info@madafa.de

Einen AD User in Azure SQL erstellen

In diesem Blogbeitrag zeigen wir Ihnen, wie Sie Azure AD-Benutzeridentitäten in Azure SQL-Datenbanken erstellen, um sich mit Azure Directory-Konten zu authentifizieren. Wenn Sie Azure SQL-Datenbank zum ersten Mal verwenden, werden Sie vielleicht feststellen, dass wir in On-Premise-SQL-Datenbanken viel weniger Funktionen haben. Zum Beispiel hatten wir viele praktische GUI-Schnittstellen, die es uns ermöglichten, Anmeldungen zu erstellen und Sicherheitsberechtigungen zu kontrollieren. Dies ist bei Azure SQL-Datenbanken nicht der Fall. Um Anmeldungen zu erstellen und die Sicherheit zu konfigurieren, müssen wir T-SQL-Anweisungen verwenden.

Active Directory-Administrator

Bevor Sie neue Azure AD-Benutzeridentitäten für die Anmeldung bei Azure SQL-Datenbanken erstellen, müssen Sie einen Azure Directory Admin für Ihre SQL-Datenbank einrichten.
Hinweis: Sie benötigen keinen Azure Directory Admin, um SQL-Authentifizierungskonten zu erstellen.

1. Öffnen Sie im Azure Portal den SQL Server, der die Datenbank enthält, auf der Sie einem Benutzer Zugriff gewähren möchten. Suchen Sie Azure Active Directory im Menü.


2. Klicken Sie auf Administrator festlegen

3. Auf der Seite Administrator hinzufügen können Sie einen einzelnen Benutzer als Azure Active Directory-Administrator oder als Sicherheitsgruppe zuweisen.

4. Wenn Sie den Active Directory-Administrator hinzugefügt haben, klicken Sie auf die Schaltfläche Speichern.

Eigenständigen Benutzer erstellen

Bei der Verwendung von Azure SQL-Datenbank müssen wir neue Anmeldungen erstellen, die bereits eigenständige Datenbankbenutzer auf der Grundlage einer Azure Active Directory-Identität sind. Das bedeutet, dass ein eigenständiger Benutzer sich nicht bei der Masterdatenbank anmelden kann, sondern direkt der zugewiesenen Datenbank zugeordnet ist.

1. Um einen neuen Benutzer hinzuzufügen, müssen Sie sich entweder bei SQL Server Management Studio, Azure Data Studio oder Azure Query Editor mit einem Active Directory Admin-Konto anmelden. Der Einfachheit halber werden wir den Abfrage-Editor im Azure Portal verwenden.

2. Melden Sie sich mit dem Active Directory-Administratorkonto an.

3. Erstellen Sie einen neuen in Azure enthaltenen Benutzer mit der folgenden T-SQL-Syntax:

CREATE USER [_@_]
FROM EXTERNAL PROVIDER;
  1. Der Benutzer _@_ wird hinzugefügt, um auf die enthaltene Datenbank zuzugreifen, auf der Sie die T-SQL-Anweisung ausgeführt haben. Das bedeutet, dass dieser Benutzer keine Systemdatenbanken wie Master verwenden kann.

Zugriffe gewähren

Im vorigen Abschnitt wurde lediglich ein neuer Benutzer angelegt, der eine Verbindung zur Datenbank herstellen kann. Damit der Benutzer mit der Datenbank arbeiten kann, z. B. Daten lesen, müssen Sie ihm zusätzliche Berechtigungen erteilen. Dies können Sie tun, indem Sie dem Benutzer Datenbankrollen zuweisen oder ihm Zugriff auf bestimmte Datenbankberechtigungen geben. Hier sind einige hilfreiche Links:

Sie können die unten aufgeführten Skripte verwenden, um unseren neu erstellten Benutzern Zugriff zu gewähren. In den vorherigen Links, finden Sie eine vollständige Liste aller möglichen Berechtigungen und Rollen.

--Database Role Permissions
ALTER ROLE db_datareader ADD MEMBER [_@_]; 
ALTER ROLE db_datawriter ADD MEMBER [_@_]; 
ALTER ROLE db_ddladmin ADD MEMBER [_@_]; 

--Grant Database Permissions
GRANT VIEW DATABASE STATE TO [_@_]

--Grant Permission to specific objects
GRANT SELECT ON [dbo].[promotion] TO [_@_]
GRANT EXECUTE ON [dbo].[sp_procedure] TO [_@_]
GRANT UPDATE ON [dbo].[promotion] TO [_@_]

Verbindung mit vorhandenem Benutzer herstellen

Sie können mit SSMS eine Verbindung zu Azure SQL-Datenbank herstellen, indem Sie den Datenbankserver, wie in der Abbildung unten gezeigt, angeben. Da wir jedoch einen eigenständigen Benutzer verwenden, müssen Sie eine Datenbank auswählen, mit der Sie sich verbinden möchten. Klicken Sie dafür auf die Schaltfläche Optionen, andernfalls erhält der authentifizierende Benutzer eine Fehlermeldung, weil SQL versucht, sich mit der Masterdatenbank zu verbinden.

Nachdem Sie auf die Schaltfläche Optionen geklickt haben, navigieren Sie zu Verbindungseigenschaften und geben den Namen der Datenbank ein, mit der Sie eine Verbindung herstellen möchten.

Der Benutzer sollte nun eine Verbindung mit einer Azure AD-Identität herstellen können.

Wir hoffen, wir konnten Ihnen mit diesem Artikel das Erstellen eines Active Directory Users in Azure SQL vereinfacht darstellen. Sollten Sie Fragen zu diesem Thema haben, können Sie uns jederzeit per Kontaktformular zu diesem und vielen weiteren Themen kontaktieren.