Saltar al contenido principal

3: Configuración de Azure SQL Database

Actualización

DvSchemaSync sincroniza los datos de Dataverse con una base de datos SQL de Azure. En esta página se explica cómo crear una base de datos y configurar el acceso.

Permisos necesarios

Los permisos necesarios dependen de si va a crear nuevos recursos o configurar los existentes:

Para crear una base de datos y un servidor SQL de Azure:

• Rol de colaborador o colaborador de base de datos SQL: en el grupo de recursos donde se creará la base de datos

• Rol de propietario: necesario si también necesita asignar roles a otros usuarios

Para configurar la autenticación de Microsoft Entra en Azure SQL:

• Rol de colaborador de SQL Server: en SQL Server para establecer el administrador de Microsoft Entra

• Rol db_owner: en la base de datos de destino para crear usuarios externos (ejecutar como administrador de Entra)

Para crear un inicio de sesión de SQL Server (autenticación SQL):

• Credenciales de administrador del servidor: el inicio de sesión de administrador de SQL Server creado cuando se aprovisionó el servidor

• Rol db_owner: en la base de datos de destino, para crear usuarios y conceder permisos

💡 Nota: Si utiliza una base de datos SQL de Azure existente gestionada por su equipo de administradores de bases de datos, proporcióneles los detalles del registro de la aplicación (o solicite un inicio de sesión SQL) y pídales que concedan permisos de db_owner en su base de datos de destino.

Creación de una base de datos de Azure SQL

Si aún no tiene una base de datos SQL de Azure, siga estos pasos para crear una:

  1. Inicie sesión en Azure Portal (https://portal.azure.com).
  2. Haga clic en Crear un recurso y busque «Base de datos SQL».
  3. Haga clic en Crear.
  4. Seleccione su suscripción y grupo de recursos.
  5. Escriba un nombre para la base de datos (por ejemplo, «DataverseSync»).
  6. En Servidor, haga clic en Crear nuevo o seleccione un servidor existente.
  7. Al crear un nuevo servidor de base de datos SQL, le recomendamos que configure el nuevo servidor SQL para «Usar solo autenticación de Microsoft Entra» y establezca como administrador a usted mismo o a su administrador de bases de datos, y luego seleccione Aceptar.
  8. Configure la computación y el almacenamiento en función de su volumen de datos.
  9. Haga clic en Revisar + crear y, a continuación, en Crear.

⚠ Importante: Aunque es compatible, no se recomienda utilizar las credenciales del servidor SQL; en su lugar, asegúrese de utilizar Entra AD.

Opciones de acceso a la red para usuarios remotos

Si se conecta a Azure SQL desde fuera de la red corporativa (oficina en casa, viajes, etc.), tiene varias opciones con diferentes ventajas e inconvenientes en cuanto a seguridad y comodidad.

Opción 1: VPN + punto de conexión privado (la más segura)

Conecte su ordenador a una puerta de enlace VPN de Azure, convirtiéndolo en parte de la red virtual de Azure. Acceda a la base de datos SQL a través del punto de conexión privado sin exposición pública a Internet.

Ventajas: sin exposición pública; funciona desde cualquier lugar (casa, hotel, cafetería); seguridad de nivel empresarial.

Inconvenientes: requiere la configuración de Azure VPN Gateway; se necesitan más conocimientos sobre redes de Azure.

Opción 2: Acceso público + lista blanca de IP (la más sencilla)

Permita conexiones desde direcciones IP específicas mediante reglas de firewall. Funciona de forma remota siempre que su IP pública esté incluida en la lista blanca.

Ventajas: más fácil de configurar; funciona desde cualquier lugar cuando la IP está en la lista blanca.

Inconvenientes: SQL Server expuesto a Internet; los cambios de IP interrumpen la conexión; es necesario actualizar el firewall al cambiar de red.

Opción 3: Acceso público + autenticación de Microsoft Entra (equilibrada)

Combina el acceso público con una autenticación más sólida mediante tokens de Entra. Mejora la seguridad incluso con un servidor SQL accesible públicamente.

Ventajas: autenticación sólida basada en tokens; funciona desde cualquier lugar; no hay inicios de sesión SQL basados en contraseñas.

Desventajas: sigue sin ser tan seguro como una red privada; sigue requiriendo reglas de firewall para su IP.

Lo que no funciona para los usuarios remotos:

Puntos de conexión del servicio: solo funcionan dentro de Azure Virtual Networks. Su ordenador portátil no puede utilizarlos directamente desde casa o mientras viaja.

✓ Recomendaciones:

Máxima seguridad: puerta de enlace VPN + punto final privado: funciona desde cualquier lugar y mantiene su servidor SQL completamente fuera de la Internet pública.

Equilibrio entre comodidad y seguridad: acceso público + lista blanca de IP + autenticación de Microsoft Entra.

Opción más sencilla: acceso público + lista blanca de IP (menos segura, pero adecuada para entornos de desarrollo/prueba no confidenciales).

Configuración de reglas de firewall (consulte Opciones de acceso a la red para usuarios remotos)

⚠ Importante: Azure SQL Database bloquea todas las conexiones de forma predeterminada. DEBE configurar las reglas del firewall antes de que DvSchemaSync pueda conectarse.

Su servidor SQL de Azure debe permitir conexiones desde el equipo que ejecuta DvSchemaSync. Si tiene su base de datos SQL de Azure configurada para acceso público, debe incluir su IP en la lista blanca antes de utilizar la aplicación.

  1. Vaya a su servidor SQL (no a la base de datos) en Azure Portal.
  2. Seleccione Redes en el menú de la izquierda, debajo de Seguridad.
  3. En Acceso público, seleccione «Redes seleccionadas».
  4. En Reglas de firewall, haga clic en Añadir la dirección IPv4 de su cliente.
  5. También puede añadir un rango de IP específico para su organización.
  6. Haga clic en Guardar.

Error común del firewall:

No se puede abrir el servidor «yourserver» solicitado por el inicio de sesión. El cliente con la dirección IP «x.x.x.x» no tiene permiso para acceder al servidor.

Este error significa que su dirección IP no está en la lista de permitidos del firewall. Añada la dirección IP que aparece en el mensaje de error a las reglas del firewall.

💡 Sugerencia: Si su dirección IP cambia con frecuencia (por ejemplo, red doméstica, VPN), considere la posibilidad de utilizar «VPN + punto de conexión privado» para entornos de producción.

Configuración de la autenticación de Microsoft Entra

⚠ Requisito para el registro de aplicaciones: le recomendamos que utilice el registro de aplicaciones de Microsoft Entra para autenticarse en Azure SQL (en lugar del nombre de usuario y la contraseña de SQL). Para ello, DEBE configurar primero un administrador de Microsoft Entra en su servidor SQL. Sin esto, el registro de aplicaciones no podrá autenticarse.

Paso 1: Configure un administrador de Microsoft Entra en el servidor SQL

  1. Vaya a su servidor SQL en Azure Portal.
  2. Seleccione Microsoft Entra ID en el menú de la izquierda, en Configuración.
  3. Lo ideal es marcar la opción «Admitir solo la autenticación de Microsoft Entra para este servidor».
  4. Haga clic en Establecer administrador y seleccione un usuario o grupo como administrador de Entra.
  5. Haga clic en Guardar.

Paso 2: Crear un usuario de base de datos para el registro de la aplicación

  1. Conéctese a la base de datos utilizando la cuenta de administrador de Entra (por ejemplo, a través de Azure Data Studio o SSMS).
  2. Ejecute el siguiente SQL para conceder acceso al registro de su aplicación:

-- Reemplace «YourAppName» por el nombre para mostrar de su registro de aplicaciones

CREATE USER [YourAppName] FROM EXTERNAL PROVIDER;

ALTER ROLE db_owner ADD MEMBER [YourAppName];

Error común de autenticación de Entra:

Error de inicio de sesión para el usuario «<entidad identificada por token>». El servidor no está configurado actualmente para aceptar este token.

Este error significa que no se ha configurado ningún administrador de Microsoft Entra en SQL Server. Complete el paso 1 anterior para resolverlo.

💡 Consejo: El nombre de registro de la aplicación utilizado en CREATE USER debe coincidir exactamente. Busque el nombre para mostrar en Azure Portal → Registros de aplicaciones → Su aplicación → Descripción general.

Registro de los detalles de conexión

Necesitará la siguiente información para DvSchemaSync:

Nombre del servidor: se encuentra en la página Descripción general (por ejemplo, yourserver.database.windows.net)

Nombre de la base de datos: el nombre que especificó al crear la base de datos

Autenticación: credenciales SQL (nombre de usuario/contraseña) o detalles del registro de la aplicación de Microsoft Entra

Relacionada con