Configurar identidade gerida para servidores ligados

Aplica-se a:Aplica-se a: SQL Server 2025 (17.x)

O SQL Server 2025 introduz suporte a identidade gerida para servidores ligados, permitindo autenticação segura e sem credenciais entre instâncias do SQL Server. Esta funcionalidade está disponível tanto para SQL Server em Máquinas Virtuais Azure como para SQL Server habilitado pelo Azure Arc. Com a autenticação de identidade gerida, pode estabelecer ligações a servidores ligados sem gerir palavras-passe ou armazenar credenciais, melhorando a sua postura de segurança e simplificando a gestão de credenciais.

Este artigo mostra-lhe como configurar ligações a servidores ligados usando autenticação de identidade gerida. Vais configurar o servidor de origem para iniciar ligações e o servidor de destino para aceitar autenticação gerida baseada em identidade.

Pré-requisitos

Antes de começar, certifique-se de ter o seguinte:

• SQL Server 2025 em execução em um dos seguintes:
  • Azure Virtual Machine com a extensão SQL Server IaaS Agent instalada, ou
  • Máquina local ou virtual com Azure Arc ativado
• Autenticação Microsoft Entra configurada tanto em servidores de origem como de destino
• Conectividade de rede entre servidores de origem e destino com regras de firewall apropriadas
• Permissões apropriadas para criar logins e configurar servidores ligados em ambas as instâncias
• Para Máquinas Virtuais Azure: Tanto as extensões SqlIaasExtension como AADLogin ativadas
• Para instâncias habilitadas com Azure Arc: agente Azure Arc instalado e configurado

Requisitos de Máquina Virtual do Azure

Ao usar SQL Server em Máquinas Virtuais Azure:

• Verifique se as extensões SqlIaasExtension e AADLogin estão instaladas. Estas extensões são incluídas por defeito ao serem implementadas a partir do modelo SQL Server do Azure Marketplace.
• Configure a autenticação Microsoft Entra seguindo as orientações em Ativar a autenticação Microsoft Entra para SQL Server em VMs Azure.
• Garantir que ambas as máquinas virtuais permitem tráfego de rede de entrada e saída para comunicação SQL Server.
• Configure regras de firewall em cada máquina virtual para permitir tráfego SQL Server.

Requisitos habilitados para Azure Arc

Ao usar o SQL Server ativado pelo Azure Arc:

1. Instale e configure o Azure Arc nas suas instâncias do SQL Server 2025 seguindo os pré-requisitos para o SQL Server ativado pelo Azure Arc.
2. Configure a autenticação Microsoft Entra usando as orientações em Configurar autenticação Microsoft Entra com registo de aplicações.
3. Verifique a conectividade da rede entre os servidores de origem e destino.

Criar login no servidor de destino

O servidor de destino deve ter um login que corresponda ao nome do servidor de origem. Quando o servidor de origem se liga usando identidade gerida, autentica-se usando a identidade gerida da máquina. O servidor de destino valida esta identidade ao associá-la a um login criado a partir de um fornecedor externo.

1. Liga-te à instância de destino do SQL Server.

2. Crie um login usando o nome do servidor de origem:

   USE [master];
   GO
   
   CREATE LOGIN [AzureSQLVMSource]
   FROM EXTERNAL PROVIDER
   WITH DEFAULT_DATABASE = [master],
        DEFAULT_LANGUAGE = [us_english];
   GO
   

3. Conceda ao login permissões adequadas ao nível do servidor. Por exemplo, para conceder sysadmin funções:

   ALTER SERVER ROLE [sysadmin] ADD MEMBER [AzureSQLVMSource];
   GO
   

   Sugestão

   Aplique o princípio do menor privilégio concedendo apenas as permissões necessárias para o seu caso de uso específico, em vez de usar sysadmin.

Configurar servidor ligado no servidor de origem

Depois de criar o login no servidor de destino, configure a ligação do servidor ligado no servidor de origem. Esta configuração utiliza o fornecedor MSOLEDBSQL com autenticação de identidade gerida.

1. Liga-te à instância de origem do SQL Server.

2. Crie o servidor ligado usando sp_addlinkedserver:

   USE [master];
   GO
   
   EXEC master.dbo.sp_addlinkedserver
       @server = N'AzureSQLVMDestination',
       @srvproduct = N'',
       @provider = N'MSOLEDBSQL',
       @datasrc = N'AzureSQLVMDestination',
       @provstr = N'Authentication=ActiveDirectoryMSI;';
   GO
   

   O @provstr parâmetro especifica ActiveDirectoryMSI autenticação, que instrui o servidor ligado a usar identidade gerida.

3. Configure o mapeamento de login do servidor ligado:

   EXEC master.dbo.sp_addlinkedsrvlogin
       @rmtsrvname = N'AzureSQLVMDestination',
       @useself = N'False',
       @locallogin = NULL,
       @rmtuser = NULL,
       @rmtpassword = NULL;
   GO
   

   Esta configuração configura o servidor ligado para usar a identidade gerida sem exigir credenciais explícitas de utilizador.

Teste a ligação do servidor

Após a configuração, verifique se a ligação ao servidor ligado funciona corretamente.

1. Teste a ligação usando sp_testlinkedserver:

   EXECUTE master.dbo.sp_testlinkedserver AzureSQLVMDestination;
   GO
   

2. Se o teste for bem-sucedido, pode consultar o servidor remoto. Por exemplo:

   SELECT * FROM [AzureSQLVMDestination].[master].[sys].[databases];
   GO
   

Se o teste falhar, verifique:

• A autenticação Microsoft Entra está devidamente configurada em ambos os servidores
• O login no servidor de destino corresponde exatamente ao nome do servidor de origem
• Existe conectividade de rede entre os servidores
• As regras de firewall permitem o tráfego do SQL Server
• As extensões necessárias (SqlIaasExtension e AADLogin) estão ativadas para VMs Azure

Conteúdo relacionado

• Servidores vinculados (Mecanismo de Banco de Dados)
• Criar servidores vinculados (Mecanismo de Banco de Dados do SQL Server)
• sp_addlinkedserver (Transact-SQL)
• Habilitar a autenticação do Microsoft Entra para SQL Server em VMs do Azure
• Tutorial: Configurar a autenticação do Microsoft Entra para SQL Server habilitada pelo Azure Arc
• Pré-requisitos do - SQL Server habilitado pelo Azure Arc