搭配 Synapse SQL 使用多重要素Microsoft Entra 驗證(MFA 的 SSMS 支援)
Synapse SQL 支援使用 Active Directory 通用驗證從 SQL Server Management Studio (SSMS) 連線。
本文討論各種驗證選項之間的差異,以及使用通用驗證相關聯的限制。
下載最新的 SSMS - 在用戶端電腦上,從下載 SQL Server Management Studio (SSMS) 下載最新版的 SSMS。
對於本文討論的所有功能,請至少使用 2017 年 7 月的 17.2 版。 最近的連線對話方塊看起來應該會類似下圖:
![此螢幕快照顯示 [連接到伺服器] 對話框,您可以在其中選取伺服器名稱和驗證選項。](media/mfa-authentication/1mfa-universal-connect.png "完成 [用戶名稱] 方塊。")
五個驗證選項
Active Directory 通用驗證支援兩種非互動式驗證方法:- Active Directory - Password 驗證 - Active Directory - Integrated 驗證
也有兩種非互動式驗證模型,可用於許多不同的應用程式(ADO.NET、JDBC、ODC 等)。 這兩種方法絕對不會產生快顯對話方塊:
Active Directory - PasswordActive Directory - Integrated
互動式方法也支援Microsoft Entra 多重要素驗證 (MFA) 為:
Active Directory - Universal with MFA
Microsoft Entra 多重要素驗證有助於守護對資料與應用程式的存取,同時滿足使用者對簡單登入流程的需求。 它利用各種簡單的驗證選項來提供強大的驗證 (包括電話、簡訊、含有 Pin 的智慧卡或行動應用程式通知),讓使用者能夠選擇自己喜歡的方式。 搭配 Microsoft Entra ID 使用互動式 MFA 時,會出現快顯對話方塊以進行驗證。
如需多重要素驗證的描述,請參閱 多重要素驗證。
Microsoft Entra 功能變數名稱或租使用者標識符參數
從 SSMS 第 17 版開始,從其他 Azure Active Directory 匯入至目前 Active Directory 作為來賓使用者的使用者,可以在連線時提供Microsoft Entra 功能變數名稱或租用戶標識符。
來賓使用者包括從其他 Azure AD、Microsoft 帳戶 (例如 outlook.com、hotmail.com、live.com) 或其他帳戶 (例如 gmail.com) 邀請的使用者。 這項資訊可讓 Active Directory Universal 搭配 MFA 驗證 來識別正確的驗證授權單位。 支援 Microsoft 帳戶 (MSA) (如 outlook.com、hotmail.com、live.com) 或非 MSA 帳戶時也需要此選項。
所有這些想要使用通用驗證進行驗證的用戶都必須輸入其Microsoft Entra 功能變數名稱或租用戶標識碼。 此參數代表 Azure Server 所連結的目前Microsoft Entra 功能變數名稱/租使用者標識符。
例如,如果 Azure Server 與 Microsoft Entra 網域 contosotest.onmicrosoft.com 相關聯,其中使用者 joe@contosodev.onmicrosoft.com 裝載為來自 Microsoft Entra 網域 contosodev.onmicrosoft.com的匯入使用者,則驗證此使用者的域名為 contosotest.onmicrosoft.com。
當使用者是連結至 Azure Server 之 Microsoft Entra ID 的原生使用者,且不是 MSA 帳戶時,不需要功能變數名稱或租用戶標識碼。
若要輸入參數(從 SSMS 17.2 版開始),請在 [ 連接到資料庫 ] 對話方塊中,完成對話框,選取 [Active Directory - 通用與 MFA 驗證],選取 [選項],完成 [使用者名稱 ] 方塊,然後選取 [ 聯機屬性 ] 索引卷標。
核取 [AD 網域名稱或租用戶 ID] 方塊並提供驗證授權單位,如網域名稱 (contosotest.onmicrosoft.com) 或租用戶 ID 的 GUID。
![此螢幕快照顯示 [連線屬性] 索引標籤中的 [連線到伺服器] 索引標籤中輸入的值。](media/mfa-authentication/mfa-tenant-ssms.png)
如果您執行 SSMS 18.x 或更新版本,則來賓使用者不再需要 AD 功能變數名稱或租使用者標識碼,因為 18.x 或更新版本會自動辨識它。
Microsoft企業對商務支援
Microsoft以來賓使用者身分Microsoft Entra B2B 案例支援的 Entra 使用者(請參閱 什麼是 Azure B2B 共同 作業只能連線到 Synapse SQL,做為目前Microsoft Entra 標識符中所建立群組成員的一部分,並使用指定資料庫中的 Transact-SQL CREATE USER 語句手動對應。
例如,如果 steve@gmail.com 受邀加入 Azure AD contosotest (具有 Microsoft Entra 網域 contosotest.onmicrosoft.com),Microsoft Entra 群組,例如 usergroup 必須在包含 steve@gmail.com 成員的 Microsoft Entra 標識符中建立。 然後,您必須為特定資料庫建立此群組(也就是 MyDatabase),Microsoft Entra SQL 管理員或執行 Transact-SQL CREATE USER [usergroup] FROM EXTERNAL PROVIDER 語句來Microsoft Entra DBO。
建立資料庫使用者之後,使用者steve@gmail.com就可以使用 SSMS 驗證選項Active Directory – Universal with MFA support登入 MyDatabase 。
根據預設,使用者群組只有連線許可權,以及需要以正常方式授與的任何進一步數據存取權。
身為來賓用戶,steve@gmail.com必須核取方塊,並在 [SSMS 連線屬性] 對話框中新增 AD 功能變數名稱contosotest.onmicrosoft.com。 只有通用 MFA 連線選項才支援 AD 功能變數名稱或租使用者識別碼選項,否則會呈現灰色。
Synapse SQL 的通用驗證限制
- SSMS 和SqlPackage.exe是目前唯一透過 Active Directory 通用驗證啟用 MFA 的工具。
- SSMS 17.2 版支援使用通用驗證搭配 MFA 的多使用者並行存取。 版本 17.0 和 17.1,將使用通用驗證的 SSMS 實例登入限制為單一Microsoft Entra 帳戶。 若要以另一個Microsoft Entra 帳戶登入,您必須使用另一個 SSMS 實例。 (此限制僅限於 Active Directory 通用驗證;您可以使用 Active Directory 密碼驗證、Active Directory 整合式驗證或 SQL Server 驗證登入不同的伺服器。
- SSMS 支援 Active Directory 通用驗證,可使用物件總管、查詢編輯器及查詢存放區視覺效果。
- SSMS 17.2 版針對匯出/擷取/部署資料資料庫提供 DacFx 精靈支援。 特定使用者使用通用驗證透過初始驗證對話方塊進行驗證後,DacFx 精靈的運作方式與所有其他驗證方法相同。
- SSMS 資料表設計工具不支援通用驗證。
- 除了您必須使用支援的 SSMS 版本之外,Active Directory 通用驗證並沒有其他軟體需求。
- 通用驗證的 Active Directory 驗證連結庫 (ADAL) 版本已更新為最新的 ADAL.dll 3.13.9 可用版本。 請參閱 Active Directory 驗證連結庫 3.14.1。
下一步
如需詳細資訊,請參閱 使用 SQL Server Management Studio 連線到 Synapse SQL 一文。