第1回では、SQL Server 2022 の新機能の一つである SQL Serverを従量課金制 (pay-as-you-go) についてまとめてみました。
第2回では、SQL Server 2022 より利用可能となった Azure Active Directory (以下 Azure AD)認証について、自分の整理も兼ねてまとめてみようと思います。
SQL Server の Azure AD 認証について
Azure SQL Database では Azure AD を利用した認証がサポートされていましたが、SQL Server 2022 以降、オンプレミス上の Windows および Linux サーバーにおいても Azure AD 認証がサポートされるようになりました。
Azure AD 認証方法としては、以下のような方法がサポートされています。
- Azure Active Directory パスワード
- Azure Active Directory 統合
- Azure Active Directory - 多要素認証(MFA) による Universal認証
- Azure Active Directory アクセス トークン
但し、オンプレミス上の SQL Server が Azure AD へ認証を実施するための前提条件として、以下の条件があるようです。
- SQL Server 2022 および SQL Serverをインストールしているサーバー (Windows/Linux) が Azure Arc に登録されている必要がある。
- Azure AD 上に 認証用アプリケーション登録する必要がある。
- Azure KeyVault 上に 認証用アプリケーション用の証明書を作成する必要がある。
- SQL Server 2022 上で Azure AD認証用のログイン、ユーザーを作成する必要がある。
※ オンプレミス SQL Server 2022 を Azure Arc の管理対象に追加する方法については、以下の URL を参照
[例] Azure Arc に登録されているオンプレミス上のSQL Serverインスタンス
SQL Server の Azure AD 認証の設定方法について
SQL Server の Azure AD 認証の設定方法については、以下のURLを参照
[注意点]
現時点 (2023年2月時点) において、既知の問題として、Azure AD 認証用に作成した証明書を更新した場合、自動的に証明書を反映することができない可能性が有り、証明書を更新するために以下の手順が必要になる可能性があるとのことです。
証明書が正しく適用されなければ Azure AD 認証が失敗するため、証明書を更新した場合、以下の暫定対処策を実施すること
+ 証明書更新手順 (暫定対処策)
1) Azure Arc - インフラストラクチャ : SQL サーバー - 登録されている SQL Server インスタンス - 設定 : Azure Active Directory -「管理者の削除」を実施後、「保存」を選択。
2) 「管理者の設定」を選択し、新しい証明書を使用した Azure AD 認証を再構成後、「保存」を選択。
まとめ
第2回では、SQL Server 2022 より利用可能となった Azure AD 認証についてまとめてみました。Azure AD 認証を利用することで、Azure AD の標準機能で利用可能な多要素認証(MFA) を利用した認証についても実施することが可能となります。
また、Azure Arc + SQL Server 2022 Azure AD 認証を利用することで、マルチクラウド (AWS, Google Cloud など) および オンプレミス上の SQL Server 2022 の認証情報を一元管理することが可能となり、一貫したガバナンス、セキュリティを実現することが可能となります。 そのため、SQL Server 2022 を新規導入、もしくは アップグレードする場合には、Azure Arc を利用することを検討してみても良いかと思います。
【第3回 SQL Server 2022 新機能】Azure SQL Managed Instance へのリンク機能の拡充 (ディザスタリカバリ) へ
※ 2023年2月 現在