为 SQL Server Management Studio 和 Azure AD 配置多重身份验证

本主题演示如何将 Azure Active Directory 多重身份验证 (MFA) 用于 SQL Server Management Studio。 将 SSMS 或 SqlPackage.exe 连接到 Azure SQL 数据库和 Azure SQL 数据仓库时可以使用 Azure AD MFA。

有关 Azure SQL 数据库多重身份验证的概述,请参阅 SQL 数据库和 SQL 数据仓库的通用身份验证(对 MFA 的 SSMS 支持)

配置步骤

  1. 配置 Azure Active Directory - 有关详细信息,请参阅管理 Azure AD 目录将本地标识与 Azure Active Directory 集成将自己的域名添加到 Azure ADAzure 现在支持与 Windows Server Active Directory 联合使用 Windows PowerShell 管理 Azure AD
  2. 配置 MFA - 有关分步说明,请参阅什么是 Azure 多重身份验证?
  3. 配置 SQL 数据库或 SQL 数据仓库以进行 Azure AD 身份验证 - 有关分步说明,请参阅使用 Azure Active Directory 身份验证连接到 SQL 数据库或 SQL 数据仓库
  4. 下载 SSMS - 在客户端计算机上,从下载 SQL Server Management Studio (SSMS) 下载最新的 SSMS。 对于本主题中的所有功能,请至少使用 2017 年 7 月的版本 17.2。

使用 SSMS 通用身份验证进行连接

以下步骤演示如何使用最新的 SSMS 连接到 SQL 数据库或 SQL 数据仓库。

  1. 若要使用通用身份验证进行连接,请在“连接到服务器”对话框中选择“Active Directory - 通用且具有 MFA 支持”。 (如果看到“Active Directory 通用身份验证”,则使用的不是最新版本的 SSMS。)
    1mfa-universal-connect
  2. 采用格式 user_name@domain.com,使用 Azure Active Directory 凭据完成“用户名”框。
    1mfa-universal-connect-user
  3. 如果以来宾用户身份进行连接,则必须单击“选项”,然后在“连接属性”对话框中,完成“AD 域名或租户 ID”框。 有关详细信息,请参阅 SQL 数据库和 SQL 数据仓库的通用身份验证(对 MFA 的 SSMS 支持)mfa-tenant-ssms
  4. 像往常一样,必须对 SQL 数据库和 SQL 数据仓库单击“选项”,然后在“选项”对话框中指定数据库。 (如果连接的用户是来宾用户(如 joe@outlook.com),则必须选中该框并在“选项”中添加当前 AD 域名或租户 ID。 请参阅 SQL 数据库和 SQL 数据仓库的通用身份验证(对 MFA 的 SSMS 支持)(sql-database-ssms-mfa-authentication.md。 然后单击“连接”。
  5. 显示“登录到帐户” 对话框时,提供 Azure Active Directory 标识的帐户和密码。 如果用户属于与 Azure AD 联合的域,则无需任何密码。
    2mfa-sign-in

    Note

    如果使用不需要 MFA 的帐户进行通用身份验证,可以在此时连接。 对于需要 MFA 的用户,请继续执行以下步骤:

  6. 可能会显示两个 MFA 设置对话框。 这个一次性操作根据 MFA 管理员设置而定,因此可能是可选的。 对于已启用 MFA 的域,有时会预定义此步骤(例如,域会要求用户使用智能卡和 PIN 码)。
    3mfa-setup

  7. 通过第二个可能出现的一次性对话框,可以选择身份验证方法的详细信息。 可能的选项由管理员配置。
    4mfa-verify-1
  8. Azure Active Directory 向你发送确认信息。 收到验证码后,将其输入到“输入验证码”框中,并单击“登录”。
    5mfa-verify-2

验证完成后,SSMS 便会正常连接(假设凭据和防火墙访问有效)。

后续步骤