Microsoft Entra-autentisering för Azure SQL

gäller för:Azure SQL DatabaseAzure SQL Managed InstanceAzure Synapse Analytics

Den här artikeln innehåller en detaljerad översikt över hur du använder Microsoft Entra-autentisering med Azure SQL Database, Azure SQL Managed Instance, SQL Server på virtuella Azure-datorer, Synapse SQL i Azure Synapse Analytics och SQL Server för Windows och Linux.

Om du vill konfigurera Microsoft Entra-autentisering läser du:

• Azure SQL Database och Azure SQL Managed Instance
• SQL Server på virtuella Azure-datorer

Översikt

Med Microsoft Entra ID kan du centralt hantera identiteter för människor och tjänster i din dataegendom. Genom att integrera Microsoft Entra med Azure SQL för autentisering kan du förenkla identitets- och behörighetshanteringen samtidigt som du aktiverar detaljerad villkorlig åtkomst och styrning för alla anslutningar till dina data.

Användning av Microsoft Entra-autentisering innehåller följande fördelar:

• Ersätter mindre säkra autentiseringsmetoder som användarnamn och lösenord.
• Eliminerar, eller hjälper till att stoppa, spridningen av användaridentiteter mellan servrar.
• Med Microsoft Entra-grupper kan hantering av databasbehörighet abstraheras bort från enskilda konton och till driftgrupper.
• Tillåter lösenordsrotation på en enda plats.
• Microsoft Entra-endast autentisering är ett komplett alternativ till SQL-autentisering.
• Hanterade identiteter för Azure-resurser eliminerar behovet av att lagra lösenord för tjänster som ansluter till dina databaser och anslutningar från dina databaser till andra Azure-resurser.
• Möjliggör moderna säkerhetskontroller, inklusive stark multifaktorautentisering med en rad enkla verifieringsalternativ, till exempel telefonsamtal, sms, smartkort med pin-kod eller mobilappsavisering.
• Microsoft Entra ID möjliggör integrering med många moderna autentiseringsprotokoll, inklusive OpenID Connect, OAuth2.0, Kerberos-begränsad delegering med mera.
• Möjliggör centraliserad övervakning av anslutningar till datakällor.
• Aktiverar kontroller för villkorlig åtkomst, till exempel krav på kompatibla enheter eller autentiseringsmetoder för lyckade anslutningar.
• Hantera och övervaka autentisering centralt med Azure-principer.

Konfigurationssteg

De allmänna stegen för att konfigurera Microsoft Entra-autentisering är:

1. Skapa och fylla i en Microsoft Entra-klientorganisation.
2. Skapa en logisk server eller instans i Azure.
3. Tilldela en Microsoft Entra-administratör till servern eller instansen.
4. Skapa SQL-huvudnamn i databasen som är mappade till Microsoft Entra-identiteter.
5. Konfigurera dina klientprogram för att ansluta med hjälp av Azure Identity-bibliotek och autentiseringsmetoder.
6. Anslut till databasen med Microsoft Entra-identiteter.

Identiteter och autentiseringsmetoder som stöds

Azure SQL stöder användning av följande Microsoft Entra-identiteter som inloggningar och användare (huvudnamn) i dina servrar och databaser:

• Microsoft Entra-användare: Alla typer av användare i en Microsoft Entra-klientorganisation, som omfattar interna användare, externa användare, gäster och medlemmar. Medlemmar i en Active Directory-domän som är federerad med Microsoft Entra-ID stöds också och kan konfigureras för sömlös enkel inloggning.
• Program: program som finns i Azure kan använda tjänstens huvudnamn eller hanterade identiteter för att autentisera direkt till Azure SQL. Att använda hanterade identiteter är att föredra eftersom autentiseringen är lösenordsfri och eliminerar behovet av utvecklarhanterade autentiseringsuppgifter.
• Microsoft Entra-grupper, vilket kan förenkla åtkomsthanteringen i hela organisationen genom att hantera användar- och programåtkomst baserat på gruppmedlemskap.

För användaridentiteter stöds följande autentiseringsmetoder:

• Microsoft Entra Integrated (Windows Authentication) stöds av Microsoft Entra Hybrid Identities with Active Directory [federation].
• Microsoft Entra MFA eller multifaktorautentisering, vilket kräver ytterligare säkerhetskontroller utöver användarens vetskap.
• Microsoft Entra-lösenordsautentisering , som använder användarautentiseringsuppgifter som lagras och hanteras i Microsoft Entra-ID.
• Microsoft Entra Standard-autentisering , som genomsöker olika cacheminnen för autentiseringsuppgifter på programmets dator, och kan använda användartoken för att autentisera till SQL.

För tjänst- eller arbetsbelastningsidentiteter stöds följande autentiseringsmetoder:

• Hanterade identiteter för Azure-resurser, både användartilldelade och systemtilldelade. Hanterad identitetsautentisering är tokenbaserad, där identiteten tilldelas till den resurs som vill autentisera med hjälp av den. Azure Identity-plattformen verifierar den relationen, vilket möjliggör lösenordslös autentisering.
• Microsoft Entra-tjänstens huvudnamn och programhemlighet (klient). Den här autentiseringsmetoden rekommenderas inte på grund av den risk som är kopplad till lösenord som kan gissas och läckas.
• Microsoft Entra-standardautentisering , som söker igenom olika cacheminnen för autentiseringsuppgifter på programmets dator, och kan använda programtoken för att autentisera till SQL.

Microsoft Entra-administratör

För att aktivera Microsoft Entra-autentisering måste en Microsoft Entra-administratör anges för din logiska server eller hanterade instans. Den här administratören finns tillsammans med SQL Server-administratören (SA). Microsoft Entra-administratören kan vara ett säkerhetsobjekt i din Azure-klientorganisation, inklusive Microsoft Entra-användare, grupper, tjänstens huvudnamn och hanterade identiteter. Microsoft Entra-administratören är en unik egenskap, inte en lista, vilket innebär att endast en identitet kan konfigureras när som helst. Om du tar bort Microsoft Entra-administratören från servern inaktiveras alla Microsoft Entra-autentiseringsbaserade anslutningar, även för befintliga Microsoft Entra-användare med behörigheter i en databas.

Microsoft Entra-administratören spelar en särskild roll: det är det första kontot som kan skapa andra Microsoft Entra-inloggningar (i förhandsversion i SQL Database) och användare, som tillsammans kallas för huvudkonton. Administratören är en begränsad databasanvändare i master databasen på servern. Administratörskonton är medlemmar i rollen db_owner i varje användardatabas, och varje användardatabas anges med användaren dbo. Mer information om administratörskonton finns i Hantera databaser och inloggningar.

Microsoft Entra-huvudnamn

Microsoft Entra-identiteter kan skapas som huvudnamn i Azure SQL på tre sätt:

• som serverhuvudnamn eller inloggningar (i förhandsversion för Azure SQL Database)
• som inloggningsbaserade användare (en typ av databasprincipaler)
• som inneslutna databasanvändare

Inloggningar (serverprincipaler)

Serverhuvudnamn (inloggningar) för Microsoft Entra-identiteter är allmänt tillgängliga för Azure SQL Managed Instance, SQL Server 2022 och SQL Server på virtuella Azure-datorer. Microsoft Entra-inloggningar finns i förhandsversion för Azure SQL Database.

Följande T-SQL visar hur du skapar en Microsoft Entra-inloggning:

CREATE LOGIN [MSEntraUser] FROM EXTERNAL PROVIDER

En Microsoft Entra-inloggning har följande egenskapsvärden i sys.server_principals:

Inloggningsbaserade användare

Inloggningsbaserade användare ärver de roller på servernivå och behörigheter som tilldelats dess Microsoft Entra-inloggning. Användare med inloggning via Microsoft Entra är i förhandsgranskning i Azure SQL Database.

Följande T-SQL visar hur du skapar en inloggningsbaserad användare för en Microsoft Entra-identitet:

CREATE USER [MSEntraUser] FROM LOGIN [MSEntraUser]

Följande tabell beskriver de inloggningsbaserade användaregenskapsvärdena för Microsoft Entra i sys.database_principals:

Inhägnade databasanvändare

Inneslutna databasanvändare är flyttbara med databasen. De har inga anslutningar till identiteter som definierats i servern eller instansen och kan därför enkelt flyttas tillsammans med databasen från en server eller instans till en annan utan avbrott.

Följande T-SQL visar hur du skapar en innesluten databasanvändare för en Microsoft Entra-identitet:

CREATE USER [MSEntraUser] FROM EXTERNAL PROVIDER

En Microsoft Entra-databasbaserad användare har samma egenskapsvärden som inloggningsbaserade användare i sys.database_principals, förutom hur den SID konstrueras:

Använd följande T-SQL-konvertering för att hämta det ursprungliga Microsoft Entra-GUID som SID baseras på:

SELECT CAST(sid AS UNIQUEIDENTIFIER) AS EntraID FROM sys.database_principals

Använd följande T-SQL-fråga för att avgöra om en databasanvändare är en inloggningsbaserad användare eller en innesluten databasanvändare:

SELECT CASE
    WHEN CONVERT(VARCHAR(100), sid, 2) LIKE '%AADE' AND len(sid) = 18 THEN 'login-based user'
    ELSE 'contained database user'
    END AS user_type,
    *
FROM sys.database_principals WHERE TYPE = 'E' OR TYPE = 'X'

Använd följande T-SQL-fråga för att visa alla Microsoft Entra-huvudnamn i en databas:

SELECT
  name,
  CAST(sid AS UNIQUEIDENTIFIER) AS EntraID,
  CASE WHEN TYPE = 'E' THEN 'App/User' ELSE 'Group' AS user_type,
  sid
FROM sys.database_principals WHERE TYPE = 'E' OR TYPE = 'X'

Endast Microsoft Entra-autentisering

Med Endast Microsoft Entra-autentisering aktiverat inaktiveras alla andra autentiseringsmetoder och kan inte användas för att ansluta till servern, instansen eller databasen , vilket inkluderar SA och alla andra SQL-autentiseringsbaserade konton för Azure SQL, samt Windows-autentisering för Azure SQL Managed Instance.

Kom igång genom att läsa Konfigurera autentisering med endast Microsoft Entra.

Multifaktorautentisering (MFA)

Microsoft Entra multifaktorautentisering är en säkerhetsfunktion som tillhandahålls av Microsofts molnbaserade tjänst för identitets- och åtkomsthantering. Multifaktorautentisering förbättrar säkerheten för användarinloggningar genom att kräva att användarna tillhandahåller extra verifieringssteg utöver ett lösenord.

Microsoft Entra multifaktorautentisering hjälper till att skydda åtkomsten till data och program samtidigt som användarens efterfrågan på en enkel inloggningsprocess uppfylls. MFA lägger till ett extra säkerhetslager för användarinloggningar genom att kräva att användarna anger två eller flera autentiseringsfaktorer. Dessa faktorer omfattar vanligtvis något som användaren känner till (lösenord), något som användaren har (smartphone eller maskinvarutoken) och/eller något som användaren är (biometriska data). Genom att kombinera flera faktorer minskar MFA avsevärt sannolikheten för obehörig åtkomst.

Multifaktorautentisering är en autentiseringsmetod som stöds för Azure SQL Database, Azure SQL Managed Instance, Azure Synapse Analytics och SQL Server 2022 (16.x) och senare versioner.

Kom igång genom att läsa Konfigurera Microsoft Entra multifaktorautentisering.

Microsoft Entra B2B-support

Microsoft Entra-autentisering i alla SQL-produkter stöder även Microsoft Entra B2B-samarbete, vilket gör det möjligt för företag att bjuda in gästanvändare att samarbeta med sin organisation. Gästanvändare kan ansluta till databaser antingen som enskilda användare eller medlemmar i en Microsoft Entra-grupp. Mer information finns i Skapa gästanvändare.

Förtroendearkitektur för Microsoft Entra-federation till Active Directory

Microsoft Entra ID integreras också med välbekanta lösningar för identitets- och åtkomsthantering som Active Directory. Hybridanslutning med din lokala AD gör det möjligt för Windows-identiteter federerade via Microsoft Entra-ID att använda autentiseringsuppgifter för enkel inloggning för att ansluta till Azure SQL.

För federation tillhandahåller Microsoft Entra-ID två säkra autentiseringsmetoder: direktautentisering och lösenordshashautentisering. Om du överväger att federera din lokala Active Directory till Microsoft Entra-ID läser du Välj rätt autentiseringsmetod för din Hybrididentitetslösning för Microsoft Entra.

Mer information om konfiguration och synkronisering av Microsoft Entra-hybrididentiteter finns i följande artiklar:

• Implementera synkronisering av lösenordshash med Microsoft Entra Connect Sync
• Microsoft Entra-direktautentisering
• Distribuera Active Directory Federation Services i Azure och Microsoft Entra Connect och federationstjänster

Det här diagrammet visar ett exempel på federerad autentisering med ADFS-infrastruktur (eller användare/lösenord för Windows-autentiseringsuppgifter). Pilarna indikerar kommunikationsvägar.

Följande diagram visar federations-, förtroende- och värdrelationer som gör att en klient kan ansluta till en databas genom att skicka en token. Microsoft Entra-ID autentiserar token och databasen litar på den och validerar utfärdaren och annan information. Kund 1 kan representera Microsoft Entra-ID med interna användare eller Microsoft Entra-ID med federerade användare. Kund 2 representerar en möjlig lösning, inklusive importerade användare, i det här exemplet kommer från ett federerat Microsoft Entra-ID med ADFS som synkroniseras med Microsoft Entra-ID. Det är viktigt att förstå att åtkomst till en databas med Microsoft Entra-autentisering kräver att värdprenumerationen är associerad med Microsoft Entra-ID:t. Samma prenumeration måste användas för att skapa Azure SQL- eller Azure Synapse-resurser.

Permissions

Behörigheter som tilldelats Microsoft Entra-administratören skiljer sig från de behörigheter som tilldelats huvudnamn i Azure SQL. I några scenarier behöver Azure SQL även Microsoft Graph-behörigheter för att använda Microsoft Entra-autentisering.

Administratörsbehörigheter

Microsoft Entra-administratören tilldelas följande behörigheter och roller när den skapas:

• db_owner för varje databas på servern eller instansen

Azure SQL-behörigheter

En huvudanvändare behöver behörigheten ALTER ANY USER i databasen för att skapa en användare. Som standard ges ALTER ANY USER till: serveradministratörskonton, databasanvändare med CONTROL ON DATABASE och medlemmar i databasrollen db_owner.

För att skapa en Microsoft Entra-principalen i Azure SQL måste den begärande identiteten fråga Microsoft Graph för detaljer om principalen. Vid den första distributionen är Microsoft Entra-administratören den enda identiteten som har möjlighet att göra frågor mot MS Graph. Därför måste administratören vara den första identiteten som skapar andra Microsoft Entra-principaler. Därefter kan den tilldela ALTER ANY USER till andra huvudnamn så att de även kan skapa andra Microsoft Entra-huvudkonton.

Zero-touch-distributioner med Microsoft Entra-autentisering

Eftersom Microsoft Entra-administratören måste vara den första identiteten för att ansluta till databasen och skapa andra Microsoft Entra-användare kan det vara bra att lägga till identiteten för distributionsinfrastrukturen som administratör. Dina distributioner kan sedan göra en inledande konfiguration som att skapa andra Microsoft Entra-huvudnamn och tilldela dem behörigheter. Distributioner kan använda verktyg som PowerShell ARM-mallar för att skapa automatiskt huvudnamn. Azure SQL har inte stöd för interna API:er i dag för att konfigurera hantering av användarskapande och behörigheter. Dessa åtgärder kan endast utföras med en direkt anslutning till SQL-instansen.

Microsoft Graph-behörigheter

För att skapa Microsoft Entra-huvudkonton och några andra scenarier måste Azure SQL göra Microsoft Graph-anrop för att hämta information om och verifiera förekomsten av identiteten i Microsoft Entra-ID. För att kunna göra det måste SQL-processen ha, eller hämta, åtkomst till MS Graph-läsbehörigheter i kundklientorganisationen, vilket uppnås på några sätt:

• Om SQL-principalen som kör kommandot är en användaridentitet, krävs inga ytterligare behörigheter för att fråga MS Graph på SQL-instansen.
• Om SQL-huvudnamnet som kör kommandot är en tjänstidentitet, till exempel ett tjänsthuvudnamn eller en hanterad identitet, kräver Azure SQL-instansen sina egna behörigheter för att köra frågor mot MS Graph.
  • Programbehörigheter kan tilldelas den primära serveridentiteten (hanterad identitet) för den logiska servern eller den hanterade instansen. SQL-processen kan använda den primära serveridentiteten för att autentisera till andra Azure-tjänster i en klientorganisation, till exempel MS Graph. I följande tabell beskrivs olika scenarier och de MS Graph-behörigheter som krävs för att kommandot ska kunna köras korrekt.

Verktygsstöd

SQL Server Management Studio (SSMS) stöder ett antal anslutningsalternativ för Microsoft Entra-autentisering, inklusive multifaktorautentisering.

SQL Server Data Tools (SSDT) för Visual Studio, från och med 2015, stöder lösenord, integrerad och interaktiv autentisering med Microsoft Entra-ID. Mer information finns i Microsoft Entra ID-stöd i SQL Server Data Tools (SSDT).

• För närvarande visas inte Microsoft Entra-användare i SSDT Object Explorer. Som en lösning kan du visa användarna i sys.database_principals.

Lägsta versioner

Om du vill använda Microsoft Entra-autentisering med Azure SQL behöver du följande lägsta versioner när du använder dessa verktyg:

• SQL Server Management Studio (SSMS) 18.6 eller senare
• SQL Server Data Tools för Visual Studio 2015, version 14.0.60311.1 (april 2016) eller senare
• .NET Framework Data Provider för SqlServer, lägsta version .NET Framework 4.6
• Från och med version 15.0.1 stöder sqlcmd-verktyget och bcp-verktyget Active Directory Interaktiv autentisering med multifaktorautentisering.
• Microsoft JDBC Driver 6.0 för SQL Server stöder Microsoft Entra-autentisering. Se även Ange anslutningsegenskaper.

Ansluta med Microsoft Entra till Azure SQL-resurser

När Microsoft Entra-autentisering har konfigurerats för din Azure SQL-resurs kan du ansluta till med hjälp av SQL Server Management Studio, SQL Server Data Tools och ett klientprogram.

Begränsningar

När du använder Microsoft Entra-autentisering med Azure SQL bör du överväga följande begränsningar:

• Microsoft Entra-användare och tjänsthuvudnamn (Microsoft Entra-program) som är medlemmar i fler än 2048 Microsoft Entra-säkerhetsgrupper stöds inte och kan inte logga in på databasen.

• Följande systemfunktioner stöds inte och returnerar NULL värden när de körs av Microsoft Entra-principaler:

  • SUSER_ID()
  • SUSER_NAME(<ID>)
  • SUSER_SNAME(<SID>)
  • SUSER_ID(<name>)
  • SUSER_SID(<name>)

• Vi rekommenderar att du ställer in tidsgränsen för anslutningen till 30 sekunder.

Azure SQL Database och Azure Synapse Analytics

När du använder Microsoft Entra-autentisering med Azure SQL Database och Azure Synapse Analytics bör du överväga följande begränsningar:

• Microsoft Entra-användare som ingår i en grupp som är medlem i databasrollen db_owner kan se följande fel när de försöker använda syntaxen CREATE DATABASE SCOPED CREDENTIAL mot Azure SQL Database och Azure Synapse:

  SQL Error [2760] [S0001]: The specified schema name 'user@mydomain.com' either doesn't exist or you do not have permission to use it.

  För att mildra CREATE DATABASE SCOPED CREDENTIAL problemet kan du lägga till Microsoft Entra-användarens identitet direkt i rollen db_owner.

• Azure SQL Database och Azure Synapse Analytics skapar inte implicita användare för användare som är inloggade som en del av ett Microsoft Entra-gruppmedlemskap. Därför kan olika åtgärder som kräver tilldelning av ägarskap misslyckas, även om Microsoft Entra-gruppen läggs till som medlem i en roll med dessa behörigheter.

  En användare som är inloggad i en databas via en Microsoft Entra-grupp med db_ddladmin roll kan till exempel inte köra CREATE SCHEMA, ALTER SCHEMAoch andra uttryck för att skapa objekt utan ett uttryckligt definierat schema (t.ex. tabell, vy eller typ). För att lösa detta måste en Microsoft Entra-användare skapas för den användaren, eller så måste Microsoft Entra-gruppen ändras för att tilldela en DEFAULT_SCHEMA sådan som dbo.

• När du använder geo-replikering och redundansgrupper måste Microsoft Entra-administratören konfigureras för både de primära och sekundära servrarna. Om en server inte har någon Microsoft Entra-administratör får Microsoft Entra-inloggningar och användare ett Cannot connect fel.

• Om du tar bort Microsoft Entra-administratören för servern förhindras alla Microsoft Entra-autentiseringsanslutningar till servern. Vid behov kan en SQL Database-administratör släppa oanvändbara Microsoft Entra-användare manuellt.

Hanterad instans i Azure SQL

När du använder Microsoft Entra-autentisering med Azure SQL Managed Instance bör du överväga följande begränsningar:

• Microsoft Entra-serverhuvudkonton (inloggningar) och användare stöds för SQL Managed Instance.

• Det går inte att ange en Microsoft Entra-gruppinloggning som databasägare i SQL Managed Instance.

  • Ett tillägg till detta är att när en grupp läggs till som en del av serverrollen kan användare från den dbcreator här gruppen ansluta till SQL Managed Instance och skapa nya databaser, men kommer inte att kunna komma åt databasen. Det beror på att den nya databasägaren är SA och inte Microsoft Entra-användaren. Det här problemet visas inte om den enskilda användaren läggs till i serverrollen dbcreator .

• Med Microsoft Entra-serverhuvudkonton (inloggningar) för SQL Managed Instance kan du skapa flera inloggningar som kan läggas till i sysadmin rollen.

• Hantering av SQL Agent och utförande av jobb stöds för Microsoft Entra-inloggningar.

• Säkerhetskopierings- och återställningsåtgärder för databaser kan köras av Microsoft Entra-serverhuvudkonton (inloggningar).

• Granskning av alla uttalanden som rör Microsoft Entra-serverprincipaler (inloggningar) och autentiseringshändelser stöds.

• Dedikerad administratörsanslutning för Microsoft Entra-serverhuvudkonton (inloggningar) som är medlemmar i sysadmin-serverrollen stöds.

  • Stöds via SQLCMD-verktyget och SQL Server Management Studio.

• Inloggningsutlösare stöds för inloggningshändelser som kommer från Microsoft Entra-serverhuvudkonton (inloggningar).

• Service Broker och DB-e-post kan konfigureras med hjälp av ett Microsoft Entra-serverhuvudnamn (inloggning).

• När du använder redundansgrupper måste Microsoft Entra-administratören konfigureras för både den primära och den sekundära instansen. Om en instans inte har någon Microsoft Entra-administratör får Microsoft Entra-inloggningar och användare ett Cannot connect fel.

• PolyBase kan inte autentisera med Microsoft Entra-autentisering.

• Om du tar bort Microsoft Entra-administratören för instansen förhindras alla Microsoft Entra-autentiseringsanslutningar till instansen. Vid behov kan en SQL Managed Instance-administratör släppa oanvändbara Microsoft Entra-användare manuellt.

Relaterat innehåll

• Konfigurera och hantera Microsoft Entra-autentisering med Azure SQL
• Självstudie: Skydda med Microsoft Entra-inloggningar – Azure SQL Managed Instance
• Auktorisera databasåtkomst till SQL Database, SQL Managed Instance och Azure Synapse Analytics
• Databashuvudnamn
• Databasroller
• CREATE LOGIN-syntax för SQL Managed Instance Microsoft Entra serverprincipaler (inloggningar)
• Azure SQL Database- och Azure Synapse IP-brandväggsregler