Descripción general de Microsoft AD administrado en Cloud SQL

Puedes integrar Cloud SQL para SQL Server con el Servicio administrado para Microsoft Active Directory (Microsoft AD administrado). Esta página contiene información que debes revisar antes de comenzar una integración. Después de revisar la información a continuación, incluidas las limitaciones, consulta Usa Cloud SQL con Microsoft AD administrado.

Ventajas de la integración con Microsoft AD administrado

La autenticación, la autorización y mucho más están disponibles a través de Microsoft AD administrado. Por ejemplo, unir una instancia a un dominio administrado de Microsoft AD te permite acceder con la autenticación de Windows con una identidad basada en AD.

La integración de Cloud SQL para SQL Server con un dominio de AD tiene la ventaja adicional de la integración en la nube con tus dominios de AD locales.

Requisitos previos para la integración

Puedes realizar la integración con Microsoft AD administrado, agrega compatibilidad para la autenticación de Windows a una instancia. Sin embargo, antes de la integración, se requiere lo siguiente para tu proyecto de Google Cloud:

Crea y configura una cuenta de servicio

Necesitas una cuenta de servicio por proyecto y por producto para cada proyecto que desees integrar con Microsoft AD administrado. Usa gcloud o Console para crear la cuenta a nivel de proyecto. Se debe otorgar la función managedidentities.sqlintegrator en el proyecto a la cuenta de servicio por producto y por producto. Para obtener información adicional, consulta gcloud projects set-iam-policy.

Si usas Google Cloud Console, Cloud SQL crea de forma automática una cuenta de servicio y te pide que otorgues la función managedidentities.sqlintegrator.

Para crear una cuenta de servicio con gcloud, ejecuta el siguiente comando:

gcloud beta services identity create --service=sqladmin.googleapis.com \
             --project=[PROJECT]

Con ese comando, se muestra un nombre de cuenta de servicio en el siguiente formato:
service-[PROJECT_NUMBER]@gcp-sa-cloud-sql.iam.gserviceaccount.com

Este es un ejemplo de un nombre de cuenta de servicio:
service-333445@gcp-sa-cloud-sql.iam.gserviceaccount.com

Otorgar los permisos necesarios para la integración requiere permisos existentes. Para conocer los permisos necesarios, consulta los permisos necesarios.

A fin de otorgar el permiso necesario para la integración, ejecute el siguiente comando:

gcloud projects add-iam-policy-binding [PROJECT] \
--member=serviceAccount:service-[PROJECT_NUMBER]@gcp-sa-cloud-sql.iam.gserviceaccount.com \
--role=roles/managedidentities.sqlintegrator

Consulta también crea identidad de servicios beta de gcloud.

Recomendaciones para la integración con Microsoft AD administrado.

Cuando planifiques tus dominios, revisa las prácticas recomendadas. Por ejemplo, la información se proporciona en la documentación administrada de Microsoft AD sobre cómo agregar y quitar regiones.

Tener una instancia de SQL Server y una instancia de AD administrada en la misma región ofrece la menor latencia de red y el mejor rendimiento. Por lo tanto, cuando sea posible, configura una instancia de SQL Server y una instancia de AD en la misma región. Además, sin importar si las configuras en la misma región, configura una región principal y una de respaldo para obtener una mayor disponibilidad.

Limitaciones y alternativas

Las siguientes limitaciones se aplican cuando se integra con Microsoft AD administrado:

  • Los grupos locales de dominio no son compatibles, pero puedes agregar grupos globales o accesos de usuarios individuales directamente en SQL Server. También puedes usar grupos universales cuando todos los grupos y usuarios pertenecen al mismo bosque.
  • Algunas operaciones restringidas pueden generar el siguiente error: “No se pudo obtener información sobre el grupo o usuario de Windows NT”. Un ejemplo de este tipo de operación restringida es la creación de accesos por parte de los usuarios desde dominios conectados a través de una relación de confianza. Otro ejemplo es otorgar privilegios a los usuarios de los dominios que están conectados a través de una relación de confianza. En estos casos, volver a intentar ejecutar la operación suele ser exitoso. Si vuelve a intentarlo, cierra la conexión y abre una nueva.
  • SQL Server no admite los nombres de dominio completamente calificados (FQDN) en Windows. Por lo tanto, usa nombres de dominio (nombres cortos), en lugar de FQDN, cuando crees accesos de SQL Server. Por ejemplo, si el nombre de tu dominio es ad.mydomain.com, crea accesos de SQL Server para ad\user, en lugar de ad.mydomain.com\user.
  • Para acceder a las instancias de SQL Server, siempre usa FQDN. Por ejemplo, puedes usar un FQDN similar a private.myinstance.us-central1.myproject.cloudsql.mydomain.com. Los nombres de Netbios no son compatibles y no son nombres cortos si se omiten los sufijos DNS.
  • Los accesos de SQL Server basados en usuarios y grupos de Active Directory no se pueden administrar desde Google Cloud Console.
  • Un dominio de Microsoft AD administrado y las instancias de SQL Server correspondientes deben estar en el mismo proyecto de Google Cloud.
  • Restablecer una instancia desde una copia de seguridad hace que se desconecte de una instancia conectada anteriormente desde un dominio de Microsoft AD administrado.
  • En Cloud SQL, si se creó una instancia de SQL Server el 12 de marzo de 2021 o antes, no se puede integrar con Microsoft AD administrado.
  • Es posible que la autenticación de Windows no funcione con una confianza externa. El error puede ser el siguiente: "El nombre principal de destino es incorrecto. No se puede generar el contexto de SPI". Además, en relación con las recomendaciones de Microsoft, usa una confianza de bosque en lugar de una confianza externa para la autenticación Kerberos.
  • Es posible que la autenticación de Windows no funcione con nombres de dominio cuya longitud total sea menor que ocho caracteres, como en, por ejemplo, abcd.com.

No se admite para la integración

Actualmente, las siguientes características no son compatibles cuando se integra con Microsoft AD administrado:

  • Grupos locales de dominio
  • Quitar los accesos de SQL Server por parte de usuarios de dominios conectados a través de una relación de confianza Puedes realizar esta operación con un usuario de tu dominio administrado o a través del acceso sqlserver.
  • Autenticación NTLM
  • Accede con una dirección IP de los dominios conectados a través de una relación de confianza.
  • Instancias con nombres largos (más de 63 caracteres)

¿Qué sigue?