Eseguire l'autenticazione con Microsoft Entra ID in sqlcmd

Si applica a:SQL Server Database SQL di AzureIstanza gestita di SQL di AzureAzure Synapse Analytics Piattaforma di analisi (PDW)Database SQL in Anteprima di Microsoft Fabric

sqlcmd supporta un'ampia gamma di modelli di autenticazione di Microsoft Entra, a seconda della versione installata.

Note

Anche se Microsoft Entra ID è il nuovo nome per Azure Active Directory (Azure AD), per evitare l'interruzione degli ambienti esistenti, la denominazione Azure AD è tuttora mantenuta in alcuni elementi hardcoded, ad esempio campi dell'interfaccia utente, provider di connessioni, codici errore e cmdlet. All’interno di questo articolo i due nomi vengono utilizzati in modo intercambiabile.

Per scoprire quale variante e versione di sqlcmd è installata nel sistema, vedere Controllare la versione installata dell'utilità sqlcmd. Per informazioni su come ottenere sqlcmd, vedere Scaricare e installare l'utilità sqlcmd.

sqlcmd (Go)
sqlcmd (ODBC)

sqlcmd (Go) supporta più modelli di autenticazione di Microsoft Entra, basati sul pacchetto azidentity. L'implementazione si basa su un connettore Microsoft Entra nel driver go-sqlcmd.

Argomenti della riga di comando

Per usare l'autenticazione di Microsoft Entra, è possibile usare una delle due opzioni della riga di comando.

-G è (per lo più) compatibile con il relativo utilizzo in sqlcmd (ODBC). Se vengono forniti un nome utente e una password, l'autenticazione verrà eseguita tramite l'autenticazione con password di Microsoft Entra. Se viene specificato un nome utente, usa l'autenticazione interattiva di Microsoft Entra, che può visualizzare un Web browser. Se non viene fornito alcun nome utente né alcuna password, viene usato un valore DefaultAzureCredential, che tenta di eseguire l'autenticazione tramite vari meccanismi.

--authentication-method= consente di specificare uno dei tipi di autenticazione seguenti.

ActiveDirectoryDefault

Per una panoramica dei tipi di autenticazione in uso, vedere Credenziali predefinite di Azure.
Scegliere questo metodo se gli script di automazione del database sono destinati a essere eseguiti in ambienti di sviluppo locali e in una distribuzione di produzione in Azure. Nell'ambiente di sviluppo, puoi utilizzare un segreto client o un login CLI di Azure. Senza modificare lo script dall'ambiente di sviluppo, sarà possibile usare un'identità gestita o un segreto client nella distribuzione di produzione.
L'impostazione delle variabili di ambiente AZURE_TENANT_ID e AZURE_CLIENT_ID è necessaria per DefaultAzureCredential per iniziare a controllare la configurazione dell'ambiente e cercare una delle variabili di ambiente aggiuntive seguenti per l'autenticazione:
- L'impostazione della variabile di ambiente AZURE_CLIENT_SECRET configura DefaultAzureCredential affinché scelga ClientSecretCredential.
- L'impostazione della variabile di ambiente AZURE_CLIENT_CERTIFICATE_PATH configura DefaultAzureCredential a scegliere ClientCertificateCredential se AZURE_CLIENT_SECRET non è impostato.
Impostare la variabile di ambiente AZURE_USERNAME configura DefaultAzureCredential per scegliere UsernamePasswordCredential se AZURE_CLIENT_SECRET e AZURE_CLIENT_CERTIFICATE_PATH non sono impostati.

ActiveDirectoryIntegrated

Questo metodo attualmente non è implementato e ripiega su ActiveDirectoryDefault.

ActiveDirectoryPassword

Questo metodo di autenticazione usa nome utente e password. Il metodo non funziona se è richiesta l'autenticazione a più fattori.
Specificare il nome utente e la password tramite le normali opzioni della riga di comando o le variabili di ambiente SQLCMD.
Impostare la variabile di ambiente AZURE_TENANT_ID sull'ID tenant del server se non si usa il tenant predefinito dell'utente.

ActiveDirectoryInteractive

Questo metodo avvia un Web browser per autenticare l'utente.

ActiveDirectoryManagedIdentity

Usare questo metodo quando si esegue sqlcmd (Go) in una macchina virtuale di Azure con un'identità gestita assegnata dall'utente o dal sistema. Se si usa un'identità gestita assegnata dall'utente, impostare il nome utente sull'ID client dell'identità gestita. Se si usa un'identità assegnata dal sistema, lasciare vuoto il nome utente.

Questo esempio illustra come connettersi usando un'identità gestita assegnata dal servizio (SAMI):

sqlcmd -S testsrv.database.windows.net -d Target_DB_or_DW --authentication-method ActiveDirectoryManagedIdentity

Questo esempio illustra come connettersi con un'identità gestita assegnata dall'utente (UAMI) aggiungendo l'ID client dell'identità:

sqlcmd -S testsrv.database.windows.net -d Target_DB_or_DW --authentication-method ActiveDirectoryManagedIdentity -U <user-assigned-managed-identity-client-id>

ActiveDirectoryServicePrincipal

Questo metodo autentica il nome utente fornito come ID del principal del servizio e la password come segreto client per il principal del servizio. Specificare un nome utente nel formato <application (client) ID>. Imposta la variabile SQLCMDPASSWORD sul segreto client. Se si usa un certificato anziché un segreto client, impostare la variabile di ambiente AZURE_CLIENT_CERTIFICATE_PATH sul percorso del file di certificato.

sqlcmd -S testsrv.database.windows.net -d Target_DB_or_DW --authentication-method ActiveDirectoryServicePrincipal -U <Application (client) ID> -P <client secret>

Variabili di ambiente per l'autenticazione di Microsoft Entra

Alcune impostazioni per l'autenticazione di Microsoft Entra non dispongono di input della riga di comando e alcune variabili di ambiente vengono usate direttamente dal pacchetto azidentity usato da sqlcmd (Go).

Tali variabili di ambiente possono essere impostate per configurare alcuni aspetti dell'autenticazione di Microsoft Entra e per ignorare i comportamenti predefiniti. Oltre alle variabili elencate in precedenza, le seguenti sono specifiche di sqlcmd (Go) e si applicano a più metodi.

SQLCMDCLIENTID

Impostare questa variabile di ambiente sull'identificatore di un'applicazione registrata in Microsoft Entra autorizzata a eseguire l'autenticazione nel database SQL di Azure. Si applica ai metodi ActiveDirectoryInteractive e ActiveDirectoryPassword.

Questa opzione -G viene usata da sqlcmd (ODBC) durante la connessione al database SQL di Azure o ad Azure Synapse Analytics per specificare che l'utente deve essere autenticato tramite l'autenticazione di Microsoft Entra. Questa opzione imposta la variabile di scripting di SQLCMDUSEAAD=true.

L'opzione -G richiede almeno sqlcmd versione 13.1. L'autenticazione interattiva di Microsoft Entra richiede sqlcmd (ODBC) versione 15.0.1000.34 e successive, nonché ODBC versione 17.2 e successive.
L'autenticazione integrata di Microsoft Entra richiede Microsoft ODBC Driver per SQL Server versione 17.6.1 e versioni successive e un ambiente Kerberos configurato correttamente.
L'opzione -G si applica solo al database SQL di Azure e ad Azure Synapse Analytics.
L'autenticazione interattiva di Microsoft Entra non è attualmente supportata in Linux o macOS.

Per determinare la versione, eseguire sqlcmd "-?". Per altre informazioni, vedere Autenticazione di Microsoft Entra per SQL di Azure. L'opzione -A non è supportata con l'opzione -G.

Nome utente e password di Microsoft Entra

Quando si desidera utilizzare il nome utente e la password di Microsoft Entra, è possibile fornire l'opzione -G insieme al nome utente e alla password, utilizzando le opzioni -U e -P.

sqlcmd -S testsrv.database.windows.net -d Target_DB_or_DW -U bob@contoso.com -P MyAzureADPassword -G

Il parametro -G genera la seguente stringa di connessione nel back-end:

SERVER = Target_DB_or_DW.testsrv.database.windows.net;UID=bob@contoso.com;PWD=MyAzureADPassword;AUTHENTICATION=ActiveDirectoryPassword;

Autenticazione integrata di Microsoft Entra

Per l'autenticazione integrata di Microsoft Entra fornire l'opzione -G senza nome utente o password.

sqlcmd -S Target_DB_or_DW.testsrv.database.windows.net -G

Il comando precedente genera la seguente stringa di connessione nel back-end:

SERVER = Target_DB_or_DW.testsrv.database.windows.net;Authentication=ActiveDirectoryIntegrated;Trusted_Connection=NO;

Note

L'opzione -E (Trusted_Connection) non può essere usata insieme all'opzione -G .

Autenticazione interattiva di Microsoft Entra

L'autenticazione interattiva di Microsoft Entra per il database SQL di Azure e Azure Synapse Analytics consente di usare un metodo interattivo che supporta l'autenticazione a più fattori. Per altre informazioni, vedere Autenticazione interattiva di Active Directory.

Per abilitare l'autenticazione interattiva, specificare l'opzione -G solo con il nome utente (-U) senza una password.

Nell'esempio seguente vengono esportati i dati usando la modalità interattiva di Microsoft Entra e indicando il nome utente che rappresenta un account Microsoft Entra. Questo è lo stesso esempio usato nella sezione precedente: Nome utente e password di Microsoft Entra.

Per la modalità interattiva è necessario immettere manualmente una password o, per gli account con l'autenticazione a più fattori abilitata, completare il metodo di autenticazione a più fattori configurato.

sqlcmd -S testsrv.database.windows.net -d Target_DB_or_DW -G -U alice@aadtest.onmicrosoft.com

Il comando precedente genera la seguente stringa di connessione nel back-end:

SERVER = Target_DB_or_DW.testsrv.database.windows.net;UID=alice@aadtest.onmicrosoft.com;AUTHENTICATION=ActiveDirectoryInteractive

Se un utente di Microsoft Entra è un utente di dominio federato che utilizza un account Windows, il nome utente richiesto nella riga di comando include il suo account di dominio (ad esempio joe@contoso.com).

sqlcmd -S testsrv.database.windows.net -d Target_DB_or_DW -G -U joe@contoso.com

Se in un tenant specifico di Microsoft Entra esistono utenti guest che fanno parte di un gruppo presente nel database SQL di Azure con autorizzazioni di database che consentono di eseguire il comando sqlcmd, viene usato l'alias utente guest, ad esempio keith0@adventureworks.com.

Important

Si verifica un problema noto quando si usa l'opzione -G e -U con sqlcmd (ODBC), in cui l'inserimento dell'opzione -U prima dell'opzione potrebbe causare l'esito negativo dell'autenticazione -G . Iniziare sempre con l'opzione -G seguita dall'opzione -U.

Commenti e suggerimenti

Questa pagina è stata utile?

Last updated on 2025-07-04