如何使用 Microsoft Entra ID 和 Kerberos 为 Azure SQL 托管实例实现 Windows 身份验证

Microsoft Entra ID(以前称为 Azure Active Directory)中 Azure SQL 托管实例主体的 Windows 身份验证使客户能够将现有服务移动到云中,同时保持无缝的用户体验,并为安全基础结构现代化打下基础。 若要为 Microsoft Entra 主体启用 Windows 身份验证,需要将 Microsoft Entra 租户转换为独立的 Kerberos 领域,并在客户域中创建传入信任。

此配置允许客户域中的用户访问 Microsoft Entra 租户中的资源。 此配置不允许 Microsoft Entra 租户中的用户访问客户域中的资源。

下图概述了如何使用 Microsoft Entra ID 和 Kerberos 为托管实例实现 Windows 身份验证:

An overview of authentication: a client submits an encrypted Kerberos ticket as part of an authentication request to a managed instance. The managed instance submits the encrypted Kerberos ticket to Microsoft Entra I D, which exchanges it for a Microsoft Entra token that is returned the managed instance. The managed instance uses this token to authenticate the user.

– [排查 Azure SQL 托管实例上 Microsoft Entra 主体的 Windows 身份验证问题] (winauth-azuread-troubleshoot.md)