我尝试为 Azure SQL Server 创建用户。我想使用 AzureAD 用户。
这是代码:
$accessToken = $(az account get-access-token --resource https://database.windows.net/ --query accessToken -o tsv --subscription ${data.azurerm_client_config.current.subscription_id})
$sqlConnection = New-Object System.Data.SqlClient.SqlConnection
$sqlConnection.ConnectionString = "Data Source = ${azurerm_sql_server.server.fully_qualified_domain_name}; Initial Catalog = ${azurerm_sql_database.sqldb.name}"
$sqlConnection.AccessToken = $accessToken
$sqlConnection.Open()
$sqlCmd = New-Object System.Data.SqlClient.SqlCommand
$sqlCmd.Connection = $sqlConnection
$sqlCmd.CommandText = "CREATE USER [someone.name_domain.com#EXT#@rootdomain.onmicrosoft.com] FROM EXTERNAL PROVIDER"
$sqlCmd.ExecuteNonQuery()
用于生成令牌的 azure 命令行使用服务主体进行身份验证。服务主体定义为azurerm_sql_active_directory_administrator使用 AAD 组。我收到以下错误
MethodInvocationException:
Line |
11 | $sqlCmd.ExecuteNonQuery()
| ~~~~~~~~~~~~~~~~~~~~~~~~~
| Exception calling "ExecuteNonQuery" with "0" argument(s): "Principal 'someone.name_domain.com#EXT#@rootdomain.onmicrosoft.com' could not be resolved. Error message: ''"
如果我将 SqlCommand 更改为:SELECT * FROM sys.database_principals。我可以查询结果。因此我认为身份验证本身不是问题。
另一方面,当使用我的 Active Directory 用户(属于同一 AAD 组)而不是服务主体登录 azure cli 时,CREATE USER ...命令有效并且用户已创建。
我想自动化运行代码,因此我需要它与我的服务主体一起工作。有什么办法可以让这项工作成功吗?
Azure SQL 数据库目前不允许服务主体创建用户。
But others have found some workaround to solve the issue:
微软MSFT确认无误,官方教程即将发布:
将服务器标识分配给 Azure SQL 逻辑服务器
Set-AzSqlServer -ResourceGroupName-ServerName-AssignIdentity
授予目录读者服务器身份的权限。
请参考此博客:
希望这可以帮助。