Azure Active Directory kimlik doğrulaması kullan

AŞAĞıDAKILER IÇIN GEÇERLIDIR: Azure SQL Veritabanı Azure SQL Yönetilen Örneği Azure Synapse Analytics

Azure Active Directory (azure ad) kimlik doğrulaması, azure ad 'de kimlikleri kullanarak azure Synapse Analytics 'te Azure SQL Veritabanı, azure SQL yönetilen örneğive Synapse SQL bağlanma mekanizmasıdır.

Azure AD kimlik doğrulaması ile veritabanı kullanıcılarının ve diğer Microsoft hizmetlerinin kimliklerini tek merkezden yönetebilirsiniz. Merkezi kimlik yönetimi, tüm veritabanı kullanıcılarını aynı yerden yönetmenizi sağlar ve izin yönetimini kolaylaştırır. Avantajları şunlardır:

• SQL Server kimlik doğrulaması için bir alternatif sağlar.

• Sunucu genelindeki Kullanıcı kimliklerinin uzamasını durdurmaya yardımcı olur.

• Tek bir yerde parola döndürmeye izin verir.

• Müşteriler, dış (Azure AD) gruplarını kullanarak veritabanı izinlerini yönetebilir.

• Azure Active Directory tarafından desteklenen tümleşik Windows kimlik doğrulaması ve diğer kimlik doğrulama biçimlerini etkinleştirerek parolaların depolanmasını ortadan kaldırabilir.

• Azure AD kimlik doğrulaması, veritabanı düzeyinde kimliklerin kimliğini doğrulamak için kapsanan veritabanı kullanıcılarını kullanır.

• Azure AD, SQL Veritabanı ve SQL yönetilen örneğe bağlanan uygulamalar için belirteç tabanlı kimlik doğrulamasını destekler.

• Azure AD kimlik doğrulaması şunları destekler:

  • Yalnızca Azure AD bulutu kimlikleri.
  • Azure AD karma kimlikleri şunları destekler:
    • Sorunsuz çoklu oturum açma (SSO) geçişli kimlik doğrulama ve Parola karması kimlik doğrulamasıyla iki seçenekten oluşan, bulut kimlik doğrulaması.
    • Federal kimlik doğrulaması.
  • Azure AD kimlik doğrulama yöntemleri ve aralarından seçim yapabileceğiniz daha fazla bilgi için aşağıdaki makaleye bakın:
    • Azure Active Directory karma kimlik çözümünüz için doğru kimlik doğrulama yöntemini seçin

• Azure AD, Multi-Factor Authentication içeren Active Directory evrensel kimlik doğrulaması kullanan SQL Server Management Studio bağlantıları destekler. Multi-Factor Authentication, kolay bir doğrulama seçenekleriyle güçlü kimlik doğrulaması içerir: telefon araması, SMS mesajı, PIN ile akıllı kartlar veya mobil uygulama bildirimi. daha fazla bilgi için bkz. azure AD Multi-Factor Authentication için ssms desteği Azure SQL Veritabanı, SQL yönetilen örnek ve azure Synapse

• Azure AD, Active Directory Etkileşimli Kimlik Doğrulaması'nın kullanıldığı SQL Server Veri Araçları'ndan (SSDT) gelen benzer bağlantıları destekler. daha fazla bilgi için bkz. SQL Server Veri Araçları Azure Active Directory desteği (ssdt)

yapılandırma adımları Azure Active Directory kimlik doğrulaması yapılandırmak ve kullanmak için aşağıdaki yordamları içerir.

1. Azure AD 'yi oluşturun ve doldurun.
2. İsteğe bağlı: Azure aboneliğinizle ilişkili olan Active Directory 'yi Ilişkilendirin veya değiştirin.
3. Azure Active Directory yöneticisi oluşturun.
4. İstemci bilgisayarlarınızı yapılandırın.
5. Veritabanınızda Azure AD kimlikleriyle eşlenmiş kapsanan veritabanı kullanıcıları oluşturun.
6. Azure AD kimliklerini kullanarak veritabanınıza Bağlan.

Güven mimarisi

• azure ad yerel kullanıcı parolalarını desteklemek için yalnızca azure ad, SQL Veritabanı, SQL yönetilen örneği ve azure Synapse bulut bölümü kabul edilir.
• Windows çoklu oturum açma kimlik bilgilerini (veya Windows kimlik bilgileri için kullanıcı/parola) desteklemek için, geçişli ve parola karması kimlik doğrulaması için sorunsuz çoklu oturum açma için yapılandırılmış bir federasyon veya yönetilen etki alanından Azure Active Directory kimlik bilgilerini kullanın. daha fazla bilgi için bkz. kesintisiz çoklu oturum açma Azure Active Directory.
• federal kimlik doğrulamasını (veya Windows kimlik bilgileri için kullanıcı/parola) desteklemek için, ADFS bloğundan iletişim gerekir.

Azure AD karma kimlikleri, kurulum ve eşitleme hakkında daha fazla bilgi için aşağıdaki makalelere bakın:

• parola karması kimlik doğrulaması- Azure AD Connect eşitleme ile parola karması eşitlemesi uygulama
• geçişli kimlik doğrulaması- Azure Active Directory geçişli kimlik doğrulaması
• federal kimlik doğrulaması- Azure 'da Active Directory Federasyon Hizmetleri (AD FS) dağıtma ve Azure AD Connect ve federasyon

ADFS altyapısına (veya Windows kimlik bilgileri için kullanıcı/parola) örnek bir federasyon kimlik doğrulaması için aşağıdaki çizime bakın. Oklar, iletişim yollarını gösterir.

Aşağıdaki diyagramda, bir istemcinin bir belirteci göndererek bir veritabanına bağlanmasına izin veren Federasyon, güven ve barındırma ilişkileri belirtilmektedir. Belirtecin kimliği bir Azure AD tarafından doğrulanır ve veritabanı tarafından güvenilir. müşteri 1, yerel kullanıcılar veya bir Azure AD ile federe kullanıcılarla bir Azure Active Directory temsil edebilir. müşteri 2, içeri aktarılan kullanıcılar dahil olası bir çözümü temsil eder. bu örnekte, ADFS ile Azure Active Directory eşitlenen bir federal Azure Active Directory geliyor. Azure AD kimlik doğrulaması kullanarak bir veritabanına erişimin, barındırma aboneliğinin Azure AD ile ilişkilendirilmesini gerektirdiğini anlamak önemlidir. Azure SQL Veritabanı, SQL yönetilen örneği veya Azure Synapse kaynaklarını oluşturmak için aynı aboneliğin kullanılması gerekir.

Yönetici yapısı

azure ad kimlik doğrulaması kullanılırken, iki yönetici hesabı vardır: özgün Azure SQL Veritabanı yöneticisi ve Azure AD yöneticisi. Aynı kavramlar Azure SYNAPSE için de geçerlidir. Yalnızca bir Azure AD hesabını temel alan yönetici, bir kullanıcı veritabanında ilk Azure AD kapsanan veritabanı kullanıcısını oluşturabilir. Azure AD yönetici oturumu, bir Azure AD kullanıcısı veya bir Azure AD grubu olabilir. Yönetici bir grup hesabı olduğunda, sunucu için birden çok Azure AD yöneticisini etkinleştirerek herhangi bir grup üyesi tarafından kullanılabilir. grup hesabını yönetici olarak kullanmak, SQL Veritabanı veya azure Synapse 'deki kullanıcıları veya izinleri değiştirmeden azure AD 'de grup üyelerini merkezi olarak eklemenize ve kaldırmanıza olanak tanıyarak yönetilebilirlik geliştirir. Herhangi bir anda yalnızca bir Azure AD Yöneticisi (bir kullanıcı veya grup) yapılandırılabilir.

İzinler

Yeni kullanıcılar oluşturmak için, veritabanında izninizin olması gerekir ALTER ANY USER . ALTER ANY USERHerhangi bir veritabanı kullanıcısına izin verilebilir. ALTER ANY USERAyrıca, bu izin Sunucu Yöneticisi hesapları tarafından ve CONTROL ON DATABASE Bu veritabanı için veya iznine sahip veritabanı kullanıcıları ALTER ON DATABASE ve veritabanı rolünün üyeleri tarafından tutulur db_owner .

Azure SQL Veritabanı SQL, yönetilen örnek veya azure Synapse içinde kapsanan bir veritabanı kullanıcısı oluşturmak için, bir Azure AD kimliği kullanarak veritabanına veya örneğe bağlanmanız gerekir. İlk kapsanan veritabanı kullanıcısını oluşturmak için, bir Azure AD Yöneticisi (veritabanının sahibi olan) kullanarak veritabanına bağlanmanız gerekir. bu, SQL Veritabanı veya Azure Synapse ile Azure Active Directory kimlik doğrulamasını yapılandırma ve yönetmebölümünde gösterilmiştir. azure ad kimlik doğrulaması yalnızca azure ad yöneticisi Azure SQL Veritabanı, SQL yönetilen örnek veya azure Synapse için oluşturulduysa mümkündür. Azure Active Directory yöneticisi sunucudan kaldırılmışsa, daha önce SQL Server içinde oluşturulan mevcut Azure Active Directory kullanıcılar artık Azure Active Directory kimlik bilgilerini kullanarak veritabanına bağlanamaz.

Azure AD özellikleri ve sınırlamaları

• aşağıdaki Azure AD üyelerine Azure SQL Veritabanı sağlanabilir:

  • Yerel Üyeler: yönetilen etki alanında veya bir müşteri etki alanında Azure AD 'de oluşturulan bir üye. Daha fazla bilgi için bkz. Azure AD 'ye kendi etki alanı adınızı ekleme.
  • yönetilen bir etki alanında, geçişli veya parola karması kimlik doğrulamasıyla sorunsuz çoklu oturum açma için yapılandırılmış Azure Active Directory ile federe Active Directory etki alanı üyeleri. daha fazla bilgi için bkz. Microsoft Azure artık Windows Server Active Directory federasyonu destekliyor ve sorunsuz çoklu oturum açma Azure Active Directory.
  • Diğer Azure AD 'den, yerel veya Federasyon etki alanı üyesi olan Üyeler içeri aktarıldı.
  • Güvenlik grupları olarak oluşturulan grupları Active Directory.

• sunucu rolüne sahip bir grubun parçası olan Azure AD kullanıcıları db_owner , Azure SQL Veritabanı ve Azure Synapse 'e karşı veritabanı kapsamlı kimlik bilgisi oluştur sözdizimini kullanamaz. Aşağıdaki hatayı görürsünüz:

  SQL Error [2760] [S0001]: The specified schema name 'user@mydomain.com' either does not exist or you do not have permission to use it.

  db_owner VERITABANı KAPSAMLı kimlik bilgileri oluşturma sorununu hafifletmek için role doğrudan tek bir Azure AD kullanıcısına izin verin.

• Bu sistem işlevleri, Azure AD sorumluları altında yürütüldüğünde NULL değerler döndürüyor:

  • SUSER_ID()
  • SUSER_NAME(<admin ID>)
  • SUSER_SNAME(<admin SID>)
  • SUSER_ID(<admin name>)
  • SUSER_SID(<admin name>)

SQL Yönetilen Örnek

• SQL yönetilen örnekiçin Azure AD sunucu sorumluları (oturum açmalar) ve kullanıcılar desteklenir.
• azure ad grubuna eşlenen azure ad server sorumlularını (oturum açmaları) veritabanı sahibi olarak ayarlama SQL yönetilen örnektedesteklenmez.
  • bunun bir uzantısı, bir grup sunucu rolünün bir parçası olarak eklendiğinde dbcreator , bu gruptaki kullanıcılar SQL yönetilen örneğe bağlanabilir ve yeni veritabanları oluşturabilir, ancak veritabanına erişemeyecektir. Bunun nedeni, yeni veritabanı sahibinin Azure AD kullanıcısı değil, SA. Bu sorun, bireysel kullanıcı sunucu rolüne eklenirse bildirim yapmaz dbcreator .
• SQL Aracı yönetimi ve işlerin yürütülmesi, Azure AD Server sorumluları (oturumlar) için desteklenir.
• Veritabanı yedekleme ve geri yükleme işlemleri, Azure AD Server sorumluları (oturumlar) tarafından yürütülebilir.
• Azure AD Server sorumluları (oturum açmalar) ve kimlik doğrulama olayları ile ilgili tüm deyimlerin denetlenmesi desteklenir.
• Sysadmin sunucu rolünün üyeleri olan Azure AD Server sorumluları (oturumlar) için adanmış yönetici bağlantısı desteklenir.
  • SQLCMD yardımcı programı ve SQL Server Management Studio aracılığıyla desteklenir.
• Oturum açma Tetikleyicileri, Azure AD Server sorumlularına (oturum açmalar) gelen oturum açma olayları için desteklenir.
• Hizmet Aracısı ve DB Mail, bir Azure AD sunucusu sorumlusu (oturum açma) kullanılarak ayarlanabilir.

Azure AD kimliklerini kullanarak bağlanma

Azure Active Directory kimlik doğrulaması, Azure AD kimliklerini kullanarak veritabanına bağlanmaya yönelik aşağıdaki yöntemleri destekler:

• Azure Active Directory Parola
• Azure Active Directory Entegre
• Azure Active Directory Multi-Factor Authentication ile Evrensel
• Uygulama belirteci kimlik doğrulamasını kullanma

Azure AD sunucu sorumluları (oturum açma bilgileri) için aşağıdaki kimlik doğrulama yöntemleri de kullanılabilir:

• Azure Active Directory Parola
• Azure Active Directory Entegre
• Azure Active Directory Multi-Factor Authentication ile Evrensel

Diğer konular

• Yönetilebilirliği geliştirmek için yönetici olarak ayrılmış bir Azure AD grubu sağlamanız önerilir.
• Bir sunucu için herhangi bir anda yalnızca bir Azure AD yöneticisi (kullanıcı veya SQL Veritabanı Azure Synapse yapılandırabilirsiniz.
  • SQL Yönetilen Örneği için Azure AD sunucu sorumlularının (oturum açma bilgileri) ekleniyor olması, role eklen hazır birden çok Azure AD sunucu sorumlusu (oturum açma) oluşturma olasılığını sysadmin sağlar.
• Yalnızca sunucu için Azure AD yöneticisi, sunucuya veya yönetilen örneğine başlangıçta bir Azure Active Directory bağlanabilirsiniz. Active Directory yöneticisi sonraki Azure AD veritabanı kullanıcılarını yapılandırabilirsiniz.
• 2048'den fazla Azure AD güvenlik gruplarının üyesi olan Azure AD kullanıcıları ve hizmet sorumluları (Azure AD uygulamaları), SQL Veritabanı, Yönetilen Örnek veya Azure Synapse'da veritabanında oturum açma desteğine sahip değildir.
• Bağlantı zaman aşımını 30 saniye olarak ayarlamanızı öneririz.
• Visual Studio 2015 için SQL Server 2016 Management Studio ve SQL Server Veri Araçları (sürüm 14.0.60311.1April 2016 veya sonraki sürümler) Azure Active Directory destekler. (Azure AD kimlik doğrulaması SqlServer için .NET Framework Veri Sağlayıcısı ; en azından sürüm .NET Framework 4.6) tarafından de destekler. Bu nedenle bu araçların ve veri katmanı uygulamalarının (DAC ve BACPAC) en yeni sürümleri Azure AD kimlik doğrulamasını kullanabilir.
• 15.0.1 sürümünden itibaren sqlcmd yardımcı programı ve bcp yardımcı programı, Multi-Factor Authentication ile Active Directory Etkileşimli kimlik doğrulamasını destekler.
• SQL Server Veri Araçları 2015'e Visual Studio için en azından Veri Araçları'nın Nisan 2016 sürümü (sürüm 14.0.60311.1) gerekir. Şu anda Azure AD kullanıcıları SSDT depolama Nesne Gezgini. Geçici bir çözüm olarak, 'daki kullanıcıları sys.database_principals.
• SQL Server için Microsoft JDBC Driver 6.0, Azure AD kimlik doğrulamasını destekler. Ayrıca bkz. Bağlantı Özelliklerini Ayarlama.
• PolyBase, Azure AD kimlik doğrulamasını kullanarak kimlik doğrulamasına sahip olamaz.
• Azure AD kimlik doğrulaması, veritabanı Azure SQL Veritabanı ve Azure Synapse dışarı aktarma Azure portal kullanılarak Azure portal için de kullanılabilir. Azure AD kimlik doğrulamasını kullanarak içeri ve dışarı aktarma bir PowerShell komutundan da de destek alır.
• Azure AD kimlik doğrulaması, SQL Veritabanı, SQL Yönetilen Örnek ve CLI Azure Synapse ile kullanılabilir. Daha fazla bilgi için bkz. Azure AD kimlik doğrulamasını SQL Veritabanı veya Azure Synapse ve SQL Server - az sql server ile yapılandırma ve yönetme.

Sonraki adımlar

• Bir Azure AD örneği oluşturma ve sonra Azure SQL Veritabanı, SQL Yönetilen Örnek veya Azure Synapse ile yapılandırma hakkında bilgi edinmek için bkz. SQL Veritabanı, SQL Yönetilen Örnek veya Azure Synapse ile Azure Active Directory kimlik doğrulamasını yapılandırma ve yönetme.
• SQL Yönetilen Örneği ile Azure AD sunucu sorumlularını (oturum açma bilgileri) kullanma öğreticisi için bkz. SQL Yönetilen Örneği ile Azure AD sunucu sorumluları (oturum açmalar)
• Oturum açma bilgilerine, kullanıcılara, veritabanı rollerine ve oturum açma SQL Veritabanı genel bakış için bkz. Oturum açma bilgileri, kullanıcılar, veritabanı rolleri ve izinler.
• Veritabanı sorumluları hakkında daha fazla bilgi için bkz. Sorumlular.
• Veritabanı rolleri hakkında daha fazla bilgi için bkz. Veritabanı rolleri.
• Yönetilen Örnek için Azure AD sunucu sorumluları (oturum açma bilgileri) SQL söz dizimi için bkz. CREATE LOGIN.
• SQL Veritabanındaki güvenlik duvarı kuralları hakkında daha fazla bilgi için bkz. SQL Veritabanı güvenlik duvarı kuralları.