Аутентификация с помощью идентификатора Microsoft Entra в sqlcmd

sqlcmd (Go) поддерживает больше моделей проверки подлинности Microsoft Entra на основе пакета azidentity. Реализация использует соединитель Microsoft Entra в драйвере go-sqlcmd.

Аргументы командной строки

Чтобы использовать проверку подлинности Microsoft Entra, можно использовать один из двух коммутаторов командной строки.

-G (в основном) совместим с его использованием в sqlcmd (ODBC). Если указано имя пользователя и пароль, он проходит проверку подлинности с помощью проверки подлинности паролей Microsoft Entra. Если указано имя пользователя, используется интерактивная аутентификация Microsoft Entra, которая может показывать веб-браузер. Если имя пользователя или пароль не указаны, то используется DefaultAzureCredential метод, который пытается пройти проверку подлинности с помощью различных механизмов.

Для указания одного из следующих типов проверки подлинности можно использовать --authentication-method=.

ActiveDirectoryDefault

• Общие сведения о типах проверки подлинности, используемых в этом режиме, см. в разделе "Учетные данные Azure по умолчанию".
• Выберите этот метод, если скрипты автоматизации базы данных предназначены для выполнения как в локальных средах разработки, так и в рабочем развертывании в Azure. В среде разработки можно использовать секрет клиента или имя входа Azure CLI. Без изменения скрипта из среды разработки можно использовать управляемое удостоверение или секрет клиента в рабочем развертывании.
• Установка переменных среды AZURE_TENANT_ID и AZURE_CLIENT_ID необходима для DefaultAzureCredential того, чтобы начать проверку конфигурации среды и искать одну из следующих дополнительных переменных среды для аутентификации:
  • Установка переменной AZURE_CLIENT_SECRET среды настраивает DefaultAzureCredential для выбора ClientSecretCredential.
  • Настройка переменной AZURE_CLIENT_CERTIFICATE_PATH среды настраивает DefaultAzureCredential на выбор ClientCertificateCredential, если AZURE_CLIENT_SECRET не задан.
• Настройка переменной среды AZURE_USERNAME приводит DefaultAzureCredential к выбору UsernamePasswordCredential, если AZURE_CLIENT_SECRET и AZURE_CLIENT_CERTIFICATE_PATH не заданы.

ActiveDirectoryIntegrated

Этот метод в настоящее время не реализуется и возвращается в ActiveDirectoryDefault.

ActiveDirectoryPassword

• Этот метод проходит проверку подлинности с помощью имени пользователя и пароля. Он не работает, если требуется многофакторная проверка подлинности.

• Вы предоставляете имя пользователя и пароль с помощью обычных коммутаторов командной строки или SQLCMD переменных среды.

• Задайте для переменной среды AZURE_TENANT_ID идентификатор арендатора сервера, если не используется арендатор пользователя по умолчанию.

ActiveDirectoryInteractive

Этот метод запускает веб-браузер для проверки подлинности пользователя.

ActiveDirectoryManagedIdentity

Используйте этот метод при запуске sqlcmd (Go) на виртуальной машине Azure, которая имеет управляемое удостоверение, назначаемое системой или назначаемое пользователем. При использовании управляемого удостоверения, назначаемого пользователем, задайте имя пользователя как идентификатор клиента управляемого удостоверения. Если используется идентичность, назначаемая системой, оставьте поле имени пользователя пустым.

В этом примере показано, как подключиться с помощью удостоверения с назначением службы (SAMI):

sqlcmd -S testsrv.database.windows.net -d Target_DB_or_DW --authentication-method ActiveDirectoryManagedIdentity

В этом примере показано, как подключиться к управляемому удостоверению, назначенному пользователем (UAMI), добавив идентификатор клиента назначаемого пользователем управляемого удостоверения:

sqlcmd -S testsrv.database.windows.net -d Target_DB_or_DW --authentication-method ActiveDirectoryManagedIdentity -U <user-assigned-managed-identity-client-id>

ActiveDirectoryServicePrincipal

Этот метод проверяет подлинность указанного имени пользователя в качестве идентификатора субъекта-службы и пароль в качестве секрета клиента для субъекта-службы. Укажите имя пользователя в формате <application (client) ID>. Задайте для переменной SQLCMDPASSWORD секрет клиента. При использовании сертификата вместо секрета клиента задайте для переменной среды AZURE_CLIENT_CERTIFICATE_PATH путь к файлу сертификата.

sqlcmd -S testsrv.database.windows.net -d Target_DB_or_DW --authentication-method ActiveDirectoryServicePrincipal -U <Application (client) ID> -P <client secret>

Переменные среды для аутентификации Microsoft Entra

Некоторые параметры аутентификации Microsoft Entra не имеют входных данных командной строки, а некоторые переменные среды используются непосредственно azidentity пакетом, используемым sqlcmd (Go).

Эти переменные среды можно задать для настройки некоторых аспектов проверки подлинности Microsoft Entra и обхода поведения по умолчанию. Помимо перечисленных ранее переменных, следующие относятся к sqlcmd (Go) и применяются к нескольким методам.

SQLCMDCLIENTID

Задайте для этой переменной среды идентификатор приложения, зарегистрированного в Microsoft Entra, который авторизован для аутентификации в базе данных SQL Azure. Применяется к методам ActiveDirectoryInteractive и ActiveDirectoryPassword.

Этот -G параметр используется sqlcmd (ODBC) при подключении к базе данных SQL Azure или Azure Synapse Analytics, чтобы указать, что пользователь проходит проверку подлинности с помощью проверки подлинности Microsoft Entra. Этот параметр задает .

• Для параметра -G требуется версия 13.1 или более поздняя sqlcmd. Для интерактивной проверки подлинности Microsoft Entra требуется sqlcmd (ODBC) версии 15.0.1000.34 и более поздних версий, а также ODBC версии 17.2 и более поздних версий.

• Для интегрированной проверки подлинности Microsoft Entra требуется драйвер Microsoft ODBC для SQL Server версии 17.6.1 и более поздних версий, а также правильно настроенная среда Kerberos.

• Параметр -G применяется только для Базы данных SQL Azure и Azure Synapse Analytics.

• Интерактивная проверка подлинности Microsoft Entra в настоящее время не поддерживается в Linux или macOS.

Чтобы определить версию, выполните sqlcmd "-?". Дополнительные сведения см. в статье Microsoft Entra authentication for Azure SQL. Параметр -A не поддерживается с параметром -G .

Имя пользователя и пароль Microsoft Entra

Если вы хотите использовать имя пользователя и пароль Microsoft Entra, можно указать -G параметр с именем пользователя и паролем, используя -U параметры и -P параметры.

sqlcmd -S testsrv.database.windows.net -d Target_DB_or_DW -U bob@contoso.com -P MyAzureADPassword -G

Параметр -G создает следующую строку подключения на серверной стороне.

SERVER = Target_DB_or_DW.testsrv.database.windows.net;UID=bob@contoso.com;PWD=MyAzureADPassword;AUTHENTICATION=ActiveDirectoryPassword;

Встроенная проверка подлинности Microsoft Entra

Для встроенной проверки подлинности Microsoft Entra укажите -G параметр без имени пользователя или пароля.

sqlcmd -S Target_DB_or_DW.testsrv.database.windows.net -G

Эта команда создает следующую строку подключения в фоновом режиме:

SERVER = Target_DB_or_DW.testsrv.database.windows.net;Authentication=ActiveDirectoryIntegrated;Trusted_Connection=NO;

Интерактивная проверка подлинности Microsoft Entra

Интерактивная проверка подлинности Microsoft Entra для База данных SQL Azure и Azure Synapse Analytics позволяет использовать интерактивный метод, поддерживающий многофакторную проверку подлинности. Дополнительные сведения см. в статье "Интерактивная проверка подлинности Active Directory".

Чтобы включить интерактивную проверку подлинности, укажите -G параметр только с именем пользователя (-U) без пароля.

В следующем примере экспортируются данные с помощью интерактивного режима Microsoft Entra, указывающего имя пользователя, в котором пользователь представляет учетную запись Microsoft Entra. Это тот же пример, используемый в предыдущем разделе, имя пользователя и пароль Microsoft Entra.

В интерактивном режиме требуется вручную ввести пароль или учетные записи с включенной многофакторной проверкой подлинности, выполнить настроенный метод проверки подлинности MFA.

sqlcmd -S testsrv.database.windows.net -d Target_DB_or_DW -G -U alice@aadtest.onmicrosoft.com

Предыдущая команда создает следующую строку подключения в серверной части:

SERVER = Target_DB_or_DW.testsrv.database.windows.net;UID=alice@aadtest.onmicrosoft.com;AUTHENTICATION=ActiveDirectoryInteractive

Если пользователь Microsoft Entra является федеративным пользователем домена с помощью учетной записи Windows, имя пользователя, необходимое в командной строке, содержит свою учетную запись домена (например joe@contoso.com):

sqlcmd -S testsrv.database.windows.net -d Target_DB_or_DW -G -U joe@contoso.com

Если гостевые пользователи существуют в определенном клиенте Microsoft Entra и являются частью группы, которая существует в базе данных SQL Azure с разрешениями на выполнение команды sqlcmd , используется псевдоним гостевого пользователя (например, keith0@adventureworks.com).