オンプレ系インフラエンジニアがAzureを勉強する

いつか誰かの何かの役に立つと嬉しいな

Azure SQL DatabaseのAzureAD認証周りのメモ

Azure Azure Active Directory SQL Server

細かいエラーが続いたのでメモです。

前提条件

環境

AADにあるグループ
グループ名:test-admin-group
所有者:blogtest
メンバー:blogtest2

グループ名:app-group
所有者:なし
メンバー:WebAppいくつか

目的

app-groupグループをSQL Serverのユーザーにして、ロールを割り当てたい。

やったこと

app-groupグループをSQL Serverのユーザーにして、ロールを割り当てるためのコマンドをSSMSで実行しようと思う。
SSMSに、SQL Server認証でサインインする。
コマンドを実行する。
⇒エラーになる。

エラーをみると、

Principal 'app-group' could not be created.Only connections established with Active Directory accounts can create other Active Directory users.

Active Directory アカウントで確立された接続のみが、他の Active Directory ユーザーを作成できます。」
そりゃそうだ。

AD認証でサインインするため、blogtestアカウントでサインインする。
⇒サインインができない。
SQL ServerにAzure Active Directory管理者の設定をしていなかった。
test-admin-groupグループを管理者に設定する。

blogtestアカウントでSSMSでサインインする。
⇒サインインができない。

blogtest2アカウントでSSMSでサインインする。
⇒サインインできた。コマンドの実行もできた。
blogtestアカウントをtest-admin-groupグループのメンバーにしたところ、サインインできた。
(メンバーに追加してから反映まで少し時間がかかる。)

グループの所有者であればメンバーと同じだけの権限があるかと思いきや、そうではなかったということが今回一番メモしておきたいことです。

参考

下記に細かい躓きポイントの解決が色々詰まってました。
Add Azure Active Directory User to Azure SQL Database - Stack Overflow