa, kartach inteligentnych z numerem PIN lub powiadomieniem aplikacji mobilnej), co pozwala użytkownikom na wybranie preferowanej metody.It delivers strong authentication with a range of easy verification options (phone call, text message, smart cards with pin, or mobile app notification), allowing users to choose the method they prefer. Interaktywna usługa MFA z usługą Azure AD może spowodować wyskakujące okno dialogowe umożliwiające weryfikację.Interactive MFA with Azure AD can result in a pop-up dialog box for validation.

Aby uzyskać opis Multi-Factor Authentication platformy Azure, zobacz Multi-Factor Authentication.For a description of Azure Multi-Factor Authentication, see Multi-Factor Authentication. Aby uzyskać instrukcje dotyczące konfiguracji, zobacz konfigurowanie Azure SQL Database usługi uwierzytelniania wieloskładnikowego dla SQL Server Management Studio.For configuration steps, see Configure Azure SQL Database multi-factor authentication for SQL Server Management Studio.

Nazwa domeny usługi Azure AD lub parametr identyfikatora dzierżawyAzure AD domain name or tenant ID parameter

Począwszy od programu SSMS w wersji 17, użytkownicy, którzy zostali zaimportowani do bieżącego Active Directory z innych katalogów usługi Azure Active Directory jako gość, mogą podać nazwę domeny usługi Azure AD lub identyfikator dzierżawy podczas nawiązywania połączenia.Beginning with SSMS version 17, users that are imported into the current Active Directory from other Azure Active Directories as guest users, can provide the Azure AD domain name, or tenant ID when they connect. Użytkownicy-Goście obejmują użytkowników zaproszonych z innych reklam systemu Azure, kont Microsoft, takich jak outlook.com, hotmail.com, live.com lub innych kont, takich jak gmail.com.Guest users include users invited from other Azure ADs, Microsoft accounts such as outlook.com, hotmail.com, live.com, or other accounts like gmail.com. Te informacje umożliwiają Active Directory uniwersalnego z uwierzytelnianiem MFA w celu zidentyfikowania prawidłowego urzędu uwierzytelniającego.This information, allows Active Directory Universal with MFA Authentication to identify the correct authenticating authority. Ta opcja jest również wymagana do obsługi kont Microsoft (MSA), takich jak outlook.com, hotmail.com, live.com lub non-MSA.This option is also required to support Microsoft accounts (MSA) such as outlook.com, hotmail.com, live.com, or non-MSA accounts. Wszyscy ci użytkownicy, którzy chcą być uwierzytelniani przy użyciu uwierzytelniania uniwersalnego, muszą wprowadzić nazwę domeny usługi Azure AD lub identyfikator dzierżawy.All these users who want to be authenticated using Universal Authentication must enter their Azure AD domain name or tenant ID. Ten parametr reprezentuje bieżącą nazwę domeny lub identyfikator dzierżawy usługi Azure AD, z którym jest połączony serwer platformy Azure.This parameter represents the current Azure AD domain name or tenant ID, the Azure Server is linked with. Na przykład jeśli serwer platformy Azure jest skojarzony z domeną usługi Azure AD contosotest.onmicrosoft.com , w której użytkownik joe@contosodev.onmicrosoft.com jest hostowany jako zaimportowany użytkownik z domeny usługi Azure AD contosodev.onmicrosoft.com , nazwa domeny wymagana do uwierzytelnienia tego użytkownika to contosotest.onmicrosoft.com .For example, if Azure Server is associated with Azure AD domain contosotest.onmicrosoft.com where user joe@contosodev.onmicrosoft.com is hosted as an imported user from Azure AD domain contosodev.onmicrosoft.com, the domain name required to authenticate this user is contosotest.onmicrosoft.com. Jeśli użytkownik jest natywnym użytkownikiem usługi Azure AD połączonej z serwerem platformy Azure i nie jest kontem MSA, nie jest wymagana żadna nazwa domeny ani identyfikator dzierżawy.When the user is a native user of the Azure AD linked to Azure Server, and is not an MSA account, no domain name or tenant ID is required. Aby wprowadzić parametr (począwszy od programu SSMS w wersji 17,2), w oknie dialogowym łączenie z bazą danych wypełnij okno dialogowe, wybierając Active Directory-uniwersalne z uwierzytelnianiem MFA, kliknij przycisk Opcje, Wypełnij pole Nazwa użytkownika , a następnie kliknij kartę Właściwości połączenia . Sprawdź nazwę domeny usługi AD lub identyfikator dzierżawy , a następnie podaj urząd uwierzytelniający, taki jak nazwa domeny (contosotest.onmicrosoft.com) lub identyfikator dzierżawy.To enter the parameter (beginning with SSMS version 17.2), in the Connect to Database dialog box, complete the dialog box, selecting Active Directory - Universal with MFA authentication, click Options, complete the User name box, and then click the Connection Properties tab. Check the AD domain name or tenant ID box, and provide authenticating authority, such as the domain name (contosotest.onmicrosoft.com) or the GUID of the tenant ID.
MFA — dzierżawca — SSMSmfa-tenant-ssms

Jeśli używasz programu SSMS 18. x lub nowszego, nazwa domeny lub identyfikator dzierżawy usługi AD nie są już potrzebne dla użytkowników-Gości, ponieważ program automatycznie rozpoznaje ją.If you are running SSMS 18.x or later, the AD domain name or tenant ID is no longer needed for guest users because 18.x or later automatically recognizes it.

MFA — dzierżawca — SSMS

Obsługa usługi Azure AD Business dla firmAzure AD business to business support

Użytkownicy usługi Azure AD, którzy są obsługiwani przez scenariusze B2B usługi Azure AD jako użytkownicy-Goście (Zobacz artykuł co to jest współpraca z usługą Azure B2B), mogą łączyć się z SQL Database i Azure Synapse tylko jako część członków grupy utworzonej w bieżącej usłudze Azure AD i zamapowana ręcznie przy użyciu instrukcji języka Transact-SQL CREATE USER w danej bazie danych.Azure AD users that are supported for Azure AD B2B scenarios as guest users (see What is Azure B2B collaboration) can connect to SQL Database and Azure Synapse only as part of members of a group created in current Azure AD and mapped manually using the Transact-SQL CREATE USER statement in a given database. Na przykład jeśli steve@gmail.com zostanie zaproszony do usługi Azure AD contosotest (z domeną usługi Azure AD contosotest.onmicrosoft.com ), Grupa usługi Azure AD, taka jak usergroup musi zostać utworzona w usłudze Azure AD, która zawiera steve@gmail.com członka.For example, if steve@gmail.com is invited to Azure AD contosotest (with the Azure AD domain contosotest.onmicrosoft.com), an Azure AD group, such as usergroup must be created in the Azure AD that contains the steve@gmail.com member. Następnie należy utworzyć tę grupę dla konkretnej bazy danych (to jest baza danych) za pomocą administratora SQL usługi Azure AD lub roli DBO usługi Azure AD przez wykonanie instrukcji języka Transact-SQL CREATE USER [usergroup] FROM EXTERNAL PROVIDER .Then, this group must be created for a specific database (that is, MyDatabase) by Azure AD SQL admin or Azure AD DBO by executing a Transact-SQL CREATE USER [usergroup] FROM EXTERNAL PROVIDER statement. Po utworzeniu użytkownika bazy danych użytkownik steve@gmail.com może zalogować się MyDatabase przy użyciu opcji uwierzytelniania programu SSMS Active Directory – Universal with MFA support .After the database user is created, then the user steve@gmail.com can log in to MyDatabase using the SSMS authentication option Active Directory – Universal with MFA support. Domyślnie użytkownik ma tylko uprawnienie łączenie i dalsze dostęp do danych, które będą musiały zostać przyznane w zwykły sposób.The usergroup, by default, has only the connect permission and any further data access that will need to be granted in the normal way. Należy zauważyć, że użytkownik steve@gmail.com jako gość musi zaznaczyć pole wyboru i dodać nazwę domeny usługi AD contosotest.onmicrosoft.com w oknie dialogowym Właściwości połączenia programu SSMS.Note that user steve@gmail.com as a guest user must check the box and add the AD domain name contosotest.onmicrosoft.com in the SSMS Connection Property dialog box. Opcja nazwy domeny lub identyfikatora dzierżawy usługi Active Directory jest obsługiwana tylko dla opcji połączenia uniwersalnego z usługą MFA, w przeciwnym razie jest wyszarzona.The AD domain name or tenant ID option is only supported for the Universal with MFA connection options, otherwise it is greyed out.

Ograniczenia uwierzytelniania uniwersalnegoUniversal Authentication limitations

  • Narzędzie SSMS i sqlpackage. exe są jedynymi narzędziami obecnie włączonymi dla usługi MFA za pomocą uwierzytelniania uniwersalnego Active Directory.SSMS and SqlPackage.exe are the only tools currently enabled for MFA through Active Directory Universal Authentication.
  • Program SSMS w wersji 17,2 obsługuje współbieżne dostęp użytkowników przy użyciu uwierzytelniania uniwersalnego w ramach usługi MFA.SSMS version 17.2, supports multi-user concurrent access using Universal Authentication with MFA. W wersji 17,0 i 17,1 program ogranicza logowanie do wystąpienia programu SSMS przy użyciu uwierzytelniania uniwersalnego na pojedynczym koncie Azure Active Directory.Version 17.0 and 17.1, restricts a login for an instance of SSMS using Universal Authentication to a single Azure Active Directory account. Aby zalogować się jako inne konto usługi Azure AD, musisz użyć innego wystąpienia programu SSMS.To log in as another Azure AD account, you must use another instance of SSMS. To ograniczenie jest ograniczone do Active Directory uwierzytelniania uniwersalnego. możesz zalogować się do innego serwera za pomocą Active Directory uwierzytelniania hasła, Active Directory uwierzytelniania zintegrowanego lub SQL Server uwierzytelniania).(This restriction is limited to Active Directory Universal Authentication; you can log in to different server using Active Directory Password Authentication, Active Directory Integrated Authentication, or SQL Server Authentication).
  • Program SSMS obsługuje uwierzytelnianie uniwersalne Active Directory w przypadku Eksplorator obiektów, edytora zapytań i wizualizacji magazynu zapytań.SSMS supports Active Directory Universal Authentication for Object Explorer, Query Editor, and Query Store visualization.
  • Program SSMS w wersji 17,2 zapewnia obsługę kreatora DacFx dla bazy danych eksport/Extract/Deploy.SSMS version 17.2 provides DacFx Wizard support for Export/Extract/Deploy Data database. Gdy określony użytkownik zostanie uwierzytelniony za pośrednictwem okna dialogowego uwierzytelniania początkowego przy użyciu uwierzytelniania uniwersalnego, Kreator DacFx działa tak samo jak w przypadku wszystkich innych metod uwierzytelniania.Once a specific user is authenticated through the initial authentication dialog using Universal Authentication, the DacFx Wizard functions the same way it does for all other authentication methods.
  • Projektant tabel programu SSMS nie obsługuje uwierzytelniania uniwersalnego.The SSMS Table Designer does not support Universal Authentication.
  • Nie ma dodatkowych wymagań dotyczących oprogramowania dla Active Directory uwierzytelniania uniwersalnego, z tą różnicą, że należy użyć obsługiwanej wersji programu SSMS.There are no additional software requirements for Active Directory Universal Authentication except that you must use a supported version of SSMS.
  • Wersja Active Directory Authentication Library (ADAL) dla uwierzytelniania uniwersalnego została zaktualizowana do najnowszej udostępnionej wersji biblioteki ADAL. dll 3.13.9.The Active Directory Authentication Library (ADAL) version for Universal authentication was updated to its latest ADAL.dll 3.13.9 available released version. Zobacz Active Directory Authentication Library 3.14.1.See Active Directory Authentication Library 3.14.1.

Następne krokiNext steps