Настройка Многофакторной идентификации для SQL Server Management Studio и Azure ADConfigure multi-factor authentication for SQL Server Management Studio and Azure AD

В этом разделе показано, как настроить Многофакторную идентификацию (MFA) Azure Active Directory для SQL Server Management Studio.This topic shows you how to use Azure Active Directory multi-factor authentication (MFA) with SQL Server Management Studio. Многофакторная идентификация Azure AD может использоваться при подключении SSMS или SqlPackage.exe к службе База данных SQL и Хранилищу данных SQL Azure.Azure AD MFA can be used when connecting SSMS or SqlPackage.exe to Azure SQL Database and SQL Data Warehouse. Обзор многофакторной проверки подлинности в Базе данных SQL Azure приведен в разделе Универсальная проверка подлинности для Базы данных SQL и хранилища данных SQL (поддержка SSMS для MFA).For an overview of Azure SQL Database multi-factor authentication, see Universal Authentication with SQL Database and SQL Data Warehouse (SSMS support for MFA).

Примечание

Этот раздел относится к Azure SQL Server, а также к базам данных SQL и хранилища данных SQL, создаваемым на сервере Azure SQL Server.This topic applies to Azure SQL server, and to both SQL Database and SQL Data Warehouse databases that are created on the Azure SQL server. Для простоты база данных SQL используется как для базы данных SQL, так и для хранилища данных SQL.For simplicity, SQL Database is used when referring to both SQL Database and SQL Data Warehouse.

Этапы настройкиConfiguration steps

  1. Настройка Azure Active Directory. Дополнительные сведения см. в статьях Управление каталогом Azure AD, Интеграция локальных удостоверений с Azure Active Directory и AzureADHelp и записях блога Add your own domain name to Azure AD (Добавление собственного имени домена в Azure AD) и Microsoft Azure now supports federation with Windows Server Active Directory (Microsoft Azure теперь поддерживает федерацию с Windows Server Active Directory).Configure an Azure Active Directory - For more information, see Administering your Azure AD directory, Integrating your on-premises identities with Azure Active Directory, Add your own domain name to Azure AD, Microsoft Azure now supports federation with Windows Server Active Directory, and Manage Azure AD using Windows PowerShell.
  2. Настройка MFA. Пошаговые инструкции см. в разделах Что такое Многофакторная идентификация Azure? и Условный доступ (MFA) и база данных SQL Azure и хранилище данных.Configure MFA - For step-by-step instructions, see What is Azure Multi-Factor Authentication?, Conditional Access (MFA) with Azure SQL Database and Data Warehouse. (Для полного условного доступа требуется Azure Active Directory Premium (Azure AD).(Full Conditional Access requires a Premium Azure Active Directory (Azure AD). Azure AD Standard обеспечивает ограниченные возможности MFA).Limited MFA is available with a standard Azure AD.)
  3. Настройка базы данных SQL или хранилища данных SQL для аутентификации Azure AD. Пошаговые инструкции см. в статье Подключение к базе данных SQL или хранилищу данных SQL c использованием проверки подлинности Azure Active Directory.Configure SQL Database or SQL Data Warehouse for Azure AD Authentication - For step-by-step instructions, see Connecting to SQL Database or SQL Data Warehouse By Using Azure Active Directory Authentication.
  4. Скачивание SSMS. Скачайте последнюю версию SSMS на клиентский компьютер, воспользовавшись страницей Скачивание SQL Server Management Studio (SSMS).Download SSMS - On the client computer, download the latest SSMS, from Download SQL Server Management Studio (SSMS). Для всех функций в этом разделе используйте по крайней мере версию 17.2 за июль 2017 года.For all the features in this topic, use at least July 2017, version 17.2.

Подключение с помощью универсальной аутентификации и SSMSConnecting by using universal authentication with SSMS

Приведенные ниже инструкции описывают, как подключиться к базе данных SQL или хранилищу данных SQL с помощью последней версии SSMS.The following steps show how to connect to SQL Database or SQL Data Warehouse by using the latest SSMS.

  1. Чтобы подключиться с использованием универсальной аутентификации, в диалоговом окне Соединение с сервером выберите Active Directory — универсальная с поддержкой MFA.To connect using Universal Authentication, on the Connect to Server dialog box, select Active Directory - Universal with MFA support. (Если отображается параметр Универсальная проверка подлинности Active Directory, значит, у вас не самая последняя версия SSMS.)(If you see Active Directory Universal Authentication you are not on the latest version of SSMS.)
    1mfa-universal-connect1mfa-universal-connect

  2. Заполните поле Имя пользователя учетными данными Azure Active Directory в формате user_name@domain.com.Complete the User name box with the Azure Active Directory credentials, in the format user_name@domain.com.
    1mfa-universal-connect-user1mfa-universal-connect-user

  3. Если вы подключаетесь от имени гостевого пользователя, вам больше не нужно заполнять поле доменного имени AD или идентификатора клиента для гостевых пользователей, так как SSMS 18. x или более поздней версии автоматически распознает его.If you are connecting as a guest user, you no longer need to complete the AD domain name or tenant ID field for guest users because SSMS 18.x or later automatically recognizes it. Дополнительные сведения см. в разделе Универсальная проверка подлинности для Базы данных SQL и хранилища данных SQL (поддержка SSMS для MFA).For more information, see Universal Authentication with SQL Database and SQL Data Warehouse (SSMS support for MFA). MFA-No-клиент-SSMSmfa-no-tenant-ssms

    Однако если вы подключаетесь от имени гостевого пользователя с помощью SSMS 17. x или более ранней версии, необходимо нажать кнопку Параметрыи в диалоговом окне Свойства соединения и заполнить поле доменное имя AD или идентификатор клиента .However, If you are connecting as a guest user using SSMS 17.x or older, you must click Options, and on the Connection Property dialog box, and complete the AD domain name or tenant ID box. mfa-tenant-ssmsmfa-tenant-ssms

  4. Как и для базы данных SQL и хранилища данных SQL, необходимо щелкнуть Параметры и указать базу данных в диалоговом окне Параметры.As usual for SQL Database and SQL Data Warehouse, you must click Options and specify the database on the Options dialog box. (Если подключенный пользователь является гостевым (т. е. joe@outlook.com), нужно установить флажок и добавить текущее доменное имя AD или идентификатор клиента как часть параметров.)(If the connected user is a guest user ( i.e. joe@outlook.com), you must check the box and add the current AD domain name or tenant ID as part of Options. Дополнительные сведения см. в статье Универсальная проверка подлинности для Базы данных SQL и Хранилища данных SQL (поддержка SSMS для MFA).See Universal Authentication with SQL Database and SQL Data Warehouse (SSMS support for MFA). Щелкните Подключить.Then click Connect.

  5. Когда откроется диалоговое окно Вход в учетную запись , укажите учетную запись и пароль своего удостоверения Azure Active Directory.When the Sign in to your account dialog box appears, provide the account and password of your Azure Active Directory identity. Пароль не требуется, если пользователь является частью домена в федерации с Azure AD.No password is required if a user is part of a domain federated with Azure AD.
    2mfa-sign-in2mfa-sign-in

    Примечание

    Если для этой учетной записи не требуется MFA, то на этом этапе универсальной аутентификации устанавливается подключение.For Universal Authentication with an account that does not require MFA, you connect at this point. Пользователям, которым требуется MFA, следует выполнить приведенные ниже действия.For users requiring MFA, continue with the following steps:

  6. Могут отобразиться два диалоговых окна настройки MFA.Two MFA setup dialog boxes might appear. Эта одноразовая операция зависит от параметра администратора MFA, то есть может быть необязательной.This one time operation depends on the MFA administrator setting, and therefore may be optional. Для домена с поддержкой MFA этот шаг иногда бывает предварительно определен (например, домен требует от пользователя использовать смарт-карту и ПИН-код).For an MFA enabled domain this step is sometimes pre-defined (for example, the domain requires users to use a smartcard and pin).
    3mfa-setup

  7. В диалоговом окне второй одноразовой операции можно выбрать параметры метода аутентификации.The second possible one time dialog box allows you to select the details of your authentication method. Возможные параметры настраиваются администратором.The possible options are configured by your administrator.
    4mfa-verify-1

  8. Azure Active Directory отправляет вам информациею о подтверждении.The Azure Active Directory sends the confirming information to you. Получив код проверки, введите его в поле Введите проверочный код и нажмите кнопку Вход.When you receive the verification code, enter it into the Enter verification code box, and click Sign in.
    5mfa-verify-25mfa-verify-2

Обычно по завершении проверки выполняется подключение SSMS при условии, что указаны действительные учетные данные и в брандмауэре разрешен доступ.When verification is complete, SSMS connects normally presuming valid credentials and firewall access.

Дальнейшие действияNext steps