Я хочу добавить группу Azure AD в базу данных сервера sql, я искал помощь в обучении Microsoft, но я мог добавлять в базы данных только отдельных пользователей AD. Я хотел бы создать группу в Azure AD и добавить логины в эту группу, чтобы предоставить доступ к различным базам данных на основе ролей, назначенных этим группам.
Я использовал типичную команду для создания логина:
CREATE LOGIN [[email protected]] FROM EXTERNAL PROVIDER
после того, как я добавил этот логин в базы данных пользователей с помощью:
CREATE USER [user]
FOR LOGIN [[email protected]]
WITH DEFAULT_SCHEMA = dbo
GO
Я добавил этого пользователя в роль, которую я хотел, и пользователь имеет доступ к базе данных, которую я хочу, однако для групп этот процесс не работает, потому что я получил ошибку с разрешениями.
Используйте SQL Server Management Studio, чтобы подключиться к базе данных SQL Azure с помощью пользователя-администратора Azure Active Directory и щелкнуть Новый запрос. Затем выполните следующую инструкцию:
CREATE USER [ADSQLGroup] FROM EXTERNAL PROVIDER
ADSQLGroup — это имя группы в Azure AD. Вы можете создать группу с помощью портала Azure и добавить в нее участников.
После этого предоставьте разрешения на базу данных группе.
EXEC sp_addrolemember 'db_datareader', 'ADSQLGroup'
Дополнительную информацию о предоставлении доступа к группам AD в Azure SQL можно найти здесь.