什么是 Azure SQL 托管实例上的 Microsoft Entra 主体的 Windows 身份验证?
适用于:Azure SQL 托管实例
Azure SQL 托管实例是一种智能、可缩放的云数据库服务;它将最广泛的 SQL Server 数据库引擎兼容性与完全托管且经久不衰的平台即服务的优势相结合。 Microsoft Entra ID(前 Azure Active Directory)的 Kerberos 身份验证实现了对 Azure SQL 托管实例的 Windows 身份验证访问。 托管实例的 Windows 身份验证使客户能够在将现有服务迁移到云的同时保持无缝的用户体验,并为基础结构现代化提供基础。
注意
Microsoft Entra ID 以前称为 Azure Active Directory (Azure AD)。
关键能力和方案
随着客户将基础结构、应用程序和数据层现代化,他们还通过转移到 Microsoft Entra ID 来现代化标识管理功能。 Azure SQL 提供了多个 Microsoft Entra 身份验证选项:
- “密码”通过 Microsoft Entra 凭据提供身份验证
- “通用且具有 MFA”添加多重身份验证
- “集成”将使用 Active Directory 联合身份验证服务 (ADFS) 等联合提供程序来启用单一登录 (SSO) 体验
- “服务主体”实现了从 Azure 应用程序进行身份验证的功能
- “托管标识”实现了从分配有 Microsoft Entra 标识的应用程序进行身份验证的功能
但是,某些旧版应用无法将其身份验证更改为 Microsoft Entra ID:旧应用程序代码可能不再可用,可能依赖于旧驱动程序,客户端可能无法更改等。 Microsoft Entra 主体的 Windows 身份验证消除了此迁移阻碍因素,为更广泛的客户应用程序提供支持。
托管实例上 Microsoft Entra 主体的 Windows 身份验证适用于加入 Active Directory、Microsoft Entra ID 或混合 Microsoft Entra ID 的设备或虚拟机 (VM),混合 Microsoft Entra 用户标识同时存在于 Microsoft Entra ID 和 Active Directory 中,可以使用 Microsoft Entra Kerberos 访问 Azure 中的托管实例。
为托管实例启用 Windows 身份验证不需要客户部署新的本地基础结构,也不需要管理设置域服务的开销。
Azure SQL 托管实例上 Microsoft Entra 主体的 Windows 身份验证支持两个主要方案:通过最少的更改将本地 SQL Server 迁移到 Azure、现代化安全基础结构。
只需最少的更改即可将本地 SQL Server 提升并迁移到 Azure
通过为 Microsoft Entra 主体启用 Windows 身份验证,客户可以迁移到 Azure SQL 托管实例,而无需对应用程序身份验证堆栈实施更改或部署 Microsoft Entra 域服务。 客户还可以使用 Windows 身份验证从 Active Directory 或加入 Microsoft Entra 的设备访问托管实例。
Microsoft Entra 主体的 Windows 身份验证还在托管实例上实现了以下模式。 传统的本地 SQL Server 中经常使用下列模式:
- “双跳”身份验证:Web 应用程序使用 IIS 身份模拟在最终用户的安全上下文中对实例运行查询。
- 可以使用 Windows 身份验证启动使用扩展事件和 SQL Server Profiler 的跟踪,从而为习惯此工作流程的数据库管理员和开发人员提供易用性。 了解如何使用 Microsoft Entra 主体的 Windows 身份验证针对 Azure SQL 托管实例运行跟踪。
现代化安全基础结构
为 Azure SQL 托管实例上的 Microsoft Entra 主体启用 Windows 身份验证可帮助客户现代化其安全做法。
例如,客户可以让移动分析师使用经过验证的依赖于 Windows 身份验证的工具,使用生物识别凭证对托管实例进行身份验证。 即使移动分析师使用加入了 Microsoft Entra ID 的笔记本电脑工作,也可以完成此操作。
后续步骤
详细了解如何在 Azure SQL 托管实例上实现 Microsoft Entra 主体的 Windows 身份验证: