Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Týká se:Azure SQL Database
V tomto článku se dozvíte o:
- Možnosti konfigurace pro Azure SQL Database, které uživatelům umožňují provádět úlohy správy a přistupovat k datům uloženým v těchto databázích.
- Po vytvoření nového serveru získejte přístup ke konfiguraci a autorizaci.
- Postup přidání přihlašovacích údajů a uživatelských účtů v
masterdatabázi a udělení oprávnění správce těchto účtů - Postup přidání uživatelských účtů do uživatelských databází, ať už jsou přidruženy k přihlášením, nebo jako zahrnované uživatelské účty.
- Konfigurace uživatelských účtů s oprávněními v uživatelských databázích pomocí databázových rolí a explicitních oprávnění
- Informace o Azure SQL Managed Instance najdete v tématu Autorizace přístupu k databázi k SQL Managed Instance.
- Informace o Azure Synapse Analytics naleznete v tématu Autorizace přístupu k databázi k Azure Synapse Analytics.
Poznámka:
ID Microsoft Entra se dříve označovalo jako Azure Active Directory (Azure AD).
Ověřování a autorizace
Ověřování je proces prokazování, že je uživatel tím, za koho se vydává. Uživatel se připojí k databázi pomocí uživatelského účtu.
Uživatel při pokusu o připojení k databázi zadá uživatelský účet a ověřovací informace. Uživatel se ověřuje pomocí jedné z následujících dvou metod ověřování:
-
Pomocí této metody ověřování uživatel odešle uživatelské jméno a přidružené heslo k navázání připojení. Databáze
masterukládá toto heslo pro uživatelské účty propojené s přihlášením. Databáze obsahující uživatelské účty, které nejsou propojené s přihlašovacím účtem, ukládá heslo.Poznámka:
Azure SQL Database vynucuje složitost hesel pouze v rámci zásad hesel.
Ověřování Microsoft Entra pro Azure SQL
Pomocí této metody ověřování uživatel odešle jméno uživatelského účtu a požádá, aby služba používala informace o přihlašovacích údajích uložených v Microsoft Entra ID (formerly Azure Active Directory).
Přihlášení a uživatelé: Uživatelský účet v databázi můžete přidružit k přihlášení, které master databáze ukládá, nebo můžete nastavit uživatelské jméno, které ukládá jednotlivá databáze.
-
Přihlášení je účet v
masterdatabázi, ke kterému můžete propojit uživatelský účet v jedné nebo více databázích. Pomocí přihlášení uložíte přihlašovací údaje pro uživatelský účet s přihlášením. - Uživatelský účet je individuální účet v jakékoli databázi, která může být, ale nemusí být propojená s přihlášením. Když použijete uživatelský účet, který není propojen s přihlašovacími údaji, uložíte přihlašovací údaje k uživatelskému účtu.
Autorizace pro přístup k datům a provádění různých akcí se spravuje pomocí databázových rolí a explicitních oprávnění. Autorizace odkazuje na oprávnění přiřazená uživateli a určuje, co smí daný uživatel dělat. Autorizaci řídí členství v rolích databáze vašeho uživatelského účtu a oprávnění na úrovni objektů. Osvědčeným postupem je udělit uživatelům nejnižší potřebná oprávnění.
Existující přihlášení a uživatelské účty po vytvoření nové databáze
Při prvním nasazení prostředku Azure SQL zadejte přihlašovací jméno a heslo pro speciální typ přihlášení správce, správce serveru Server admin. Během nasazování dojde k následující konfiguraci přihlášení a uživatelů v master a uživatelských databázích:
Důležité
Do pole přihlašovacího jména správce serveru nezahrnujte žádné osobní, citlivé ani důvěrné informace. Data zadaná v tomto poli se nepovažují za zákaznická data.
- Proces nasazení vytvoří přihlášení pro ověřování SQL s administrátorskými oprávněními s názvem přihlášení, který jste zadali. Přihlášení je individuální účet pro přihlášení k Azure SQL Database.
- Proces nasazení uděluje tomuto přihlášení plná oprávnění správce ke všem databázím jako objektu zabezpečení na úrovni serveru. Přihlášení má všechna dostupná oprávnění a není možné ho omezit.
- Když se tento účet přihlásí k databázi, odpovídá speciálnímu uživatelskému účtu (
dbo), který existuje v každé uživatelské databázi. Uživatel dbo má všechna oprávnění databáze v databázi a je členemdb_ownerpevné databázové role. Další pevné databázové role jsou popsány dále v tomto článku.
Identifikace účtu správce serveru :
- Přejděte do centra Azure SQL v aka.ms/azuresqlhub.
- V nabídce prostředků přejděte na logický server Azure SQL Database.
- V části Nastavení vyberte stránku Vlastnosti .
- Zobrazte hodnoty pro přihlášení správce serveru nebo správce Microsoft Entra.
Důležité
Po vytvoření nemůžete změnit název účtu správce serveru . Pokud chcete resetovat heslo správce serveru, přejděte na web Azure Portal, vyberte SQL Servery, ze seznamu vyberte server a pak vyberte Resetovat heslo.
Vytvoření dalších přihlášení a uživatelů s oprávněními správce
V tomto okamžiku je váš logický server SQL nakonfigurovaný pro přístup pomocí jednoho přihlášení k ověřování SQL a uživatelského účtu. Pokud chcete vytvořit další přihlášení s úplnými nebo částečnými oprávněními správce, použijte následující možnosti.
Vytvoření účtu správce Microsoft Entra s úplnými oprávněními správce
Povolte ověřování Microsoft Entra a přidejte správce Microsoft Entra. Jeden účet Microsoft Entra můžete nakonfigurovat jako správce nasazení Azure SQL s úplnými oprávněními správce. Tento účet může být individuální nebo účet bezpečnostní skupiny. Pokud chcete pro připojení k Azure SQL Database použít účty Microsoft Entra, musíte nakonfigurovat správce Microsoft Entra. Podrobné informace o povolení ověřování Microsoft Entra pro všechny typy nasazení Azure SQL najdete v následujících článcích:
Ve službě SQL Database vytvořte přihlášení ověřování SQL s omezenými oprávněními správce.
- V databázi
mastervytvořte další přihlašovací účet pro ověřování SQL.- Pomocí příkazu ALTER SERVER ROLE přidejte přihlášení k
##MS_DatabaseManager####MS_LoginManager##a##MS_DatabaseConnector##, a to pomocí příkazu ALTER SERVER ROLE.
- Pomocí příkazu ALTER SERVER ROLE přidejte přihlášení k
Členové speciálních
masterdatabázových rolí pro Azure SQL Database mají oprávnění vytvářet a spravovat databáze nebo vytvářet a spravovat přihlášení. V databázích vytvořených uživatelem, který je členemdbmanagerrole, je člen mapován nadb_ownerpevnou roli databáze a může se přihlásit a spravovat tuto databázi pomocídbouživatelského účtu. Tyto role nemají žádná explicitní oprávnění mimomasterdatabázi.Důležité
V Azure SQL Database nemůžete vytvořit další přihlášení ověřování SQL s úplnými oprávněními správce. Pouze účet správce serveru nebo účet správce Microsoft Entra (který může být skupinou Microsoft Entra) mohou přidávat nebo odebírat další přihlašovací údaje do nebo ze serverových rolí. Toto omezení je specifické pro Azure SQL Database.
- V databázi
Vytváření účtů pro uživatele bez oprávnění správce
Účty pro uživatele bez oprávnění správce vytvořte pomocí jedné z následujících metod:
Vytvoření přihlášení
Vytvořte v databázi
masterpřihlašovací jméno pro ověřování SQL. Pak v každé databázi vytvořte uživatelský účet, ke kterému musí uživatel přistupovat, a přidružit ho k přihlášení. Tento přístup použijte, když uživatel potřebuje přístup k více databázím a chcete zachovat synchronizovaná hesla. Tento přístup ale při použití s geografickou replikací zvyšuje složitost, protože musíte vytvořit přihlášení na primárním i sekundárním serveru. Další informace najdete v tématu Konfigurace a správa zabezpečení služby Azure SQL Database pro geografické obnovení nebo převzetí služeb při selhání.Vytvoření uživatelského účtu
V databázi vytvořte uživatelský účet, ke kterému uživatel potřebuje přístup (označovaný také jako uživatel s omezením).
Pomocí tohoto přístupu se informace o ověřování uživatelů ukládají v každé databázi a automaticky se replikují do geograficky replikovaných databází. Pokud ale stejný účet existuje ve více databázích a používáte ověřování SQL, musíte hesla synchronizovat ručně. Kromě toho platí, že pokud má uživatel účet v různých databázích s různými hesly, může to být problém.
Důležité
Pokud chcete vytvořit obsažené uživatele namapované na identity Microsoft Entra, musíte být přihlášeni pomocí účtu Microsoft Entra k databázi ve službě Azure SQL Database.
Příklady, které ukazují, jak vytvářet přihlášení a uživatele, najdete tady:
- Vytvoření přihlášení pro Azure SQL Database
- Vytvoření uživatele
- Vytváření řízených uživatelů Microsoft Entra
Návod
Kurz zabezpečení, který zahrnuje vytváření uživatelů ve službě Azure SQL Database, najdete v tématu Kurz: Zabezpečení databáze ve službě Azure SQL Database.
Použití pevných a vlastních databázových rolí
Po vytvoření uživatelského účtu v databázi, a to buď na základě přihlášení, nebo jako obsaženého uživatele, můžete autorizovat tohoto uživatele k provádění různých akcí a přístupu k datům v konkrétní databázi. K autorizaci přístupu použijte následující metody:
Pevné databázové role
Přidejte uživatelský účet do pevné databázové role. Existuje devět pevných databázových rolí, z nichž každá má definovanou sadu oprávnění. Nejběžnějšími pevnými databázovými rolemi jsou: db_owner, db_ddladmin, db_datawriter, db_datareader, db_denydatawriter a db_denydatareader. Pomocí db_owner udělte úplná oprávnění jenom několika uživatelům. Ostatní pevné databázové role jsou užitečné pro rychlé získání jednoduché databáze při vývoji, ale nedoporučuje se pro většinu produkčních databází. Například db_datareader pevná role databáze uděluje přístup pro čtení ke každé tabulce v databázi, což je více, než je nezbytně nutné.
Přidání uživatele do pevné databázové role:
- V Azure SQL Database použijte příkaz ALTER ROLE. Příklady najdete v příkladech ALTER ROLE.
Role vlastní databáze
Vytvořte vlastní roli databáze pomocí příkazu CREATE ROLE . Vlastní role umožňuje vytvářet vlastní uživatelsky definované databázové role a pečlivě udělovat jednotlivým rolím nejnižší oprávnění potřebná pro obchodní potřeby. Potom přidejte uživatele do vlastní role. Pokud je uživatel členem více rolí, všechna jejich oprávnění se agregují.
Udělení oprávnění přímo
Udělte oprávnění uživatelskému účtu přímo. Existuje více než 100 oprávnění, která můžete jednotlivě udělit nebo odepřít. Mnohá z těchto oprávnění jsou vnořená. Oprávnění
UPDATEpro schéma například zahrnuje oprávněníUPDATEpro každou tabulku v tomto schématu. Podobně jako ve většině systémů oprávnění má zamítnutí oprávnění přednost před jeho udělením. Kvůli velkému počtu oprávnění a používání vnořených oprávnění může návrh vhodného systému oprávnění vyžadovat pečlivou studii, aby byla vaše databáze dobře chráněna. Začněte u seznamu oprávnění podle tématu Oprávnění (databázový stroj) a prohlédněte si velkoplošnou grafiku s přehledem oprávnění.
Použití skupin
Efektivní správa přístupu přiřazuje oprávnění Microsoft Entra skupinám zabezpečení a pevným nebo vlastním rolím místo jednotlivým uživatelům.
Při použití ověřování Microsoft Entra vložte uživatele Microsoft Entra do skupiny zabezpečení Microsoft Entra. Pro tuto skupinu vytvořte uživatele databáze s omezením. Přidejte jednoho nebo více uživatelů databáze jako člena do vlastních nebo předdefinovaných databázových rolí s konkrétními oprávněními vhodnými pro danou skupinu uživatelů.
Při použití ověřování SQL vytvořte v databázi uživatele databáze s omezením. Umístěte jednoho nebo více uživatelů databáze do vlastní role databáze s konkrétními oprávněními, která jsou vhodná pro danou skupinu uživatelů.
Poznámka:
Skupiny můžete také použít pro uživatele databáze, kteří nejsou obsaženi.
Seznamte se s následujícími funkcemi, které můžete použít k omezení nebo zvýšení oprávnění:
- K dočasnému bezpečnému zvýšení oprávnění můžete použít zosobnění a přihlašování k modulům.
- Zabezpečení na úrovni řádků lze použít k omezení řádků, ke kterým má uživatel přístup.
- Dynamické maskování dat lze použít k omezení vystavení citlivých dat.
- K omezení akcí, které je možné s databází provádět, můžete použít uložené procedury.