Auktorisera databasåtkomst till SQL Database, SQL Managed Instance och Azure Synapse Analytics

GÄLLER FÖR: Azure SQL Database Azure SQL Managed Instance Azure Synapse Analytics

I den här artikeln lär du dig mer om:

• Alternativ för att konfigurera Azure SQL Database, Azure SQL Managed Instance och Azure Synapse Analytics så att användarna kan utföra administrativa uppgifter och komma åt data som lagras i dessa databaser.
• Konfigurationen för åtkomst och auktorisering när du först har skapat en ny server.
• Så här lägger du till inloggningar och användarkonton i huvuddatabasen och användarkonton och beviljar sedan administratörsbehörigheter för dessa konton.
• Så här lägger du till användarkonton i användardatabaser, antingen associerade med inloggningar eller som inneslutna användarkonton.
• Konfigurera användarkonton med behörigheter i användardatabaser med hjälp av databasroller och explicita behörigheter.

Viktigt

Databaser i Azure SQL Database, Azure SQL Managed Instance och Azure Synapse kallas gemensamt för databaser i resten av den här artikeln, och servern refererar till den server som hanterar databaser för Azure SQL Database och Azure Synapse.

Autentisering och auktorisering

Autentisering är processen för att bevisa att användaren är den de påstår sig vara. En användare ansluter till en databas med ett användarkonto. När en användare försöker ansluta till en databas anger de ett användarkonto och autentiseringsinformation. Användaren autentiseras med någon av följande två autentiseringsmetoder:

• SQL autentisering.

  Med den här autentiseringsmetoden skickar användaren ett användarnamn och tillhörande lösenord för att upprätta en anslutning. Det här lösenordet lagras i huvuddatabasen för användarkonton som är länkade till en inloggning eller lagras i databasen som innehåller användarkontona som inte är länkade till en inloggning.

• Azure Active Directory-autentisering

  Med den här autentiseringsmetoden skickar användaren ett användarkontonamn och begär att tjänsten använder autentiseringsinformationen som lagras i Azure Active Directory (Azure AD).

Inloggningar och användare: Ett användarkonto i en databas kan associeras med en inloggning som finns lagrad i huvuddatabasen eller så kan det vara ett användarnamn som lagras i en enskild databas.

• En inloggning är ett enskilt konto i huvuddatabasen, som ett användarkonto i en eller flera databaser kan kopplas till. Med en inloggning lagras autentiseringsuppgifterna för användarkontot med inloggningen.
• Ett användarkonto är ett enskilt konto i en databas som kan vara, men som inte måste vara, kopplat till en inloggning. Med ett användarkonto som inte är länkat till en inloggning lagras autentiseringsinformation med användarkontot.

Behörighet att komma åt data och utföra olika åtgärder hanteras med hjälp av databasroller och explicita behörigheter. Auktorisering refererar till de behörigheter som tilldelats en användare och avgör vad användaren får göra. Auktorisering styrs av användarkontots databasrollmedlemskap och behörigheter på objektnivå. Ett bra tips är att du ska ge användare så få behörigheter som möjligt.

Befintliga inloggningar och användarkonton när du har skapat en ny databas

När du först distribuerar Azure SQL anger du en administratörsinloggning och ett associerat lösenord för inloggningen. Det här administrativa kontot kallas serveradministratör. Följande konfiguration av inloggningar och användare i huvuddatabaserna och användardatabaserna sker under distributionen:

• En SQL inloggning med administratörsbehörighet skapas med det inloggningsnamn som du angav. En inloggning är ett enskilt användarkonto för att logga in på SQL Database, SQL Managed Instance och Azure Synapse.
• Den här inloggningen beviljas fullständiga administrativa behörigheter för alla databaser som huvudnamn på servernivå. Inloggningen har alla tillgängliga behörigheter och kan inte begränsas. I en SQL Managed Instance läggs den här inloggningen till i den fasta serverrollen sysadmin (den här rollen finns inte i Azure SQL Database).
• Ett användarkonto med namnet dbo skapas för den här inloggningen i varje användardatabas. Dbo-användaren har alla databasbehörigheter i databasen och mappas till den fasta databasrollendb_owner. Ytterligare fasta databasroller beskrivs senare i den här artikeln.

Om du vill identifiera administratörskonton för en databas öppnar du Azure Portal och navigerar till fliken Egenskaper för servern eller den hanterade instansen.

Viktigt

Administratörens inloggningsnamn kan inte ändras när det har skapats. Om du vill återställa lösenordet för serveradministratören går du till Azure Portal, klickar på SQL Servrar, väljer servern i listan och klickar sedan på Återställ lösenord. Om du vill återställa lösenordet för SQL Managed Instance går du till Azure Portal, klickar på instansen och klickar på Återställ lösenord. Du kan också använda PowerShell eller Azure CLI.

Skapa ytterligare inloggningar och användare som har administratörsbehörighet

Nu konfigureras din server eller hanterade instans endast för åtkomst med hjälp av en enda SQL inloggning och användarkonto. Om du vill skapa ytterligare inloggningar med fullständig eller partiell administratörsbehörighet har du följande alternativ (beroende på distributionsläget):

• Skapa ett Azure Active Directory administratörskonto med fullständig administratörsbehörighet

  Aktivera Azure Active Directory autentisering och skapa en Azure AD administratörsinloggning. Ett Azure Active Directory konto kan konfigureras som administratör för Azure SQL-distributionen med fullständig administratörsbehörighet. Det här kontot kan vara antingen ett enskilt konto eller ett säkerhetsgruppskonto. En Azure AD-administratör måste konfigureras om du vill använda Azure AD-konton för att ansluta till SQL Database, SQL Managed Instance eller Azure Synapse. Detaljerad information om hur du aktiverar Azure AD autentisering för alla Azure SQL distributionstyper finns i följande artiklar:

  • Använda Azure Active Directory-autentisering för autentisering med SQL
  • Konfigurera och hantera Azure Active Directory-autentisering med SQL

• I SQL Managed Instance skapar du SQL inloggningar med fullständig administratörsbehörighet

  • Skapa ytterligare en SQL-inloggning i huvuddatabasen.
  • Lägg till inloggningen till den fasta serverrollen sysadmin med instruktionen ALTER SERVER ROLE . Den här inloggningen har fullständig administratörsbehörighet.
  • Du kan också skapa en Azure AD inloggning med syntaxen SKAPA INLOGGNING.

• I SQL Database skapar du SQL-inloggningar med begränsad administrativ behörighet

  • Skapa ytterligare en SQL-inloggning i huvuddatabasen.
  • Skapa ett användarkonto i huvuddatabasen som är associerat med den nya inloggningen.
  • Lägg till användarkontot i dbmanager, loginmanager rollen eller båda i master databasen med instruktionen ALTER ROLE (för Azure Synapse använder du instruktionen sp_addrolemember).

  Anteckning

  dbmanageroch loginmanager roller gäller inte för SQL Managed Instance distributioner.

  Medlemmar i dessa särskilda huvuddatabasroller för Azure SQL Database har behörighet att skapa och hantera databaser eller att skapa och hantera inloggningar. I databaser som skapats av en användare som är medlem i dbmanager rollen mappas medlemmen till den fasta databasrollen db_owner och kan logga in på och hantera databasen med användarkontot dbo . Dessa roller har inga explicita behörigheter utanför huvuddatabasen.

  Viktigt

  Du kan inte skapa ytterligare en SQL inloggning med fullständig administratörsbehörighet i SQL Database.

Skapa konton för icke-administratörsanvändare

Du kan skapa konton för icke-administrativa användare med någon av två metoder:

• Skapa en inloggning

  Skapa en SQL inloggning i huvuddatabasen. Skapa sedan ett användarkonto i varje databas som användaren behöver åtkomst till och associera användarkontot med den inloggningen. Den här metoden rekommenderas när användaren måste komma åt flera databaser och du vill att lösenorden ska synkroniseras. Den här metoden har dock komplexitet när den används med geo-replikering eftersom inloggningen måste skapas på både den primära servern och de sekundära servrarna. Mer information finns i Konfigurera och hantera Azure SQL Database säkerhet för geo-återställning eller redundans.

• Skapa ett användarkonto

  Skapa ett användarkonto i databasen som en användare behöver åtkomst till (kallas även en innesluten användare).

  • Med SQL Database kan du alltid skapa den här typen av användarkonto.
  • Med SQL Managed Instance som stöder Azure AD serverhuvudkonton kan du skapa användarkonton för att autentisera till SQL Managed Instance utan att kräva att databasanvändare skapas som en oberoende databasanvändare.

  Med den här metoden lagras användarautentiseringsinformationen i varje databas och replikeras automatiskt till geo-replikerade databaser. Men om samma konto finns i flera databaser och du använder Azure SQL-autentisering måste du synkronisera lösenorden manuellt. Om en användare dessutom har ett konto i olika databaser med olika lösenord kan det bli ett problem att komma ihåg dessa lösenord.

Viktigt

Om du vill skapa inneslutna användare som mappats till Azure AD identiteter måste du vara inloggad med ett Azure AD-konto i databasen i Azure SQL Database. I SQL Managed Instance kan en SQL inloggning med sysadmin behörigheter också skapa en Azure AD inloggning eller användare.

Exempel som visar hur du skapar inloggningar och användare finns i:

• Skapa inloggning för Azure SQL Database
• Skapa inloggning för Azure SQL Managed Instance
• Skapa inloggning för Azure Synapse
• Skapa användare
• Skapa Azure AD inneslutna användare

Tips

En säkerhetskurs som omfattar att skapa användare i Azure SQL Database finns i Självstudie: Skydda Azure SQL Database.

Använda fasta och anpassade databasroller

När du har skapat ett användarkonto i en databas, antingen baserat på en inloggning eller som en innesluten användare, kan du ge användaren behörighet att utföra olika åtgärder och komma åt data i en viss databas. Du kan använda följande metoder för att auktorisera åtkomst:

• Databasroller har åtgärdats

  Lägg till användarkontot i en fast databasroll. Det finns 9 fasta databasroller, var och en med en definierad uppsättning behörigheter. De vanligaste fasta databasrollerna är: db_owner, db_ddladmin, db_datawriter, db_datareader, db_denydatawriter och db_denydatareader. db_owner används ofta för att endast ge fullständig behörighet till några användare. De andra fasta databasrollerna är användbara för att snabbt få en enkel databas i utveckling, men de rekommenderas inte för de flesta produktionsdatabaserna. Till exempel ger den db_datareader fasta databasrollen läsåtkomst till varje tabell i databasen, vilket är mer än vad som är absolut nödvändigt.

  • Så här lägger du till en användare i en fast databasroll:

    • I Azure SQL Database använder du ALTER ROLE-instruktionen. Exempel finns i ALTER ROLE-exempel
    • Azure Synapse använder du sp_addrolemember-instruktionen. Exempel finns i sp_addrolemember exempel.

• Anpassad databasroll

  Skapa en anpassad databasroll med hjälp av instruktionen CREATE ROLE . Med en anpassad roll kan du skapa egna användardefinierade databasroller och noggrant ge varje roll de minsta behörigheter som krävs för verksamhetens behov. Du kan sedan lägga till användare i den anpassade rollen. När en användare är medlem i flera roller sammanställs behörigheterna för alla.

• Bevilja behörigheter direkt

  Bevilja användarkontobehörigheterna direkt. Det finns över 100 behörigheter som individuellt kan beviljas eller nekas i SQL Database. Många av de här behörigheterna är kapslade. Till exempel inkluderar UPDATE-behörighet på ett schema UPDATE-behörighet för alla tabeller i schemat. Som i de flesta andra behörighetssystem åsidosätter ett nekande av en behörighet en beviljad. På grund av den kapslade karaktären och antalet behörigheter kan det krävas noggranna studier för att designa ett behörighetssystem som korrekt skyddar databasen. Börja med listan över behörigheter på Behörigheter (Databasmotor) och granska den stora bilden med behörigheter.

Använda grupper

Effektiv åtkomsthantering använder behörigheter som tilldelats till Active Directory-säkerhetsgrupper och fasta eller anpassade roller i stället för enskilda användare.

• När du använder Azure Active Directory autentisering placerar du Azure Active Directory användare i en Azure Active Directory säkerhetsgrupp. Skapa en oberoende databasanvändare för gruppen. Lägg till en eller flera databasanvändare som medlem i anpassade eller inbyggda databasroller med de specifika behörigheter som är lämpliga för den gruppen med användare.

• När du använder SQL autentisering skapar du oberoende databasanvändare i databasen. Placera en eller flera databasanvändare i en anpassad databasroll med specifika behörigheter som är lämpliga för den gruppen med användare.

  Anteckning

  Du kan också använda grupper för icke-inneslutna databasanvändare.

Du bör bekanta dig med följande funktioner som kan användas för att begränsa eller utöka behörigheter:

• Personifiering och modulsignering kan användas för att säkert höja behörigheter tillfälligt.
• Säkerhet på radnivå kan användas som en begränsning av vilka rader en användare kan komma åt.
• Datamaskning kan användas för att begränsa exponering av känsliga data.
• Lagrade procedurer kan användas för att begränsa de åtgärder som kan utföras i databasen.

Nästa steg

En översikt över alla Azure SQL Database och SQL Managed Instance säkerhetsfunktioner finns i Säkerhetsöversikt.