Azure AD ile sunucu oluşturma-yalnızca Azure SQL kimlik doğrulaması etkinleştirildi

Uygulama hedefi: Azure SQL Veritabanı Azure SQL yönetilen örneği

Not

Bu makalede ele alınan yalnızca Azure AD kimlik doğrulama özelliği genel önizlemeye sunuldu. Bu özellik hakkında ayrıntılı bilgi için bkz. Azure SQL ile yalnızca Azure AD kimlik doğrulaması. Azure AD kimlik doğrulaması şu anda Azure SYNAPSE Analytics için kullanılabilir değil.

bu nasıl yapılır kılavuzunda, sağlama sırasında yalnızca azure AD kimlik doğrulaması etkinleştirilmiş Azure SQL Veritabanı veya azure SQL yönetilen örneği için bir mantıksal sunucu oluşturma adımları özetlenmektedir. yalnızca azure ad kimlik doğrulaması özelliği, kullanıcıların SQL kimlik doğrulaması kullanarak sunucuya veya yönetilen örneğe bağlanmasını engeller ve yalnızca Azure AD kimlik doğrulamasını kullanarak bağlantıya izin verir.

Önkoşullar

  • Azure CLı kullanılırken sürüm 2.26.1 veya üzeri gereklidir. Yükleme ve en son sürümü hakkında daha fazla bilgi için bkz. Azure CLI 'Yı yükleme.
  • PowerShell kullanılırken az 6.1.0 Module veya üzeri gereklidir.
  • Azure CLı, PowerShell veya REST API 'sini kullanarak yönetilen bir örnek sağlıyorsanız, başlamadan önce bir sanal ağ ve alt ağın oluşturulması gerekir. daha fazla bilgi için bkz. Azure SQL yönetilen örneği için sanal ağ oluşturma.

İzinler

Bir mantıksal sunucu veya yönetilen örnek sağlamak için, bu kaynakları oluşturmak için uygun izinlere sahip olmanız gerekir. abonelik sahipleri, katkıda bulunanlar, hizmet yöneticilerive ortak yöneticiler gibi daha yüksek izinlere sahip Azure kullanıcıları SQL sunucu veya yönetilen örnek oluşturma ayrıcalığına sahiptir. en az ayrıcalıklı Azure RBAC rolüyle bu kaynakları oluşturmak için, SQL Veritabanı için SQL Server katkıda bulunan rolünü ve yönetilen örnek için SQL yönetilen örnek katılımcısı rolünü kullanın.

SQL Security Manager azure RBAC rolü, yalnızca Azure AD kimlik doğrulaması etkin olan bir sunucu veya örnek oluşturmak için yeterli izne sahip değil. sunucu veya örnek oluşturulduktan sonra yalnızca Azure AD kimlik doğrulama özelliğini yönetmek için SQL güvenlik yöneticisi rolü gerekecektir.

Yalnızca Azure AD kimlik doğrulaması etkinken sağlama

Aşağıdaki bölümde, sunucu veya örnek için bir Azure AD yönetici kümesi ile mantıksal sunucu veya yönetilen örnek oluşturma hakkında örnekler ve betikler ve sunucu oluşturma sırasında yalnızca Azure AD kimlik doğrulamasının etkin olması sağlanır. Özelliği hakkında daha fazla bilgi için bkz. Azure AD-yalnızca kimlik doğrulaması.

Örneklerimizde sunucu veya yönetilen örnek oluşturma sırasında, sistem tarafından atanan sunucu yöneticisi ve parolasıyla yalnızca Azure AD kimlik doğrulaması etkinleştiriyoruz. Bu, yalnızca Azure AD kimlik doğrulaması etkinken Sunucu Yöneticisi erişimini engeller ve yalnızca Azure AD yöneticisinin kaynağa erişmesine izin verir. Sunucu oluşturma sırasında kendi sunucu yöneticinize ve parolanızı içerecek şekilde API 'lere parametre eklemek isteğe bağlıdır. Ancak, yalnızca Azure AD kimlik doğrulamasını devre dışı bırakana kadar parola sıfırlanamaz.

Sunucu veya yönetilen örnek oluşturulduktan sonra var olan özellikleri değiştirmek için diğer mevcut API 'Lerin kullanılması gerekir. daha fazla bilgi için bkz. apı 'leri kullanarak yalnızca azure ad kimlik doğrulamasını yönetme ve azure ad kimlik doğrulamasını yapılandırma ve yönetme SQL .

Not

Yalnızca Azure AD kimlik doğrulaması false olarak ayarlandıysa, varsayılan olarak bir sunucu yöneticisi ve parolasının sunucu veya yönetilen örnek oluşturma işlemi sırasında tüm API 'Lere eklenmesi gerekir.

Azure SQL Veritabanı

Azure CLı komutu az sql server create Yeni bir mantıksal sunucu sağlamak için kullanılır. Aşağıdaki komut, yalnızca Azure AD kimlik doğrulaması etkin olan yeni bir sunucu sağlayacak.

sunucu SQL yönetici oturumu otomatik olarak oluşturulur ve parola rastgele bir parola olarak ayarlanır. SQL kimlik doğrulaması bağlantısı bu sunucu oluşturma ile devre dışı bırakıldığından, SQL yönetici oturumu kullanılmaz.

Azure AD Yöneticisi sunucusu, için ayarladığınız hesap olacaktır <AzureADAccount> ve sunucuyu yönetmek için kullanılabilir.

Örnekteki aşağıdaki değerleri değiştirin:

  • <AzureADAccount>: Bir Azure AD kullanıcısı veya grubu olabilir. Örneğin, DummyLogin
  • <AzureADAccountSID>: Kullanıcı için Azure AD nesne KIMLIĞI
  • <ResourceGroupName>: Mantıksal sunucunuzun kaynak grubunun adı
  • <ServerName>: Benzersiz bir mantıksal sunucu adı kullanın
az sql server create --enable-ad-only-auth --external-admin-principal-type User --external-admin-name <AzureADAccount> --external-admin-sid <AzureADAccountSID> -g <ResourceGroupName> -n <ServerName>

Daha fazla bilgi için bkz. az SQL Server Create.

Oluşturulduktan sonra sunucu durumunu denetlemek için aşağıdaki komuta bakın:

az sql server show --name <ServerName> --resource-group <ResourceGroupName> --expand-ad-admin

Azure SQL Yönetilen Örnek

azure clı komutu, az sql mi create yeni bir azure SQL yönetilen örneği sağlamak için kullanılır. Aşağıdaki komut, yalnızca Azure AD kimlik doğrulaması etkin olan yeni bir yönetilen örnek sağlayacak.

Not

Betik için bir sanal ağ ve bir önkoşul olarak alt ağ oluşturulması gerekir.

yönetilen örnek SQL yönetici oturumu otomatik olarak oluşturulur ve parola rastgele bir parola olarak ayarlanır. SQL kimlik doğrulama bağlantısı bu sağlama ile devre dışı bırakıldığından, SQL yönetici oturumu kullanılmaz.

Azure AD yöneticisi, için ayarladığınız hesap olacaktır <AzureADAccount> ve sağlama tamamlandığında örneği yönetmek için kullanılabilir.

Örnekteki aşağıdaki değerleri değiştirin:

  • <AzureADAccount>: Bir Azure AD kullanıcısı veya grubu olabilir. Örneğin, DummyLogin
  • <AzureADAccountSID>: Kullanıcı için Azure AD nesne KIMLIĞI
  • <managedinstancename>: Oluşturmak istediğiniz yönetilen örneği adlandırın
  • <ResourceGroupName>: Yönetilen örneğiniz için kaynak grubunun adı. Kaynak grubu ayrıca oluşturulan sanal ağı ve alt ağı içermelidir
  • subnetParametresinin,, ve ile güncelleştirilmesi gerekir <Subscription ID> <ResourceGroupName> <VNetName> <SubnetName> . Abonelik KIMLIĞINIZ Azure portal bulunabilir
az sql mi create --enable-ad-only-auth --external-admin-principal-type User --external-admin-name <AzureADAccount> --external-admin-sid <AzureADAccountSID> -g <ResourceGroupName> -n <managedinstancename> --subnet /subscriptions/<Subscription ID>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Network/virtualNetworks/<VNetName>/subnets/<SubnetName>

Daha fazla bilgi için bkz. az SQL mı Create.

Dizin Okuyucularına izinler verin

Yönetilen örneğinin dağıtımı tamamlandıktan sonra Yönetilen Örneğin, yönetilen örneğinize erişmek için Okuma izinlerine Azure Active Directory. Okuma izinleri, yeterli ayrıcalıklara sahip bir kişi tarafından Azure portal iletiye tıklar. Daha fazla bilgi için bkz. Azure Azure Active Directory'da Dizin Okuyucuları SQL.

Gereken Okuma izinlerini gösteren active directory Azure portal menüsünün ekran görüntüsü

Sınırlamalar

  • Sağlama sırasında yalnızca Azure AD Azure portal kimlik doğrulamasının etkinleştirildiğinde sunucu veya örnek oluşturma işlemi şu anda desteklenmiyor.
  • Sunucu yöneticisi parolasını sıfırlamak için yalnızca Azure AD kimlik doğrulaması devre dışı bırakılmıştır.
  • Yalnızca Azure AD kimlik doğrulaması devre dışı bırakıldıysanız, tüm API'leri kullanırken sunucu yöneticisi ve parolası olan bir sunucu oluşturmanız gerekir.

Sonraki adımlar

  • Zaten bir SQL sunucunuz veya yönetilen örneğin varsa ve yalnızca Azure AD kimlik doğrulamasını etkinleştirmek için bkz. Öğretici: AzureAzure Active Directory ile yalnızca kimlik doğrulamasını etkinleştirme SQL.
  • Yalnızca Azure AD kimlik doğrulaması özelliği hakkında daha fazla bilgi için bkz. Azure ad ile yalnızca Azure AD kimlik doğrulaması SQL.
  • Yalnızca Azure AD kimlik doğrulaması etkinken sunucu oluşturmanın zor uygulanmasını arıyorsanız bkz. Yalnızca Azure Azure İlkesi kimlik doğrulaması Azure Active Directory için SQL