【发布时间】:2022-01-14 16:47:29
【问题描述】:
我对 Azure AD 很陌生。因此,如果您有任何提示,我将不胜感激。
我需要允许给定域(给定 Active Directory)的成员使用 Azure Active Directory - 集成身份验证登录到 Azure SQL Server。
到目前为止,我已登录 Windows 并将其连接到 Windows 设置中的 Azure Active Directory。
查看文档,我了解到我需要选择 Microsoft 在 Azure Active Directory 中提出的身份验证方法之一。最简单的似乎是密码哈希同步。所以我想选择这个(但如果其他人最简单,我愿意改变那个选择)
同步这个最简单的方法是什么?我可以避免创建 Windows Server VM 并在其中安装 Azure AD Connect 吗?
Azure 门户上 AD Connect 的当前配置如下所示:
再说一遍,我关心的唯一服务是通过 Azure Active Directory 登录
如果整个问题的结构有误,我深表歉意,但这只是基于我在论坛和文档中找到的内容。
提前感谢任何提示
[例如:https://youtu.be/PyeAC85Gm7w?t=565、https://docs.microsoft.com/en-us/azure/azure-sql/database/authentication-aad-configure?tabs =azure-powershell#using-an-azure-ad-identity-to-connect-using-ssms-or-ssdt,https://techcommunity.microsoft.com/t5/azure-sql-blog/azure-ad-pass -through-and-password-hash-authentication-support/ba-p/1269735]
【问题讨论】:
-
您不需要 Azure AD Connect 或密码哈希同步,除非您有要同步到 Azure AD 的本地 Windows Server AD。应注意 AD 与 Azure AD 不同。您不需要带有 Azure SQL 的 Windows Server AD,只需 Azure AD。要授予特定安全组对服务器的访问权限,可以在 Azure SQL DB 中运行
CREATE USER [group-name-here] FROM EXTERNAL PROVIDER;。然后,您可以使用标准 SQL 东西来授予该“用户”对数据库/表的访问权限。这有帮助吗? -
非常感谢@juunas 的回答。我相信我理解,如果我没有想要与 Azure Active Directory 同步的 Windows Active Directory,我不必使用 Azure Connect AD。但抱歉,我不明白如何使用您的解决方案。我的意思是,我使用命令“CREATE ... FROM EXTERNAL PROVIDER”创建了一个 SQL 用户。如何允许特定组的成员使用其 AAD 帐户登录数据库?我的意思是,在“从外部提供商创建用户”之后我应该选择哪种身份验证方法?非常感谢
-
Azure Active Directory - MFA 通用。
-
明白,非常感谢
标签: sql-server azure azure-active-directory azure-sql-database