Configurare l'autenticazione per SQL MCP Server

SQL MCP Server espone un endpoint MCP (Model Context Protocol) nel generatore di API dati. Alcune opzioni di autenticazione usano token JSON Web (JWT).

Quando si connette un client (ad esempio, un agente Microsoft AI Foundry) a SQL MCP Server, l'autenticazione diventa una configurazione bidirezionale:

• Autenticazione in ingresso (client a SQL MCP Server): modalità di autenticazione del client durante la chiamata dell'endpoint MCP (ad esempio, ).
• Autenticazione in uscita (SQL MCP Server to database): modalità di autenticazione di SQL MCP Server nel database.

Usare il diagramma seguente per orientarsi. Nella parte restante di questo articolo si configura prima di tutto in uscita (in modo che il server possa raggiungere il database), quindi configurare in ingresso (in modo che il client possa chiamare in modo sicuro il server).

Diagramma che mostra i flussi di autenticazione in ingresso e in uscita tra l'app client, SQL MCP Server e il database.

Prerequisiti

• SQL MCP Server in esecuzione (Generatore API dati 1.7+)
• Un esistente con almeno un'entità
• Un progetto Microsoft AI Foundry con un agente in cui è possibile aggiungere una connessione allo strumento MCP

Passaggio 1: Configurare l'autenticazione uscente (da SQL MCP Server al database)

Definisci l'autenticazione in uscita nella configurazione . Il problema più comune è la stringa di connessione.

Diagramma che mostra il flusso di autenticazione in uscita da SQL MCP Server al database.

Più origini dati

SQL MCP Server supporta più origini dati tramite . Ogni origine dati può avere le proprie impostazioni di autenticazione in uscita. Ad esempio, un database può usare l'identità gestita, mentre un altro usa un nome utente e una password SQL. Le origini dati possono anche condividere una singola identità, a seconda della modalità di configurazione dell'accesso al database.

Diagramma che mostra l'autenticazione in uscita da SQL MCP Server a più database con credenziali per database.

Per altre informazioni, vedere Aggiungere più origini dati e configurazione origine dati.

Configurare la connessione al database

Imposta nel tuo e .

Esempio: utente/password SQL (sviluppo)

SQL MCP Server supporta l'autenticazione SQL con nome utente e password. Questo approccio è comune per lo sviluppo, il test e alcuni ambienti di produzione.

Diagramma che mostra il flusso di autenticazione dell'utente/password SQL.

{
	"data-source": {
		"database-type": "mssql",
		"connection-string": "@env('SQL_CONNECTION_STRING')"
	}
}

Valore della variabile di ambiente di esempio:

Server=tcp:<server>.database.windows.net,1433;Initial Catalog=<database>;User ID=<user>;Password=<password>;Encrypt=True;TrustServerCertificate=False;

Esempio: Identità gestita (consigliata per Azure)

SQL MCP Server supporta le Identità di Servizio Gestite (MSI) per Azure SQL usando DefaultAzureCredential. Configurare la stringa di connessione per utilizzare l'autenticazione con identità gestita.

Diagramma che mostra il flusso di autenticazione dell'identità gestita.

Server=tcp:<server>.database.windows.net,1433;Initial Catalog=<database>;Authentication=Active Directory Managed Identity;

Per l'identità gestita assegnata dall'utente (UAMI), includere l'ID client di identità:

Server=tcp:<server>.database.windows.net,1433;Initial Catalog=<database>;Authentication=Active Directory Managed Identity;User Id=<uami-client-id>;

Per informazioni dettagliate, vedere Configurazione dell'origine dati.

Passaggio 2: Configurare l'autenticazione in ingresso (da client a SQL MCP Server)

L'autenticazione in ingresso controlla il modo in cui il client MCP esegue l'autenticazione a SQL MCP Server.

Diagramma che mostra il flusso di autenticazione in ingresso dall'app client a SQL MCP Server.

Provider di OAuth

SQL MCP Server può convalidare i token WEB JSON (JWT) emessi da un provider OAuth (ad esempio, Microsoft Entra ID). Il client include il token con ogni richiesta e SQL MCP Server la convalida.

Diagramma che mostra un provider OAuth che emette JWT per un client che chiama SQL MCP Server.

Autenticazione del gateway (facoltativo)

Se il client MCP richiede chiavi API o un altro schema non JWT, front-SQL MCP Server con un gateway o un proxy che autentica il client e inoltra le richieste all'endpoint MCP.

Per un modello ospitato su Azure, vedere Accesso sicuro ai server MCP in Gestione API.

Diagramma che mostra un gateway API che protegge SQL MCP Server.

Più clienti

L'autenticazione in ingresso viene configurata una volta per ogni istanza di SQL MCP Server, ad esempio usando . Tutti i client che chiamano lo stesso endpoint MCP devono usare un approccio di autenticazione compatibile. Ad esempio, tutti i client possono usare Microsoft Entra token per lo stesso gruppo di destinatari.

Diagramma che mostra più app client che usano la stessa configurazione di autenticazione in ingresso per accedere a SQL MCP Server.

Microsoft AI Foundry

Usare questi passaggi quando il client è un agente di Microsoft AI Foundry.

1. Nel progetto agente selezionare Aggiungi uno strumento.
2. Selezionare la scheda Personalizzato.
3. Selezionare Model Context Protocol (Protocollo contesto modello).
4. Impostare l'endpoint Server MCP remoto, ad esempio .
5. Selezionare una modalità di autenticazione .

Screenshot dell'aggiunta di uno strumento in Microsoft AI Foundry.

Dopo aver configurato Foundry, è necessario configurare SQL MCP Server per accettare la stessa modalità di autenticazione in ingresso.

Modalità di autenticazione Foundry

Non autenticato

Configurare SQL MCP Server per gestire le richieste come (ad esempio, impostare o omettere ) e concedere solo le autorizzazioni desiderate.

Diagramma che mostra il flusso di autenticazione non autenticato di Foundry.

pass-through dell'identità OAuth o Microsoft Entra

Configurare SQL MCP Server per convalidare JWT ().

Basato su chiave

Non supportato direttamente. Se è necessario usare una chiave, posizionare un gateway davanti all'endpoint MCP, ad esempio Gestione API di Azure. Consultare Accesso sicuro ai server MCP nella gestione delle API.

Diagramma che mostra il flusso di autenticazione basata su chiave di Foundry.

Per informazioni dettagliate sulla configurazione specifiche di Foundry, vedere Linee guida per l'autenticazione MCP di Foundry.

Registrare un'app in Microsoft Entra ID

È necessaria una registrazione dell'app per Microsoft Entra e OAuth.

• Registrare l'ID directory (tenant) (usato per costruire ).
• Registrare l'URI ID applicazione (consigliato per e il pubblico Foundry).

Per la procedura di registrazione dell'app, vedere Registrare un'applicazione in Microsoft Entra ID.

Configurare SQL MCP Server con Entra ID

Configurare il provider e impostare i valori e .

Esempi dalla riga di comando

Negli esempi seguenti vengono usati i comandi e per impostare le opzioni di autenticazione.

dab configure \
  --runtime.host.authentication.provider EntraId

dab configure \
  --runtime.host.authentication.jwt.audience "api://<app-id-or-audience>"

dab configure \
  --runtime.host.authentication.jwt.issuer "https://login.microsoftonline.com/<tenant-id>/v2.0"

# Grant permissions for authenticated users (repeat per entity)
dab update \
  Products \
  --permissions "authenticated:read"

dab configure ^
  --runtime.host.authentication.provider EntraId

dab configure ^
  --runtime.host.authentication.jwt.audience "api://<app-id-or-audience>"

dab configure ^
  --runtime.host.authentication.jwt.issuer "https://login.microsoftonline.com/<tenant-id>/v2.0"

REM Grant permissions for authenticated users (repeat per entity)
dab update ^
  Products ^
  --permissions "authenticated:read"

Contenuti correlati

• Configurazione dell'origine dati
• Configurazione di runtime: provider di autenticazione
• Autenticazione locale (simulatore/appservice)
• Azure authentication (JWT/roles)
• Guida all'autenticazione Foundry MCP