Udforsk godkendelsesmetoder

Fuldført

Adgang til Azure SQL Database er beskyttet med logon og firewalls. Azure SQL Database understøtter brugere og logon for både SQL-godkendelse og -godkendelse med Microsoft Entra ID (tidligere Azure Active Directory).

SQL-godkendelse er en konventionel metode, hvor legitimationsoplysninger gemmes direkte i SQL-databasen. På den anden side giver Microsoft Entra ID brugerne mulighed for at logge på med de samme legitimationsoplysninger, som de bruger til andre Microsoft-tjenester, f.eks. Azure Portal eller Microsoft 365, og giver en problemfri og samlet logonoplevelse.

Seddel

Når der bruges SQL Server-logon, overføres både logonnavne og krypterede adgangskoder via netværket, hvilket reducerer deres sikkerhed.

Microsoft Entra-godkendelse

En vigtig funktion i en identitetsplatform er at godkende brugerlegitimationsoplysninger, når du logger på en enhed, et program eller en tjeneste. Microsoft Entra ID går ud over at bekræfte brugernavne og adgangskoder ved at inkorporere flere komponenter for at forbedre sikkerheden og minimere support til helpdesk. Disse komponenter omfatter selvbetjent nulstilling af adgangskode, multifaktorgodkendelse, hybridintegration til synkronisering af adgangskodeændringer og gennemtvingelse af politikker for adgangskodebeskyttelse i miljøer i det lokale miljø og pass-through-godkendelse.

Konfigurer Microsoft Entra-godkendelse

Hver logiske Azure-server, der hoster SQL Database, starter med en enkelt serveradministratorkonto. Denne konto er en indeholdt databasebruger i masterdatabasen og er en del af den db_owner rolle i hver brugerdatabase. Vi anbefaler dog, at du opretter en Microsoft Entra-bruger som en ekstra administrator for at forbedre sikkerheden og forenkle brugeradministrationen.

Når du bruger Microsoft Entra-id med georeplikering, skal du konfigurere Microsoft Entra-administratoren for både primære og sekundære SQL-servere. Uden denne konfiguration kan Microsoft Entra logge på, og brugerne oplever forbindelsesfejl.

Du kan navigere til SQL-serversiden på Azure Portal for at konfigurere en Microsoft Entra-administrator for din Azure SQL Database. Denne side indeholder en central placering til administration af forskellige aspekter af SQL-serveren, herunder sikkerhedsindstillinger.

Skærmbillede af SQL-serversiden på Azure Portal til Azure SQL Database, der viser, hvor en Microsoft Entra-administrator skal konfigureres.

Når du har klargjort en Microsoft Entra-administrator til din Azure SQL Database, kan du begynde at oprette Microsoft Entra-serverprincipaler (logon) med syntaksen CREATE LOGIN .

Multifactor-godkendelse (MFA)

Microsoft Entra multifactor-godkendelse forbedrer sikkerheden ved at kræve, at brugerne angiver to eller flere godkendelsesfaktorer, f.eks. en adgangskode, en smartphone eller biometriske data. Dette ekstra beskyttelseslag hjælper med at beskytte adgangen til data og programmer, samtidig med at du sikrer en enkel logonproces, hvilket reducerer risikoen for uautoriseret adgang betydeligt.

Skærmbillede af dialogboksen SQL Server Managed Studio, der viser MFA-godkendelsestypen.

Når brugerne har angivet det korrekte brugernavn og den korrekte adgangskode, skal de udføre et ekstra bekræftelsestrin, f.eks. besvare en pushmeddelelse eller angive en adgangskode fra Microsoft Authenticator-appen. Denne proces sikrer, at selvom en brugers primære legitimationsoplysninger er kompromitteret, forhindres uautoriseret adgang stadig, og dermed forbedrer sikkerheden i databasen.

Hvis du vil vide mere om de godkendelses- og bekræftelsesmetoder, der er tilgængelige i Microsoft Entra ID, skal du se Hvilke godkendelses- og bekræftelsesmetoder er tilgængelige i Microsoft Entra ID?.

Opret forbindelse til Azure SQL Database ved hjælp af Microsoft Entra-godkendelse

Microsoft Entra-godkendelse bruger identiteter i Microsoft Entra ID til at få adgang til datakilder som Azure SQL Database, Azure SQL Managed Instance og Azure Synapse Analytics. Navneområdet Microsoft.Data.SqlClient gør det muligt for klientprogrammer at angive Microsoft Entra-legitimationsoplysninger i forskellige godkendelsestilstande, når der oprettes forbindelse til disse databaser. Hvis du vil bruge Microsoft Entra-godkendelse, skal du konfigurere og administrere den i Azure SQL.

Når du angiver forbindelsesegenskaben Authentication i forbindelsesstrengen, kan klienter vælge deres foretrukne Microsoft Entra-godkendelsestilstand.

  • Godkendelse af adgangskode:Active Directory Password godkendelsestilstand gør det muligt for oprindelige Microsoft Entra-brugere at godkende til Azure-datakilder ved hjælp af Microsoft Entra-id. I denne tilstand skal brugerlegitimationsoplysninger inkluderes i forbindelsesstrengen.
    Server=myserver.database.windows.net;Authentication=Active Directory Password; Encrypt=True; Database=mydb;User Id=user@domain.com; Password=***";    
    
  • Integreret godkendelse: Hvis du vil bruge Active Directory Integrated godkendelsestilstand, skal du have en Active Directory-forekomst i det lokale miljø, der er forbundet til Microsoft Entra ID i cloudmiljøet. Når du er logget på en domænetilsluttet computer, kan du få adgang til Azure SQL-datakilder uden at blive bedt om legitimationsoplysninger. For .NET Framework-programmer kan du ikke angive et brugernavn og en adgangskode i forbindelsesstrengen. Brugernavnet er valgfrit for .NET Core- og .NET Standard-programmer.
    Server=myserver.database.windows.net;Authentication=Active Directory Integrated; Encrypt=True; Database=mydb;";    
    
  • Godkendelse af tjenesteprincipal: I Active Directory Service Principal godkendelsestilstand opretter klientprogrammet forbindelse til Azure SQL-datakilder ved hjælp af klient-id'et og hemmeligheden for en tjenesteprincipal.
    Server=myserver.database.windows.net;Authentication=Active Directory Service Principal; Encrypt=True;Database=mydb; User Id=AppId; Password=secret"
    

Du kan få flere oplysninger om andre godkendelsesindstillinger under Opret forbindelse til Azure SQL med Microsoft Entra-godkendelse og SqlClient.