Delen via

Verbinding maken met Azure SQL-resource met Microsoft Entra-verificatie

van toepassing op:Azure SQL DatabaseAzure SQL Managed InstanceAzure Synapse Analytics-

In dit artikel leest u hoe u Microsoft Entra-verificatie gebruikt om verbinding te maken met Azure SQL Database, Azure SQL Managed Instance en Azure Synapse Analytics.

Vereiste voorwaarden

Als u verbinding wilt maken met uw Azure SQL-resource, moet u Microsoft Entra-verificatie voor uw resource hebben geconfigureerd.

Als u wilt controleren of de Microsoft Entra-beheerder juist is ingesteld, maakt u verbinding met de master database met behulp van het Microsoft Entra-beheerdersaccount. Als u een op Microsoft Entra gebaseerde ingesloten databasegebruiker wilt maken, maakt u verbinding met de database met een Microsoft Entra-identiteit met toegang tot de database en ten minste de ALTER ANY USER machtiging.

Verbinding maken met SSMS of SSDT

De volgende procedures laten zien hoe u verbinding maakt met SQL Database met een Microsoft Entra-identiteit met behulp van SQL Server Management Studio (SSMS) of SQL Server Database Tools (SSDT).

Microsoft Entra geïntegreerd

Gebruik deze methode als u zich wilt aanmelden met uw Windows-referenties die zijn gefedereerd in Microsoft Entra-id. Zie Naadloze eenmalige aanmelding van Microsoft Entra voor meer informatie.

  1. Start SSMS of SSDT en klik op het tabblad Aanmelden van het dialoogvenster Verbinding maken met server (of verbinding maken met database-engine):

    1. Geef de servernaam op in de indeling <server-name>.database.windows.net.
    2. Voor verificatie selecteert u Microsoft Entra Integrated. U hoeft geen wachtwoord in te voeren omdat uw bestaande inloggegevens worden gebruikt voor de verbinding.
    3. Voor Versleuteling selecteert u Strikt (SQL Server 2022 en Azure SQL), dat moet worden gebruikt om verbinding te maken met Azure SQL-resources.

    Schermopname van SSMS met geïntegreerde Microsoft Entra-verificatie.

  2. Typ op het tabblad Verbindingseigenschappen in het veld Verbinding maken met database de naam van de gebruikersdatabase waarmee u verbinding wilt maken.

    Schermopname van SSMS van het menu Opties.

Wachtwoord voor Microsoft Entra

Gebruik deze methode wanneer u verbinding maakt met een Microsoft Entra-principalnaam met behulp van het door Microsoft Entra beheerde domein. U kunt het ook gebruiken voor federatieve accounts zonder toegang tot het domein wanneer u bijvoorbeeld op afstand werkt.

Gebruik deze methode om te authenticeren bij de database in SQL Database of SQL Managed Instance voor gebruikers met alleen een cloudidentiteit van Microsoft Entra, of gebruikers die hybride identiteiten van Microsoft Entra gebruiken. Deze methode ondersteunt gebruikers die hun Windows-referenties willen gebruiken, maar hun lokale computer is niet gekoppeld aan het domein (bijvoorbeeld met externe toegang). In dit geval kan een Windows-gebruiker hun domeinaccount en wachtwoord aangeven en hiermee authenticeren bij de database in SQL Database, de beheerde SQL-instantie of Azure Synapse.

  1. Start SSMS of SSDT en klik op het tabblad Aanmelden van het dialoogvenster Verbinding maken met server (of verbinding maken met database-engine):

    1. Geef de servernaam op in de indeling <server-name>.database.windows.net.
    2. Voor verificatie selecteert u Microsoft Entra-wachtwoord.
    3. Typ uw Microsoft Entra-gebruikersnaam in het vak Gebruikersnaam in de notatie username@domain.com. Gebruikersnamen moeten een account zijn van Microsoft Entra ID of een account uit een beheerd of federatief domein met Microsoft Entra-id.
    4. Typ in het vak Wachtwoord uw gebruikerswachtwoord voor het Microsoft Entra-account of het beheerde/federatieve domeinaccount.
    5. Voor Versleuteling selecteert u Strikt (SQL Server 2022 en Azure SQL), dat moet worden gebruikt om verbinding te maken met Azure SQL-resources.

    Schermopname van SSMS met behulp van Microsoft Entra-wachtwoordverificatie.

  2. Typ op het tabblad Verbindingseigenschappen in het veld Verbinding maken met database de naam van de gebruikersdatabase waarmee u verbinding wilt maken.

    Schermopname van SSMS van het menu Opties.

Microsoft Entra MFA

Gebruik deze methode voor interactieve verificatie met meervoudige verificatie (MFA), waarbij het wachtwoord interactief wordt aangevraagd. Deze methode kan worden gebruikt om te authenticeren bij databases in SQL Database, SQL Managed Instance en Azure Synapse Analytics voor cloud-only identiteitsgebruikers van Microsoft Entra, of voor gebruikers van hybride identiteiten van Microsoft Entra.

De volgende stappen laten zien hoe u verbinding maakt met behulp van meervoudige verificatie in de nieuwste versie van SSMS.

  1. Als u verbinding wilt maken met behulp van MFA, selecteert u Microsoft Entra MFA in het dialoogvenster Verbinding maken met server in SSMS.

    Schermopname van het dialoogvenster Verbinding maken met server in SSMS. 'Microsoft Entra MFA' is geselecteerd in het vervolgkeuzelijstvenster voor verificatie.

  2. Vul het vak Servernaam in met de naam van uw server. Vul het vak Gebruikersnaam in met uw Microsoft Entra-referenties, in de indeling user_name@domain.com.

    Schermopname van de dialoogvensterinstellingen Voor verbinding maken met server in SSMS, met alle velden ingevuld.

  3. Selecteer Maak verbinding met.

  4. Wanneer het dialoogvenster Aanmelden bij uw account wordt weergegeven, moet deze vooraf worden ingevuld met de gebruikersnaam die u in stap 2 hebt opgegeven. Er is geen wachtwoord vereist als een gebruiker deel uitmaakt van een domein dat is gefedereerd met Microsoft Entra-id.

    Schermopname van het dialoogvenster Aanmelden bij uw account voor Azure SQL Database en Data Warehouse. De accountnaam wordt ingevuld.

  5. U wordt gevraagd om te verifiëren met behulp van een van de methoden die zijn geconfigureerd op basis van de MFA-beheerdersinstelling.

  6. Wanneer de verificatie is voltooid, maakt SSMS normaal verbinding, vooropgesteld dat geldige inloggegevens en firewalltoegang aanwezig zijn.

Microsoft Entra-service-principal

Gebruik deze methode om te authenticeren bij de database in SQL Database of SQL Managed Instance met Microsoft Entra-serviceprincipals (Microsoft Entra-toepassingen). Zie Microsoft Entra-service-principals met Azure SQL voor meer informatie.

Microsoft Entra Managed Identity

Gebruik deze methode om te authenticeren in SQL Database of SQL Managed Instance met beheerde identiteiten van Microsoft Entra. Voor meer informatie, zie Beheerde identiteiten in Microsoft Entra voor Azure SQL.

Microsoft Entra Default

De optie Standaardverificatie met Microsoft Entra-id maakt verificatie mogelijk die wordt uitgevoerd via wachtwoordloze en niet-interactieve mechanismen, waaronder beheerde identiteiten.

Verbinding maken vanuit een clienttoepassing

In de volgende procedures ziet u hoe u vanuit een clienttoepassing verbinding maakt met een SQL Database met een Microsoft Entra-identiteit. Dit is geen uitgebreide lijst met verificatiemethoden bij het gebruik van een Microsoft Entra-identiteit. Zie Verbinding maken met Azure SQL met Microsoft Entra-verificatie en SqlClient voor meer informatie.

Uw clienttoepassingen configureren

Opmerking

System.Data.SqlClient maakt gebruik van de Azure Active Directory Authentication Library (ADAL), die is afgeschaft. Als u de naamruimte System.Data.SqlClient voor Microsoft Entra-verificatie gebruikt, migreert u toepassingen naar Microsoft.Data.SqlClient en de Microsoft Authentication Library (MSAL). Zie Verbinding maken met Azure SQL met Microsoft Entra-verificatie en SqlClient voor meer informatie over de verbindingsmethoden die beschikbaar zijn in .NET.

Als u ADAL.DLL in uw toepassingen moet blijven gebruiken, kunt u de koppelingen in deze sectie gebruiken om het nieuwste ODBC- of OLE DB-stuurprogramma te installeren, dat de meest recente ADAL.DLL bibliotheek bevat.

Op alle clientcomputers van waaruit uw toepassingen of gebruikers verbinding maken met SQL Database of Azure Synapse Analytics met behulp van Microsoft Entra-identiteiten, moet u de volgende software installeren:

U kunt aan deze vereisten voldoen door:

Geïntegreerde Microsoft Entra-verificatie

Als u geïntegreerde Windows-verificatie wilt gebruiken, moet Active Directory van uw domein worden gefedereerd met Microsoft Entra-id of moet het een beheerd domein zijn dat is geconfigureerd voor naadloze eenmalige aanmelding voor passthrough- of wachtwoord-hashverificatie. Zie Naadloze eenmalige aanmelding van Microsoft Entra voor meer informatie.

Uw clienttoepassing (of een service) die verbinding maakt met de database, moet worden uitgevoerd op een computer die lid is van een domein onder de domeinreferenties van een gebruiker.

Als u verbinding wilt maken met een database met geïntegreerde verificatie en een Microsoft Entra-identiteit, moet het Authentication trefwoord in de databaseverbindingsreeks worden ingesteld op Active Directory Integrated. Vervang door <server_name> de naam van de logische server. In het volgende C#-codevoorbeeld wordt ADO .NET gebruikt.

string ConnectionString = @"Data Source=<server-name>.database.windows.net; Authentication=Active Directory Integrated; Initial Catalog=testdb;";
SqlConnection conn = new SqlConnection(ConnectionString);
conn.Open();

Het trefwoord Integrated Security=True verbindingsreeks wordt niet ondersteund voor het maken van verbinding met Azure SQL Database. Wanneer u een ODBC-verbinding maakt, moet u spaties verwijderen en verificatie instellen op ActiveDirectoryIntegrated.

Wachtwoordverificatie voor Microsoft Entra

Als u verbinding wilt maken met een database met behulp van gebruikersaccounts voor identiteiten in de cloud van Microsoft Entra of gebruikers die hybride Identiteiten van Microsoft Entra gebruiken, moet het trefwoord Verificatie worden ingesteld op Active Directory Password. De verbindingsreeks moet trefwoorden en waarden voor gebruikers-id/UID wachtwoord/PWD bevatten. Vervang , <server_name>en <email_address> door <password>de juiste waarden. In het volgende C#-codevoorbeeld wordt ADO .NET gebruikt.

string ConnectionString =
@"Data Source=<server-name>.database.windows.net; Authentication=Active Directory Password; Initial Catalog=testdb; UID=<email_address>; PWD=<password>";
SqlConnection conn = new SqlConnection(ConnectionString);
conn.Open();

Meer informatie over Microsoft Entra-verificatiemethoden met behulp van de democodevoorbeelden die beschikbaar zijn op GitHub-demo voor Microsoft Entra-verificatie.

Microsoft Entra ID-toegangstoken

Met deze verificatiemethode kunnen services in de middelste laag JSON-webtokens (JWT) verkrijgen om verbinding te maken met de database in SQL Database, sql Managed Instance of Azure Synapse door een token van Microsoft Entra ID te verkrijgen. Deze methode maakt verschillende toepassingsscenario's mogelijk, waaronder service-id's, service-principals en toepassingen met behulp van verificatie op basis van certificaten. U moet vier basisstappen uitvoeren voor het gebruik van Microsoft Entra-tokenverificatie:

  1. Registreer uw toepassing bij Microsoft Entra ID en haal de client-id voor uw code op.
  2. Maak een databasegebruiker die de toepassing vertegenwoordigt (zoals beschreven in de sectie Ingesloten gebruikers maken die zijn toegewezen aan de sectie Microsoft Entra-identiteiten ).)
  3. Maak een certificaat op de clientcomputer waarop de toepassing wordt uitgevoerd.
  4. Voeg het certificaat toe als sleutel voor uw toepassing.

Voorbeeldverbindingsreeks. Vervang door <server-name> de naam van uw logische server:

string ConnectionString = @"Data Source=<server-name>.database.windows.net; Initial Catalog=testdb;";
SqlConnection conn = new SqlConnection(ConnectionString);
conn.AccessToken = "Your JWT token";
conn.Open();

Zie sql Server Security Blog voor meer informatie. Zie Aan de slag met verificatie op basis van certificaten in Microsoft Entra-id voor meer informatie over het toevoegen van een certificaat.

Meervoudige verificatie van Microsoft Entra

Meervoudige verificatie van Microsoft Entra is een ondersteunde verificatiemethode voor alle SQL-hulpprogramma's. Zie het overzicht van de Microsoft Authentication Library (MSAL) voor informatie over programmatisch verifiëren met Microsoft Entra ID.

sqlcmd

De volgende instructies maken verbinding met versie 13.1 van sqlcmd. Download Microsoft Command Line Utilities 14.0 voor SQL Server.

Opmerking

sqlcmd met de -G opdracht werkt niet met systeemidentiteiten en vereist een gebruikersaanmelding.

sqlcmd -S <database or datawarehouse name>.<server-name>.database.windows.net -G
sqlcmd -S <database or datawarehouse name>.<server-name>.database.windows.net -U adrian@contoso.com -P <password> -G -l 30

Verbinding maken in Azure Portal Query-editor (Azure SQL Database)

Zie Quickstart: De Query-editor van Azure Portal gebruiken om een query uit te voeren op Azure SQL Database voor meer informatie over de Query-editor van Azure Portal voor Azure SQL Database.

  1. Navigeer naar uw SQL-database in Azure Portal. Ga bijvoorbeeld naar de pagina van uw Azure SQL-hub en selecteer uw Azure SQL Database.

  2. Selecteer query-editor in het resourcemenu op de overzichtspagina van uw SQL-database in Azure Portal.

  3. Selecteer > op het aanmeldingsscherm onder Welkom bij SQL Database Query Editor.

Verwante inhoud