因此,我创建了一个 Azure SQL 服务器,并在该服务器下有几个数据库。我的主要目标是允许其他几个 AD(现在是 Entra?)组访问服务器下的数据库。我并不关心他们是否有权访问服务器下的所有数据库,但他们实际上只需要一个。
我已经在 master 下和他们需要的特定数据库下为这些组创建了用户。
CREATE USER "ADGroup" FROM EXTERNAL PROVIDER;
还通过授予他们 db_reader 角色,为他们提供数据库下的读取访问权限。
我得到消息说,当他们尝试连接时,却无法连接。所以我尝试了
Grant connect to ADGroup;
在主数据库下。有人告诉我我没有 GRANT 权限,有点困惑,但后来发现,服务器级权限显然不是 Azure SQL 中的东西? (此链接的第一段)
所以我已经在特定数据库下授予了连接权限,并且执行成功。我还没有收到他们的回复,但是他们能够连接吗?服务器不需要知道他们首先被允许连接吗?如果这不起作用,我该怎么办?
是的,您可以使用 Azure 门户创建 Azure AD 组,然后向该组添加成员。您在希望组有权访问的特定数据库上为组创建用户是正确的。
CREATE USER [SQLGroup] FROM EXTERNAL PROVIDER
为了成功执行上述 T-SQL,您需要以 Azure Active Directory 管理员用户身份连接到数据库。
现在,请确保您为该组分配了只读权限,如下所示:
EXEC sp_addrolemember 'db_datareader', 'SQLGroup'
之后,该组的任何成员都应该能够毫无问题地连接和查询数据库。您可以使用 Azure Data Studio 或 SQL Server Management Studio 进行测试。
有关更多信息,请阅读此文档。