Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
S’applique à :
Azure SQL Managed Instance
Le mode de métadonnées d’authentification Windows permet aux utilisateurs d’utiliser l’authentification Windows ou l’authentification Microsoft Entra (en utilisant des métadonnées de principal Windows) avec Azure SQL Managed Instance. Ce mode n'est disponible que pour SQL Managed Instance. Le mode de métadonnées d’authentification Windows n’est pas disponible pour Azure SQL Database.
Lorsque votre environnement est synchronisé entre Active Directory (AD) et Microsoft Entra ID, les comptes d'utilisateurs Windows dans AD sont synchronisés avec les comptes d'utilisateurs Microsoft Entra dans Microsoft Entra ID.
L'authentification pour SQL Managed Instance et SQL Server est basée sur des métadonnées liées aux connexions. Pour les connexions d'authentification Windows, les métadonnées sont créées lorsque la connexion est créée à partir de la commande CREATE LOGIN FROM WINDOWS. Pour les connexions Microsoft Entra, les métadonnées sont créées lorsque la connexion est créée à partir de la commande CREATE LOGIN FROM EXTERNAL PROVIDER. Pour les connexions par authentification SQL, les métadonnées sont créées lors de l'exécution de la commande CREATE LOGIN WITH PASSWORD. Le processus d'authentification est étroitement lié aux métadonnées stockées dans SQL Managed Instance ou SQL Server.
Pour une vidéo expliquant les principaux Windows natifs, vous pouvez également faire référence à cet épisode exposé aux données.
Modes de métadonnées d'authentification
Les modes de métadonnées d’authentification suivants sont disponibles pour SQL Managed Instance et les différents modes déterminent les métadonnées d’authentification utilisées pour l’authentification, ainsi que la façon dont la connexion est créée :
- Microsoft Entra (par défaut) : ce mode permet d’authentifier les utilisateurs de Microsoft Entra à l’aide des métadonnées utilisateur Microsoft Entra. Pour utiliser l’authentification Windows dans ce mode, consultez Qu’est-ce que l’authentification Windows pour les principaux Microsoft Entra sur Azure SQL Managed Instance ?
- Paired (valeur par défaut de SQL Server) : mode d'authentification par défaut pour SQL Server.
- Windows (nouveau mode) : ce mode permet d’authentifier les utilisateurs de Microsoft Entra à l’aide des métadonnées utilisateur Windows dans SQL Managed Instance.
La syntaxe CREATE LOGIN FROM WINDOWS et CREATE USER FROM WINDOWS peut être utilisée pour créer une connexion ou un utilisateur dans SQL Managed Instance, respectivement pour un principal Windows en mode de métadonnées d’authentification Windows . windows_principal peut être un utilisateur Windows ou un groupe Windows.
Pour utiliser le mode de métadonnées d’authentification Windows , l’environnement utilisateur doit synchroniser Active Directory (AD) avec l’ID Microsoft Entra.
Remarque
Pour vous connecter à l’aide de l’authentification Windows, SQL Managed Instance doit être configuré pour utiliser l’authentification Windows. Pour plus d’informations, consultez Qu’est-ce que l’authentification Windows pour les entités Microsoft Entra dans Azure SQL Managed Instance ?.
Configurer les modes de métadonnées d'authentification
- Accédez au portail Azure et accédez à votre ressource SQL Managed Instance.
- Allez à Paramètres > Microsoft Entra ID.
- Choisissez votre mode de métadonnées d’authentification préféré dans la liste déroulante.
- Sélectionnez Enregistrer la configuration des métadonnées d’authentification.
Relever les défis de la migration en utilisant le mode de métadonnées d'authentification Windows
Le mode de métadonnées d’authentification Windows permet de moderniser l’authentification pour l’application et de débloquer les défis de migration vers SQL Managed Instance. Voici quelques scénarios courants dans lesquels le mode de métadonnées d’authentification Windows peut être utilisé pour relever les défis des clients :
- La surcharge liée à la migration de connexions Windows vers l’ID Microsoft Entra pour l’authentification Windows pour Azure SQL Managed Instance à l’aide de Microsoft Entra ID et Kerberos.
- Basculements de réplica en lecture seule dans Vue d’ensemble du lien Managed Instance.
- Synchronisation de l’authentification Microsoft Entra pour SQL Server.
Authentification Windows pour les principaux Microsoft Entra
Tant que l’environnement est synchronisé entre AD et Microsoft Entra ID, le mode de métadonnées d’authentification Windows peut être utilisé pour authentifier les utilisateurs auprès de SQL Managed Instance à l’aide d’une connexion Windows ou d’une connexion Microsoft Entra, si la connexion est créée à partir d’un principal Windows (CREATE LOGIN FROM WINDOWS).
Cette fonctionnalité est particulièrement utile pour les clients dont les applications utilisent l'authentification Windows et qui migrent vers SQL Managed Instance. Le mode de métadonnées d’authentification Windows permet aux clients de continuer à utiliser l’authentification Windows pour leurs applications sans avoir à apporter de modifications au code de l’application. Par exemple, des applications telles que le serveur BizTalk, qui exécute commandes CREATE LOGIN FROM WINDOWS et CREATE USER FROM WINDOWS, peuvent continuer à fonctionner sans aucun changement lors de la migration vers SQL Managed Instance. Les autres utilisateurs peuvent utiliser un login Microsoft Entra synchronisé avec AD pour s'authentifier auprès de SQL Managed Instance.
Liaison Managed Instance
Bien que le lien Managed Instance active une réplication de données en quasi temps réel entre SQL Server et SQL Managed Instance, le réplica en lecture seule dans le cloud empêche la création de principaux Microsoft Entra. Le mode d'authentification par métadonnées Windows permet aux clients d'utiliser une connexion Windows existante pour s'authentifier auprès du réplica si un basculement se produit.
Authentification Microsoft Entra pour SQL Server 2022 et versions ultérieures
SQL Server 2022 introduit la prise en charge de l'authentification Microsoft Entra. De nombreux utilisateurs souhaitent limiter les modes d'authentification pour n'utiliser que l'authentification moderne et migrer tous les mandants Windows vers Microsoft Entra ID. Toutefois, dans certains cas, l'authentification Windows reste nécessaire, par exemple lorsque le code de l'application est lié à des principes Windows. Le mode de métadonnées d’authentification Windows permet aux clients de continuer à utiliser un principal Windows pour l’autorisation dans SQL Server, tout en utilisant un principal Microsoft Entra synchronisé pour l’authentification.
SQL Server ne comprend pas la synchronisation entre Active Directory et Microsoft Entra ID. Bien que les utilisateurs et les groupes soient synchronisés entre AD et Microsoft Entra ID, vous devez toujours créer un login en utilisant la syntaxe CREATE LOGIN FROM EXTERNAL PROVIDER et ajouter des permissions au login. Le mode de métadonnées d’authentification Windows réduit la nécessité de migrer manuellement les connexions vers l’ID Microsoft Entra.
Comparaison du mode des métadonnées d'authentification
Voici l'organigramme qui explique comment le mode de métadonnées d'authentification fonctionne avec SQL Managed Instance :
Auparavant, les clients qui synchronisent des utilisateurs entre AD et Microsoft Entra ID ne pouvaient pas s'authentifier avec une connexion créée à partir d'un principal Windows, qu'ils utilisent l'authentification Windows ou l'authentification Microsoft Entra synchronisée à partir d'AD. Avec le mode de métadonnées d’authentification Windows , les clients peuvent désormais s’authentifier avec une connexion créée à partir d’un principal Windows à l’aide de l’authentification Windows ou du principal Microsoft Entra synchronisé.
Pour les utilisateurs synchronisés, l'authentification réussit ou échoue en fonction des configurations suivantes et du type de connexion :
| Mode de métadonnées d'authentification | DE WINDOWS | PROVENANT D’UN FOURNISSEUR EXTERNE |
|---|---|---|
| Mode Windows | ||
| Authentification Microsoft Entra | Réussite | Échecs |
| Authentification Windows | Réussite | Échecs |
| Mode Microsoft Entra ID | ||
| Authentification Microsoft Entra | Échecs | Réussite |
| Authentification Windows | Échecs | Réussite |
| Mode appairé | ||
| Authentification Microsoft Entra | Échecs | Réussite |
| Authentification Windows | Réussite | Échecs |
Contenu connexe
En savoir plus sur l’implémentation de l’authentification Windows pour les principaux Microsoft Entra sur SQL Managed Instance :
- Qu’est-ce que l’authentification Windows pour les principaux Microsoft Entra sur Azure SQL Managed Instance ?
- Implémentation de l’Authentification Windows pour Azure SQL Managed Instance avec Microsoft Entra ID et Kerberos
- Configurer l’authentification Windows pour Microsoft Entra ID avec le flux interactif moderne
- Configurer l’authentification Windows pour Microsoft Entra ID avec le flux entrant basé sur la confiance
- Configurer Azure SQL Managed Instance pour l’authentification Windows pour Microsoft Entra ID