共用方式為

如何使用 Microsoft Entra ID 和 Kerberos 实现 Azure SQL 托管实例的 Windows 身份验证

Microsoft Entra ID(以前为 Azure Active Directory)中的 Azure SQL 托管实例主体的 Windows 身份验证使客户能够在保持无缝用户体验的同时将现有服务移动到云中。 它为安全基础结构现代化提供了基础。 若要为 Microsoft Entra 主体启用 Windows 身份验证,请将 Microsoft Entra 租户转换为独立的 Kerberos 领域,并在客户域中创建传入信任。

此配置允许客户域中的用户访问 Microsoft Entra 租户中的资源。 它不允许Microsoft Entra 租户中的用户访问客户域中的资源。

下图概述了如何使用 Microsoft Entra ID 和 Kerberos 为 SQL 托管实例实现 Windows 身份验证:

身份验证概述:客户端将加密的 Kerberos 票证作为向 SQL 托管实例的身份验证请求的一部分提交。SQL 托管实例将加密的 Kerberos 票证提交到 Microsoft Entra ID,该 ID 将其交换为作为 SQL 托管实例返回的Microsoft Entra 令牌。SQL 托管实例使用此令牌对用户进行身份验证。

- [排查 Azure SQL 托管实例上Microsoft Entra 主体的 Windows 身份验证](winauth-azuread-troubleshoot.md)