Panoramica di Microsoft Active Directory gestito in Cloud SQL

Puoi integrare Cloud SQL per SQL Server con Managed Service for Microsoft Active Directory (chiamato anche Microsoft Active Directory gestito).

Questa pagina contiene informazioni da esaminare prima di avviare un'integrazione. Dopo aver esaminato le seguenti informazioni, tra cui limitazioni, vedi Utilizzo di Cloud SQL con Microsoft Active Directory gestito.

Vantaggi dell'integrazione con Microsoft AD gestito

Autenticazione, autorizzazione e altro sono disponibili tramite Microsoft AD gestito. Ad esempio, l'unione di un'istanza a un dominio Microsoft AD gestito consente di accedere utilizzando l'autenticazione Windows con un'identità basata su AD.

L'integrazione di Cloud SQL per SQL Server con un dominio AD offre il vantaggio aggiuntivo dell'integrazione del cloud con i tuoi domini AD on-premise.

Prerequisiti per l'integrazione

Puoi eseguire l'integrazione con Managed Microsoft AD, aggiunta del supporto dell'autenticazione Windows a un'istanza. Tuttavia, prima dell'integrazione, i seguenti requisiti sono obbligatori per il tuo Progetto Google Cloud:

Crea e configura un account di servizio

Devi disporre di un account di servizio per prodotto e progetto per ogni progetto che prevedi di integrare con Microsoft AD gestito. Usa gcloud o la console per a livello di progetto. All'account di servizio per prodotto e per progetto deve essere concesso il ruolo managedidentities.sqlintegrator nel progetto. Per ulteriori informazioni, vedi gcloud projects set-iam-policy.

Se utilizzi la console Google Cloud, Cloud SQL crea automaticamente un account di servizio e ti chiede di concedere il ruolo managedidentities.sqlintegrator.

Per creare un account di servizio con gcloud, esegui il seguente comando:

gcloud beta services identity create --service=sqladmin.googleapis.com \
    --project=PROJECT_NUMBER

Questo comando restituisce il nome di un account di servizio nel seguente formato:

    service-PROJECT_NUMBER@gcp-sa-cloud-sql.iam.gserviceaccount.com

Ecco un esempio di nome di account di servizio:

    service-333445@gcp-sa-cloud-sql.iam.gserviceaccount.com

Per concedere l'autorizzazione necessaria per l'integrazione sono necessarie autorizzazioni esistenti. Per le autorizzazioni richieste, consulta Autorizzazioni richieste.

Per concedere l'autorizzazione necessaria per l'integrazione, esegui questo comando. Se Microsoft Active Directory gestito si trova in un altro progetto AD_PROJECT_ID deve essere quello contenente l'istanza di Managed Service for Microsoft Active Directory, mentre SQL_PROJECT_NUMBER deve essere quello contenente l'SQL Istanza server:

gcloud projects add-iam-policy-binding AD_PROJECT_ID \
--member=serviceAccount:service-SQL_PROJECT_NUMBER@gcp-sa-cloud-sql.iam.gserviceaccount.com \
--role=roles/managedidentities.sqlintegrator

Consulta anche gcloud beta services identity create.

Best practice per l'integrazione con Managed Microsoft AD

Quando pianifichi un'integrazione, esamina quanto segue:

Avere un'istanza SQL Server e un'istanza AD gestita nella stessa regione offre la latenza di rete più bassa e le migliori prestazioni. Pertanto, quando possibile, configurare un'istanza SQL Server e un'istanza AD nella stessa regione. Inoltre, indipendentemente dal fatto che le configuri o meno nella stessa regione, configura una regione principale e una di backup per una maggiore disponibilità.

Topologie per l'integrazione con Microsoft AD gestito

Cloud SQL per SQL Server non supporta i gruppi locali di dominio. Tuttavia, puoi:

  • Aggiungi gruppi globali o singoli accessi utente direttamente in SQL Server
  • Utilizza i gruppi universali quando tutti i gruppi e gli utenti appartengono alla stessa foresta

Se i gruppi locali del dominio erano supportati, account utente individuali e gruppi globali e universali potrebbero essere aggiunti figlio di un gruppo locale del dominio (che protegge l'accesso a SQL Server). Questo potrebbe consente di aggiungere un gruppo locale del dominio come accesso a SQL Server. In Cloud SQL per SQL Server, puoi attivare funzionalità simili, come descritto in questa sezione.

Opzione 1: aggiungi account utente e gruppi come accessi a SQL Server

Se hai più domini, in più foreste e disponi in più gruppi globali, puoi aggiungere singoli account utente, e i gruppi globali e universali, direttamente come accessi a SQL Server. Come un esempio dell'opzione 1, osserva il seguente diagramma:

Topologia AD, opzione 1.

Opzione 2: definisci un gruppo universale in uno dei tuoi domini

Se i tuoi domini si trovano nella stessa foresta, puoi definire un gruppo universale in uno dei tuoi domini. Poi puoi aggiungere tutti i singoli account utente e i gruppi globali e universali come elementi secondari di questo gruppo universale definito e aggiungere il gruppo universale definito come accesso a SQL Server. Come un esempio dell'opzione 2, osserva il seguente diagramma:

Topologia AD, opzione 2.

Limitazioni e alternative

Durante l'integrazione con Managed Microsoft AD:

  • I gruppi locali del dominio non sono supportati, ma puoi aggiungere gruppi globali o singoli accessi utente direttamente in SQL Server. In alternativa, puoi utilizzare i gruppi universali quando tutti i gruppi e gli utenti appartengono alla stessa foresta.
  • In genere, ai nuovi utenti creati tramite la console Google Cloud viene assegnato il ruolo CustomerDbRootRole, che ha questo ruolo del database fisso dell'agente SQL Server:SQLAgentUserRole. Tuttavia, gli utenti creati direttamente tramite SQL Server, ad esempio utenti Microsoft Active Directory gestiti, non è possibile concedere questo ruolo o utilizzare SQL Agente server, perché il database MSDB in cui deve essere concesso questo ruolo è protetto.
  • Alcune operazioni con limitazioni potrebbero generare il seguente errore: "Impossibile ottenere informazioni sul gruppo/utente Windows NT". Un esempio di questo tipo di un'operazione limitata è la creazione di accessi da parte di utenti di domini che collegati in un rapporto di fiducia. Un altro esempio è la concessione di privilegi agli utenti di domini collegati tramite un rapporto di attendibilità. In questi casi, riprovare l'operazione ha esito positivo. Se il tentativo di nuovo accesso non va a buon fine, chiudi la connessione e apri una nuova connessione.
  • I nomi di dominio completi (FQDN) non sono supportati da SQL Server su Windows. Pertanto, utilizza nomi di dominio (nomi brevi) anziché nomi di dominio completi, quando devi creare degli accessi SQL Server. Ad esempio, se il tuo nome di dominio è ad.mydomain.com, quindi crea accessi SQL Server per ad\user, anziché per ad.mydomain.com\user.
  • Per accedere alle istanze SQL Server, utilizza sempre i nomi di dominio completi. Ad esempio, potresti utilizzare un FQDN simile a private.myinstance.us-central1.myproject.cloudsql.mydomain.com. I nomi NetBIOS non sono supportati, né i nomi brevi se i suffissi DNS sono omessi.
  • Non è possibile eseguire gli accessi a SQL Server basati su utenti e gruppi di Active Directory gestite dalla console Google Cloud.
  • In Cloud SQL, se un'istanza SQL Server è stata creata il giorno o prima Dal 12 marzo 2021, non può essere integrato con Managed Microsoft AD.
  • L'autenticazione Windows non funziona con una relazione attendibile esterna. Errore potrebbe essere il seguente: "Il nome dell'entità di destinazione non è corretto. Impossibile generare il contesto SSPI." Inoltre, per quanto riguarda consigli di Microsoft, utilizza un trust della foresta anziché un trust esterno per l'autenticazione Kerberos.

Non supportata per l'integrazione

Le seguenti funzionalità non sono supportate durante l'integrazione con Microsoft Advertising gestito:

  • Gruppi locali del dominio.
  • Eliminazione degli accessi a SQL Server da parte di utenti di domini collegati tramite un rapporto di attendibilità. Puoi eseguire questa operazione con un utente del tuo dominio gestito o tramite l'accesso sqlserver.
  • Autenticazione NTLM.
  • Accedi con un indirizzo IP di domini collegati tramite un trust relazione tra di noi.
  • Istanze con nomi lunghi (più di 63 caratteri).

Passaggi successivi