我们可以将用户添加到Azure AD域服务域吗
我们已经设置了一个Azure AD域服务,与Azure AD租户绑定。是否有任何方法仅将用户添加到托管域(以运行服务),或者用户必须存在于父Azure AD中?AAD DS是一个类似AAD的B2C层,提供了更多安全功能。 用户存储在您的AAD租户中。 要运行和保护您的服务/资源,您应该使用托管身份和企业应用程序 Azure SQL Server托管标识 将AAD用户管理员分配给您的服务器: 在SQL Server中创建包含的用户:我们可以将用户添加到Azure AD域服务域吗,azure,azure-active-directory,Azure,Azure Active Directory,我们已经设置了一个Azure AD域服务,与Azure AD租户绑定。是否有任何方法仅将用户添加到托管域(以运行服务),或者用户必须存在于父Azure AD中?AAD DS是一个类似AAD的B2C层,提供了更多安全功能。 用户存储在您的AAD租户中。 要运行和保护您的服务/资源,您应该使用托管身份和企业应用程序 Azure SQL Server托管标识 将AAD用户管理员分配给您的服务器: 在SQL Server中创建包含的用户: create user [my-app-service] fr
create user [my-app-service] from external provider;
alter role db_datareader add member [my-app-service];
alter role db_datawriter add member [my-app-service];
create user [my-app-service/slots/staging] from external provider;
alter role db_datareader add member [my-app-service/slots/staging];
alter role db_datawriter add member [my-app-service/slots/staging];
我的应用程序服务是一个占位符。您需要将其替换为您自己的应用程序服务的名称。此外,对于系统分配的标识,不同的部署插槽具有各自的标识
更新SQL连接以使用托管标识
托管实例是在要与SQL Server通信的应用程序服务中创建的。
以本帖为参考:
任何可以与AAD连接的资源都可以使用托管标识。
托管身份:
希望能有所启发。事实证明,您可以将自定义OU添加到托管域()中,然后可以在其中创建一个用户以运行SQL Server。
理论上,您可以设置一个组管理服务帐户(gMSA),但我无法使其正常工作(使用创建的gMSA时存在一些权限问题)。谢谢。我试图创建托管服务帐户,但无法使其运行。这是作为运行SQL Server。非常感谢-但我指的是实际运行SQL Server服务的用户。我们正在建立一个始终在线的AG,在两台机器上都有相同的服务用户,这使事情变得更容易。