Autentisera med Microsoft Entra ID i sqlcmd

2025-07-04

Gäller för:SQL Server Azure SQL Database Azure SQL Managed Instance Azure Synapse Analytics Analysplattformssystem (PDW)SQL-databas i Förhandsversion av Microsoft Fabric

sqlcmd stöder en mängd olika Microsoft Entra-autentiseringsmodeller, beroende på vilken version du har installerat.

Note

Även om Microsoft Entra ID är det nya namnet för Azure Active Directory (Azure AD), för att förhindra avbrott i befintliga miljöer, förblir Azure AD fortfarande i vissa hårdkodade element som gränssnittsfält, anslutningsproviders, felkoder och cmdletar. I den här artikeln är de två namnen utbytbara.

Information om vilken variant och version av sqlcmd som är installerad på systemet finns i Kontrollera installerad version av sqlcmd-verktyget. Information om hur du hämtar sqlcmd finns i Ladda ned och installera sqlcmd-verktyget.

sqlcmd (Go)
sqlcmd (ODBC)

sqlcmd (Go) stöder fler Microsoft Entra-autentiseringsmodeller, baserat på azidentity-paketet. Implementeringen förlitar sig på en Microsoft Entra-anslutning i go-sqlcmd-drivrutin.

Kommandoradsargument

Om du vill använda Microsoft Entra-autentisering kan du använda en av två kommandoradsväxlar.

-G är (mestadels) kompatibelt med dess användning i sqlcmd (ODBC). Om ett användarnamn och lösenord anges autentiseras det med hjälp av Microsoft Entra-lösenordsautentisering. Om ett användarnamn anges använder det interaktiv Microsoft Entra-autentisering, som kan visa en webbläsare. Om inget användarnamn eller lösenord anges använder det en DefaultAzureCredential, som försöker autentisera via olika mekanismer.

--authentication-method= kan användas för att ange någon av följande autentiseringstyper.

ActiveDirectoryDefault

En översikt över typerna av autentisering som används i det här läget hänvisas till i Standardautentisering för Azure.
Välj den här metoden om dina databasautomatiseringsskript är avsedda att köras i både lokala utvecklingsmiljöer och i en produktionsdistribution i Azure. I utvecklingsmiljön kan du använda en klienthemlighet eller en Azure CLI-inloggning. Utan att ändra skriptet från utvecklingsmiljön kan du använda en hanterad identitet eller klienthemlighet i produktionsdistributionen.
Det är nödvändigt att ange miljövariabler AZURE_TENANT_ID och AZURE_CLIENT_ID för att DefaultAzureCredential ska kunna börja kontrollera miljökonfigurationen och leta efter någon av följande ytterligare miljövariabler för att kunna autentisera:
- Om du ställer in miljövariabeln AZURE_CLIENT_SECRET konfigureras DefaultAzureCredential att välja ClientSecretCredential.
- Om du ställer in miljövariabeln AZURE_CLIENT_CERTIFICATE_PATH konfigureras DefaultAzureCredential att välja ClientCertificateCredential om AZURE_CLIENT_SECRET inte har angetts.
Om du ställer in miljövariabeln AZURE_USERNAME konfigureras DefaultAzureCredential att välja UsernamePasswordCredential om AZURE_CLIENT_SECRET och AZURE_CLIENT_CERTIFICATE_PATH inte har angetts.

ActiveDirectoryIntegrated

Den här metoden implementeras för närvarande inte och återgår till ActiveDirectoryDefault.

ActiveDirectoryPassword

Den här metoden autentiserar med ett användarnamn och lösenord. Det fungerar inte om MFA krävs.
Du anger användarnamn och lösenord med hjälp av vanliga kommandoradsväxlar eller SQLCMD miljövariabler.
Ange AZURE_TENANT_ID en miljövariabel till serverns tenant-ID om du inte använder användarens standardtenant.

ActiveDirectoryInteractive

Den här metoden startar en webbläsare för att autentisera användaren.

ActiveDirectoryManagedIdentity

Använd den här metoden när du kör sqlcmd (Go) på en virtuell Azure-dator som antingen har en systemtilldelad eller användartilldelad hanterad identitet. Om du använder en användartilldelad hanterad identitet anger du användarnamnet till klient-ID för den hanterade identiteten. Om du använder en systemtilldelad identitet lämnar du användarnamnet tomt.

Det här exemplet visar hur du ansluter med hjälp av en tjänsttilldelad hanterad identitet (SAMI):

sqlcmd -S testsrv.database.windows.net -d Target_DB_or_DW --authentication-method ActiveDirectoryManagedIdentity

Det här exemplet visar hur du ansluter med en användartilldelad hanterad identitet (UAMI) genom att lägga till klient-ID för den användartilldelade hanterade identiteten:

sqlcmd -S testsrv.database.windows.net -d Target_DB_or_DW --authentication-method ActiveDirectoryManagedIdentity -U <user-assigned-managed-identity-client-id>

ActiveDirectoryServicePrincipal

Den här metoden autentiserar det angivna användarnamnet som ett tjänsthuvudnamns-ID och lösenordet som klienthemlighet för tjänstens huvudnamn. Ange ett användarnamn i formuläret <application (client) ID>. Ange SQLCMDPASSWORD variabel till klienthemligheten. Om du använder ett certifikat i stället för en klienthemlighet anger du AZURE_CLIENT_CERTIFICATE_PATH miljövariabel till sökvägen till certifikatfilen.

sqlcmd -S testsrv.database.windows.net -d Target_DB_or_DW --authentication-method ActiveDirectoryServicePrincipal -U <Application (client) ID> -P <client secret>

Miljövariabler för Microsoft Entra-autentisering

Vissa Microsoft Entra-autentiseringsinställningar har inte kommandoradsindata och vissa miljövariabler används direkt av azidentity-paketet som används av sqlcmd (Go).

Dessa miljövariabler kan ställas in för att konfigurera vissa aspekter av Microsoft Entra-autentisering och kringgå standardbeteenden. Förutom variablerna som angavs tidigare är följande specifika för sqlcmd (Go) och gäller för flera metoder.

SQLCMDCLIENTID

Ange miljövariabeln till identifieraren för ett program som är registrerat i Microsoft Entra, som har behörighet att autentisera till Azure SQL Database. Gäller metoderna ActiveDirectoryInteractive och ActiveDirectoryPassword.

Alternativet -G används av sqlcmd (ODBC) när du ansluter till Azure SQL Database eller Azure Synapse Analytics för att ange att användaren ska autentiseras med Microsoft Entra-autentisering. Det här alternativet anger sqlcmd skriptvariabel SQLCMDUSEAAD=true.

Alternativet -G kräver minst sqlcmd version 13.1. Microsoft Entra interaktiv autentisering kräver sqlcmd (ODBC) version 15.0.1000.34 och senare versioner, samt ODBC version 17.2 och senare versioner.
Microsoft Entra-integrerad autentisering kräver Microsoft ODBC-drivrutin för SQL Server version 17.6.1 och senare versioner och en korrekt konfigurerad Kerberos-miljö.
Alternativet -G gäller endast för Azure SQL Database och Azure Synapse Analytics.
Interaktiv Microsoft Entra-autentisering stöds för närvarande inte i Linux eller macOS.

För att fastställa din version kör du sqlcmd "-?". Mer information finns i Microsoft Entra-autentisering för Azure SQL. Alternativet -A stöds inte med alternativet -G.

Användarnamn och lösenord för Microsoft Entra

När du vill använda ett Användarnamn och lösenord för Microsoft Entra kan du ange alternativet -G med användarnamn och lösenord med hjälp av alternativen -U och -P.

sqlcmd -S testsrv.database.windows.net -d Target_DB_or_DW -U bob@contoso.com -P MyAzureADPassword -G

Parametern -G genererar följande anslutningssträng i serverdelen:

SERVER = Target_DB_or_DW.testsrv.database.windows.net;UID=bob@contoso.com;PWD=MyAzureADPassword;AUTHENTICATION=ActiveDirectoryPassword;

Microsoft Entra-integrerad autentisering

För Microsoft Entra-integrerad autentisering anger du alternativet -G utan användarnamn eller lösenord.

sqlcmd -S Target_DB_or_DW.testsrv.database.windows.net -G

Det här kommandot genererar följande anslutningssträng i serverdelen:

SERVER = Target_DB_or_DW.testsrv.database.windows.net;Authentication=ActiveDirectoryIntegrated;Trusted_Connection=NO;

Note

Alternativet -E (Trusted_Connection) kan inte användas tillsammans med alternativet -G .

Interaktiv Microsoft Entra-autentisering

Med interaktiv Microsoft Entra-autentisering för Azure SQL Database och Azure Synapse Analytics kan du använda en interaktiv metod som stöder multifaktorautentisering. Mer information finns i interaktiv Active Directory-autentisering.

Om du vill aktivera interaktiv autentisering anger du alternativet -G med användarnamn ( endast-U) utan lösenord.

I följande exempel exporteras data med interaktivt Microsoft Entra-läge som anger ett användarnamn där användaren representerar ett Microsoft Entra-konto. Det här är samma exempel som användes i föregående avsnitt, Användarnamn och lösenord för Microsoft Entra.

Interaktivt läge kräver att du anger ett lösenord manuellt, eller att du slutför den konfigurerade MFA-autentiseringsmetoden för konton med multifaktorautentisering aktiverat.

sqlcmd -S testsrv.database.windows.net -d Target_DB_or_DW -G -U alice@aadtest.onmicrosoft.com

Föregående kommando genererar följande anslutningssträng i serverdelen:

SERVER = Target_DB_or_DW.testsrv.database.windows.net;UID=alice@aadtest.onmicrosoft.com;AUTHENTICATION=ActiveDirectoryInteractive

Om en Microsoft Entra-användare är en domänansluten användare med ett Windows-konto innehåller användarnamnet som krävs på kommandoraden dess domänkonto (till exempel joe@contoso.com):

sqlcmd -S testsrv.database.windows.net -d Target_DB_or_DW -G -U joe@contoso.com

Om gästanvändare finns i en specifik Microsoft Entra-klientorganisation och ingår i en grupp som finns i Azure SQL Database som har databasbehörighet för att köra kommandot sqlcmd används deras gästanvändaralias (till exempel keith0@adventureworks.com).

Important

Det finns ett känt problem när du använder -G och -U-alternativen med sqlcmd (ODBC), där alternativet -U före alternativet -G kan leda till att autentisering misslyckas. Börja alltid med alternativet -G följt av alternativet -U.

Feedback

Var den här sidan till hjälp?