Esplora come configurare server collegati in SQL Managed Instance utilizzando l’autenticazione Microsoft Entra.
Il panorama della gestione dei database sta evolvendo rapidamente e, con l’introduzione di nuove tecnologie e piattaforme, la necessità di integrare dati provenienti da diverse fonti è sempre più impellente. Nell’ambito delle piattaforme di gestione dei dati basate su cloud, la creazione di server collegati in una SQL Managed Instance (SQL MI) rappresenta una sfida intrigante, soprattutto se si desidera utilizzare l’autenticazione moderna fornita da Microsoft Entra (precedentemente noto come Azure Active Directory).
Recenti esplorazioni hanno evidenziato l’interesse di vari utenti nell’uso di server collegati da SQL MI per connettersi ad altri database PaaS come ulteriori SQL MI, Azure SQL Database o database Synapse, facendo uso della sofisticata autenticazione di Entra. In quest’ottica, diventa fondamentale capire come configurare correttamente questa connessione allo scopo di garantire una gestione efficace dei dati e una cyber security adeguata.
Inizialmente, è importante creare un’identità gestita per l’istanza SQL Managed. Questo può essere realizzato attraverso il portale di Azure o utilizzando strumenti come Azure PowerShell o Azure CLI. L’identità gestita rappresenta l’entità che si autenticherà presso le risorse di Azure, fungendo da intermediario sicuro tra i diversi database.
Una volta configurata l’identità gestita nella SQL Managed Instance, è necessario consentire il traffico in uscita nel gruppo di sicurezza di rete (NSG) dell’istanza SQL MI. Un approccio semplificato per questa operazione prevede l’uso dei service tags di Azure, che rappresentano un metodo intuitivo per gestire le regole di sicurezza basate su indirizzi IP noti appartenenti a servizi Azure.
In seguito, è fondamentale configurare un amministratore di Entra per l’istanza SQL MI, che avrà il ruolo di una sorta di supervisore delle autenticazioni e delle autorizzazioni all’interno del sistema.
Il passo successivo coinvolge la creazione di un utente contenuto all’interno del database Azure SQL, che sarà collegato all’identità gestita della SQL MI. L’adozione di un utente contenuto aumenta la portabilità del database, rendendo più agevole la migrazione verso altri server.
Una volta creato l’utente, sarà necessario eseguire la procedura memorizzata sp_addlinkedserver per creare il server collegato. Durante questa fase, un parametro cruciale è la stringa di connessione specificata nel parametro “provstr”, che stabilirà un collegamento diretto con il database Azure SQL piuttosto che con il server logico Azure SQL.
Dopo aver configurato il server collegato, è importante creare una mappatura tra un login nell’istanza SQL MI (origine) e l’account utente creato nel database Azure SQL (destinazione) tramite la procedura memorizzata sp_addlinkedsrvlogin. Si può optare per configurare il parametro @locallogin a NULL per consentire a tutti i logins locali di utilizzare il server collegato, seguendo le linee guida ufficiali.
Testando il server collegato con questi settaggi, si dovrebbe poter eseguire query in modo trasparente, approfittando dell’autentica unificata offerta da Microsoft Entra. In caso di problemi o errori, è importante verificare le configurazioni e assicurarsi che i vari ruoli e permessi siano stati assegnati correttamente.
Sarà oggetto di un ulteriore approfondimento l’esplorazione della seconda modalità di autenticazione: l’autenticazione pass-through di Microsoft Entra, che promette di fornire un ulteriore strato di flessibilità e sicurezza.