Azure SQL Database predstavuje plnohodnotnú relačnú databázu ako službu (Database as a Service), ktorá kombinuje výkon SQL Servera s vysokou dostupnosťou a správou v prostredí cloudu. Vďaka tomu odpadá potreba spravovať infraštruktúru a administrátor sa môže sústrediť na dáta, prístupové politiky a bezpečnosť.
Jednou z kľúčových oblastí pri prevádzke databázy v cloude je overovanie používateľov – teda spôsob, akým sa databáza rozhoduje, komu a ako povolí prístup. Azure SQL podporuje viacero metód autentifikácie, od klasického prihlásenia pomocou mena a hesla, až po moderné spôsoby založené na Azure Active Directory či Managed Identity pre služby bežiace v Azure.
Správne nastavenie autentifikácie má priamy vplyv na bezpečnosť, auditovateľnosť a dodržiavanie noriem kybernetickej bezpečnosti (napríklad NIS2 alebo ISO 27001). Tento článok preto sumarizuje hlavné prístupy k overovaniu, ukazuje, ako manuálne vytvárať používateľov, aké SQL príkazy použiť a ktoré nastavenia odporúčame pri produkčnom nasadení.
Cieľom je poskytnúť prehľadný a praktický návod pre IT špecialistov, administrátorov a bezpečnostných expertov, ktorí pracujú s Azure SQL a chcú nastaviť overovanie používateľov bezpečne, efektívne a v súlade s modernými štandardmi.
Prehľad hlavných autentifikačných metód
- SQL autentifikácia (SQL login + heslo)
Tradičný spôsob: používateľ (login) a heslo spravované na úrovni SQL servera. Používa sa pri legacy aplikáciách alebo ak nie je možné použiť Azure AD. Nevýhoda: správa hesiel, rotácia a MFA sú manuálne. - Azure Active Directory (Azure AD) autentifikácia
Odporúčaná moderná metóda. Podporuje:- Azure AD users (koncepčne rovnako ako bežné identity),
- Azure AD groups (mapovanie skupín na práva v DB),
- Service principals / App registrations (pre aplikácie),
- Managed identities (systémové identity pre VM / App Service / Functions).
Výhoda: centralizovaná správa identity, možnosť MFA, podmieneného prístupu (Conditional Access) a auditovania.
- Token-based prístup (OAuth2 / Access Token)
Klienti získajú access token od Azure AD a použijú ho na pripojenie k SQL (bez hesla). Dôležité pri Managed Identity a moderných microservices. - Hybridné (on-prem AD cez Azure AD Connect)
On-prem AD synchronizované s Azure AD — používateľ môže používať rovnaké poverenia (Single Sign-On) ak je správne nastavená federácia alebo password-hash sync.
Ako pridať používateľov — praktické postupy
SQL autentifikácia — vytvorenie server-level login a database user
Toto sa robí na SQL serveri (server-level logins) a potom vo vybranej databáze.
Príklad (T-SQL):
-- na master databáze (server-level login)
CREATE LOGIN app_user WITH PASSWORD = 'S!1edneHeslo2025';
-- v cielennej databaze
CREATE USER app_user FOR LOGIN app_user;
-- priradenie rolí/práv
ALTER ROLE db_datareader ADD MEMBER app_user;
ALTER ROLE db_datawriter ADD MEMBER app_user;Poznámky:
- Používajte robustné heslá a v produkcii nikdy nepíšte heslá do skriptov v plaintext (použiť Key Vault).
- Pri použití SQL autentifikácie zvážte limitovanie prístupu IP adresami (firewall) a povinné TLS.
Azure AD používateľ alebo skupina — „externý poskytovateľ“
Azure AD je externe poskytovaný identitný provider — príkaz sa vykoná v databáze:
Pridať Azure AD používateľa:
-- prihláste sa ako Azure AD admin alebo účet s právami
-- v cielennej databaze
CREATE USER [martin.hasin@mhite.sk] FROM EXTERNAL PROVIDER;
ALTER ROLE db_datareader ADD MEMBER [martin.hasin@mhite.sk];Pridať Azure AD skupinu
Azure Entra ID:
SQL databáza:
-- v main databaze
CREATE USER [sqlaccessgroup] FROM EXTERNAL PROVIDER;
-- v cielennej databaze
CREATE USER [sqlaccessgroup] FROM EXTERNAL PROVIDER;
GRANT SELECT TO [sqlaccessgroup];Overenie pripadnia:
SELECT name, type_desc
FROM sys.database_principals
WHERE name = 'sqlaccessgroup';
Odborník na kybernetickú bezpečnosť, správu Azure Cloud a VMware onprem. Využíva technológie, ako Checkmk a MRTG, na monitorovanie siete a zvyšovanie efektívnosti a bezpečnosti IT infraštruktúry. Kontakt: hasin(at)mhite.sk
