SQL Database と SQL Data Warehouse で Azure AD 認証の一般提供を開始

  • Article

執筆者: Mirek Sztajno (SQL サーバー セキュリティ担当シニア プログラム マネージャー)

このポストは、8 月 4 日に投稿された GA for Azure AD authentication in SQL Database and SQL Data Warehouse の翻訳です。

 

このたび、Azure SQL Database および Azure SQL Data Warehouse で Azure Active Directory (Azure AD) 認証の一般提供が開始されました。Azure AD は SQL 認証に代わる認証方法で、ID とグループの一元管理を可能にします。Azure AD 認証により、フェデレーション ドメインで SQL Database や SQL Data Warehouse を使用する場合にシングル サインオンを利用できます。Azure AD は、増加を続ける Azure サービスやその他のマイクロソフト サービスに対する認証に使用できるため、お客様は管理対象のユーザーとパスワードが増えるのを防ぐことができます。その他にも次のような利点があります。

  • アクセス許可の管理がずっとシンプルに: 基盤となるデータベースにアクセスすることなく、Azure AD グループ経由でデータベースのアクセス許可を制御できるようになります。
  • 以下をサポート:
    • ユーザー名とパスワードを使用する Azure AD の管理対象ドメインおよびフェデレーション ドメイン。パスワードのローテーションは一元化され、Azure AD から自動的にトリガーされます。
    • Azure AD のフェデレーション ドメインや、ドメインに参加しているマシン上のクライアントでの統合 Windows 認証の利用。これにより、参加サービスでのシングル サインオンが可能になります。また、VPN を使用したリモート接続でも統合 Windows 認証がサポートされます。
    • JSON Web Token (JWT)。SQL Database (サービス アカウントなど) に対して、中間層アプリケーションの Azure AD 認証を実行することができます。

Azure AD 認証を使用するには、Azure AD 管理者を設定し、Azure AD の ID にマッピングされた SQL の包含データベース内のユーザーをプロビジョニングする必要があります。Azure AD 管理者の作成には、PowerShell、REST API、Azure ポータルのいずれかを使用します。

以下の画面では、Azure AD グループを代表する Azure ポータルの AD 管理者である DBA と、完全なサーバー管理者としてのアクセス許可が付与されているメンバーの rachelb@contososales.onmicrosoft.com を確認することができます。

次の画面では、Azure AD SQL 管理者 ( rachelb@contososales.onmicrosoft.com ) が ContosoSales という SQL Database に接続しています。右側のクエリ ウィンドウ内のサンプル T-SQL コードにより、SalesReps という名前の Azure AD グループにマッピングされた SQL の包含データベース内の同名のユーザー (SalesReps) をプロビジョニングします。その結果、AD グループ SalesReps のすべてのメンバー (接続ウィンドウに表示されているユーザーの joep@contososales.onmicrosoft.com など) が AD 資格情報 (ユーザー名とパスワード) を使用して ContosoSales に接続できるようになります。SSMS に “Active Directory Password Authentication” という新しい認証オプションが表示されている点に注目してください。

次のステップ