# SQL Server Auth – Komplettbeispiele (7 Methoden)

Dieses Notebook zeigt **alle unterstützten Authentifizierungsarten** des Microsoft ODBC Drivers mit unserer `build_engine(...)`/`load_sql_settings(...)`-API.

**Voraussetzungen**
- Treiber: *ODBC Driver 17 oder 18 for SQL Server* auf dem System installiert
- Python-Pakete: `sqlalchemy`, `pyodbc`, `pandas`
- Repo-Pfad in `sys.path` (eine Ebene hoch)
- Eine `config.json` mit passenden Knoten (je Methode ein eigener Knoten)

Die 7 Methoden (jeweils **eigener Knoten**):
1. `connections.sql_basic` – SQL Server Authentication (User/Pass)
2. `connections.sql_trusted` – Windows Integrated / Trusted Connection
3. `connections.sql_aad_password` – Azure AD Password (`ActiveDirectoryPassword`)
4. `connections.sql_aad_integrated` – Azure AD Integrated (`ActiveDirectoryIntegrated`)
5. `connections.sql_aad_interactive` – Azure AD Interactive (`ActiveDirectoryInteractive`)
6. `connections.sql_aad_msi` – Azure AD Managed Identity (`ActiveDirectoryMsi`)
7. `connections.sql_aad_sp` – Azure AD Service Principal (`ActiveDirectoryServicePrincipal`)


In [2]:
from pathlib import Path
import sys, importlib
import pymssql
sys.path.insert(0, "..")  # Repo-Root

import graphfw as graphfw, graphfw.core, graphfw.core.config as cfg
importlib.invalidate_caches()
_ = importlib.reload(graphfw)
_ = importlib.reload(graphfw.core)
cfg = importlib.reload(cfg)

from graphfw.core.config import load_sql_settings  # <- sollte jetzt klappen
from graphfw.core import list_odbc_drivers, diagnose_with_fallbacks, list_odbc_data_sources


## (Optional) Beispiel-Knoten anlegen

Falls deine `config.json` die Knoten noch **nicht** enthält, kannst du mit
`save_sql_settings(...)` Platzhalter anlegen. **Achtung:**
`WRITE_SKELETON=True` überschreibt vorhandene Knoten **nicht**, sondern ergänzt
nur fehlende Keys (siehe `overwrite=False`). Passe Werte manuell an.

In [11]:
CONFIG_PATH = r"C:\python\Scripts\config_sql.json"
WRITE_SKELETON = True  # auf True setzen, um Platzhalter anzulegen

if WRITE_SKELETON:
    examples = {
        "connections.sql_basic": {
            "server": "myserver.domain.tld",
            "db_name": "BI_RAW",
            "username": "svc_user",
            "password": "CHANGE_ME",
            "driver": "ODBC Driver 18 for SQL Server",
            "auth": "sql",
            "params": {"TrustServerCertificate": "yes"}
        },
        "connections.sql_trusted": {
            "server": "myserver\\sql2019",
            "db_name": "BI_RAW",
            "driver": "ODBC Driver 18 for SQL Server",
            "auth": "trusted",
            "params": {"TrustServerCertificate": "yes"}
        },
        "connections.sql_aad_password": {
            "server": "myserver.database.windows.net",
            "db_name": "BI_RAW",
            "username": "user@contoso.com",
            "password": "CHANGE_ME",
            "driver": "ODBC Driver 18 for SQL Server",
            "auth": "aad-password",
            "params": {"Encrypt": "yes"}
        },
        "connections.sql_aad_integrated": {
            "server": "myserver.database.windows.net",
            "db_name": "BI_RAW",
            "driver": "ODBC Driver 18 for SQL Server",
            "auth": "aad-integrated"
        },
        "connections.sql_aad_interactive": {
            "server": "myserver.database.windows.net",
            "db_name": "BI_RAW",
            "driver": "ODBC Driver 18 for SQL Server",
            "auth": "aad-interactive"
        },
        "connections.sql_aad_msi": {
            "server": "myserver.database.windows.net",
            "db_name": "BI_RAW",
            "driver": "ODBC Driver 18 for SQL Server",
            "auth": "aad-msi"
            # Optional (user-assigned MI): "params": {"ClientId": "<GUID>"}
        },
        "connections.sql_aad_sp": {
            "server": "myserver.database.windows.net",
            "db_name": "BI_RAW",
            "username": "00000000-0000-0000-0000-000000000000",  # App (Client) ID
            "password": "CHANGE_ME_SECRET",
            "driver": "ODBC Driver 18 for SQL Server",
            "auth": "aad-sp"
        }
    }

    for node, payload in examples.items():
        ok, sinfo = save_sql_settings(
            config_path=CONFIG_PATH,
            node=node,
            settings=payload,
            overwrite=False  # fehlende Keys ergänzen, bestehende nicht überschreiben
        )
        print(node, "->", ok, sinfo.get("error", "ok"))
else:
    print("Skelett-Anlage übersprungen (WRITE_SKELETON=False)")

connections.sql_basic -> True ok
connections.sql_trusted -> True ok
connections.sql_aad_password -> True ok
connections.sql_aad_integrated -> True ok
connections.sql_aad_interactive -> True ok
connections.sql_aad_msi -> True ok
connections.sql_aad_sp -> True ok


# 0) SQL-Verbindungsdiagnose und automatische Konfigurationsgenerierung

In diesem Kapitel wird beschrieben, wie das Framework beim Einrichten von SQL-Verbindungen unterstützt.
Mit dem Modul `graphfw.params.sql_connection_check` lassen sich vorhandene Konfigurationen aus der `config.json` oder aus Umgebungsvariablen laden, automatisch testen und auswerten. Dabei werden verschiedene Verbindungsvarianten (ODBC-Treiber, DSN, Trusted Connection, SQL-Auth) durchprobiert und die Ergebnisse protokolliert.

Auf Basis der erfolgreich getesteten Versuche wird anschließend ein gültiger, einfügbarer JSON-Block erzeugt, der direkt in die config.json übernommen werden kann. Optional kann dieser Vorschlag auch automatisch in die Datei geschrieben werden – mit Backup-Mechanismus und sicherem Umgang mit Passwörtern (nie im Klartext im Log, Platzhalter beim Erzeugen, optionales Beibehalten vorhandener Secrets).

So erleichtert das Kapitel sowohl die Erstkonfiguration einer Datenbankanbindung als auch die Fehleranalyse bei bestehenden Verbindungen.

In [23]:
sys.path.insert(0, "..")  # Repo-Root
from graphfw.params.sql_connection_check import connect_and_check
CONFIG_PATH = r"C:\python\Scripts\config_sql.json"

In [25]:
# Nur prüfen + passenden JSON-Block anzeigen (ohne Datei zu ändern)
ok, diag, cfg_json, write_info = connect_and_check(
    "connections.sql_basic",          # dein Node-Pfad (Dots sind ok)
    show_drivers=True,
    show_dsns=True,
    return_config_json=True,          # zeigt den einfügbaren JSON-Block
    write_config=False,               # NICHT schreiben
    config_path=CONFIG_PATH,
)

(Hinweis) ODBC-Utilities nicht verfügbar – Überspringe Auflistung.
Quelle: C:\python\Scripts\config_sql.json | Node: sql.connections.sql_basic
Settings: {}
Diagnose nicht verfügbar (Fallback verwendet). Bitte `diagnose_with_fallbacks(settings)` im Projekt bereitstellen.

Hinweise:
 - Stelle sicher, dass graphfw.params.resolve.diagnose_with_fallbacks existiert.
 - Oder implementiere eine eigene Diagnose und importiere sie hier.

Vorschlag für config.json (einfügbar):

{
  "sql": {
    "connections.sql_basic": {
      "password": "<<<SET_SECRET_HERE>>>"
    }
  }
}

Hinweis: Passwort ist als Platzhalter gesetzt. Bitte sicher hinterlegen (Secret/ENV).


In [None]:
# Direkt in die config.json schreiben (mit Backup) – Passwort wird NICHT überschrieben,
# falls bereits vorhanden und der neue Block nur den Platzhalter enthält.
ok, diag, cfg_json, write_info = connect_and_check(
    "connections.sql_basic",
    return_config_json=True,
    write_config=True,                # <-- schreibt in die Datei
    config_path=CONFIG_PATH,
    keep_existing_password=True,
    dry_run=False                     # zum Testen zuerst True setzen
)

print("Erfolg:", ok)
if cfg_json:
    print("JSON-Vorschlag:\n", cfg_json)
if write_info:
    print("Geschrieben nach:", write_info["path"])
    print("Backup:", write_info["backup_path"])
    print("Ergebnis (maskiert):", write_info["result_entry_masked"])

## 1) SQL Server Authentication (Benutzer/Pass) — `connections.sql_basic`

In [5]:
CONFIG_PATH = r"C:\python\Scripts\config_sql.json"
connect_and_check("connections.sql_basic")


=== Node: connections.sql_basic ===
ODBC-Treiber (SQL Server): ['ODBC Driver 18 for SQL Server', 'ODBC Driver 17 for SQL Server', 'SQL Server']
ODBC-DSNs: {'MS Access Database': 'Microsoft Access Driver (*.mdb, *.accdb)', 'Excel Files': 'Microsoft Excel Driver (*.xls, *.xlsx, *.xlsm, *.xlsb)', 'dBASE Files': 'Microsoft Access dBASE Driver (*.dbf, *.ndx, *.mdx)'}
Quelle: json | Node: connections.sql_basic
Settings: {'server': 'srv-rz-bi-03', 'db_name': 'BI_RAW', 'username': 'sqlODATAImporter', 'password': '****', 'driver': 'ODBC Driver 18 for SQL Server', 'params': 'TrustServerCertificate=yes'}
Verbindung OK (sqlalchemy+pyodbc)
  [01] sqlalchemy+pyodbc  | driver=ODBC Driver 18 for SQL Server | params=TrustServerCertificate&Encrypt | 0.087s
        OperationalError: (pyodbc.OperationalError) ('08001', '[08001] [Microsoft][ODBC Driver 18 for SQL Server]SSL Provider: Die Zertifikatkette wurde von einer nicht vertrauenswürdigen Zertifizierungsstelle ausgestellt.\r\n (-2146893019) (SQLDrive

(True,
 {'summary': 'Verbindung OK (sqlalchemy+pyodbc)',
  'attempts': [{'method': 'sqlalchemy+pyodbc',
    'driver': 'ODBC Driver 18 for SQL Server',
    'params': 'TrustServerCertificate&Encrypt',
    'ok': False,
    'duration_s': 0.087,
    'error': "OperationalError: (pyodbc.OperationalError) ('08001', '[08001] [Microsoft][ODBC Driver 18 for SQL Server]SSL Provider: Die Zertifikatkette wurde von einer nicht vertrauenswürdigen Zertifizierungsstelle ausgestellt.\\r\\n (-2146893019) (SQLDriverConnect); [08001] [Microsoft][ODBC Driver 18 for SQL Server]Client unable to establish connection. For solutions related to encryption errors, see https://go.microsoft.com/fwlink/?linkid=2226722 (-2146893019)')\n(Background on this error at: https://sqlalche.me/e/20/e3q8) | orig=('08001', '[08001] [Microsoft][ODBC Driver 18 for SQL Server]SSL Provider: Die Zertifikatkette wurde von einer nicht vertrauenswürdigen Zertifizierungsstelle ausgestellt.\\r\\n (-2146893019) (SQLDriverConnect); [08001] [

### Was macht dieses Skript?

Es führt einen **Minimal‑Verbindungstest zu SQL Server** aus, indem es

1. Einstellungen aus einer `config.json` lädt,
2. eine SQLAlchemy‑Engine baut (ODBC/pyodbc), und
3. mit `SELECT 1` prüft, ob die Verbindung funktioniert.

---

#### 1) Imports & Pfad setzen

```python
from pathlib import Path
import sys
sys.path.insert(0, "..")  # Repo-Root, damit 'graphfw/*' importierbar ist
```

Damit wird der Projekt‑Root (Ordner mit `graphfw/`) in den Python‑Suchpfad eingefügt.

---

#### 2) Module laden

```python
from sqlalchemy import text
from graphfw.core.config.sql_config import load_sql_settings
from graphfw.io.writers.sql_writer import build_engine
```

* **`load_sql_settings`**: liest SQL‑Einstellungen (Server, DB, User, Treiber, Parameter) aus JSON/ENV.
* **`build_engine`**: baut eine **SQLAlchemy‑Engine** für MS SQL Server via **pyodbc**.

---

#### 3) Config‑Pfad definieren

```python
CONFIG_PATH = Path(r"C:\python\Scripts\config_sql.json")
```

Pfad zur Konfigurationsdatei.

---

#### 4) Einstellungen laden (Keyword‑Args!)

```python
settings, info = load_sql_settings(
    config_path=CONFIG_PATH,
    node="connections.sql_basic",
    env_override=True,
)
```

* **`node`**: Knoten innerhalb der JSON, der die SQL‑Settings enthält.
* **`env_override=True`**: Umgebungsvariablen überschreiben JSON‑Werte (praktisch für Secrets/CI).
* Rückgabe:

  * `settings`: stark getyptes Objekt (z. B. `server`, `db_name`, `username`, `password`, `driver`, `params`).
  * `info`: Metadaten (Quelle, Knotenpfad, Hinweise).

---

#### 5) In Engine‑Argumente umwandeln

```python
cfg, db, user, pwd = settings.to_engine_args()
```

* **`cfg`**: Dict mit `server`, optional `driver`, `params` (z. B. `"Encrypt=yes&TrustServerCertificate=yes"`).
* **`db`**: Datenbankname.
* **`user`/`pwd`**: Benutzer/Passwort (oder `None` bei Trusted Connection).

> **Optional** (wenn in der Config `Encrypt` noch fehlt):
>
> ```python
> # cfg["params"] = "Encrypt=yes&TrustServerCertificate=yes"
> ```

---

#### 6) Engine bauen & Verbindung testen

```python
engine = build_engine(cfg, db_name=db, username=user, password=pwd)
with engine.connect() as c:
    print("SELECT 1 ->", c.execute(text("SELECT 1")).scalar())
```

* Baut eine ODBC‑URL wie:
  `mssql+pyodbc://user:pwd@server/DB?driver=ODBC+Driver+18+for+SQL+Server&Encrypt=yes&TrustServerCertificate=yes`
* Öffnet die Verbindung und prüft sie per `SELECT 1`.
* Erwartete Ausgabe: `SELECT 1 -> 1`.

---

#### Häufige Stolpersteine & Tipps

* **Keyword‑Args**: `load_sql_settings` akzeptiert nur benannte Parameter (wie im Beispiel).
* **ODBC Driver 18**: oft **`Encrypt=yes`** notwendig; on‑prem Testumgebungen zusätzlich **`TrustServerCertificate=yes`**.
* **Named Instance / Port**: Bei `HOST\INSTANZ` besser **Port explizit** setzen (`server="tcp:HOST,1433"` oder korrekten Port).
* **Login 18456**: Falscher Login‑Typ/Passwort/Default‑DB. Bei Windows‑Login `params="Trusted_Connection=yes"` verwenden **ohne** `username/password`.

---

#### Erwartetes Ergebnis

Bei korrekter Konfiguration baut das Skript eine Verbindung zur Datenbank auf und gibt aus:

```
SELECT 1 -> 1
```

Damit ist der End‑to‑End‑Pfad (Config → Engine → Datenbank) verifiziert.


In [10]:
from pathlib import Path
import sys
sys.path.insert(0, "..")  # Repo-Root

from sqlalchemy import text
from graphfw.core.config.sql_config import load_sql_settings
from graphfw.io.writers.sql_writer import build_engine

CONFIG_PATH = Path(r"C:\python\Scripts\config_sql.json")

# <<< Keyword-Args! >>>
settings, info = load_sql_settings(
    config_path=CONFIG_PATH,
    node="connections.sql_basic",
    env_override=True,
)

cfg, db, user, pwd = settings.to_engine_args()

# (Optional: falls in der Config noch kein Encrypt=yes steht)
# cfg["params"] = "Encrypt=yes&TrustServerCertificate=yes"

engine = build_engine(cfg, db_name=db, username=user, password=pwd)
with engine.connect() as c:
    print("SELECT 1 ->", c.execute(text("SELECT 1")).scalar())


SELECT 1 -> 1


## 2) Windows Integrated / Trusted Connection — `connections.sql_trusted`

In [14]:
connect_and_check("connections.sql_trusted")  # läuft unter Identität des Prozesses


=== Node: connections.sql_trusted ===
ODBC-Treiber (SQL Server): ['ODBC Driver 18 for SQL Server', 'ODBC Driver 17 for SQL Server', 'SQL Server']
ODBC-DSNs: {'MS Access Database': 'Microsoft Access Driver (*.mdb, *.accdb)', 'Excel Files': 'Microsoft Excel Driver (*.xls, *.xlsx, *.xlsm, *.xlsb)', 'dBASE Files': 'Microsoft Access dBASE Driver (*.dbf, *.ndx, *.mdx)'}
Quelle: json | Node: connections.sql_trusted
Settings: {'server': 'srv-rz-bi-03', 'db_name': 'BI_RAW', 'username': None, 'password': None, 'driver': 'ODBC Driver 18 for SQL Server', 'params': 'Encrypt=yes&TrustServerCertificate=yes&Trusted_Connection=yes'}
Verbindung OK (sqlalchemy+pyodbc)
  [01] sqlalchemy+pyodbc  | driver=ODBC Driver 18 for SQL Server | params=Encrypt&TrustServerCertificate&Trusted_Connection=yes | 0.077s
        OperationalError: (pyodbc.OperationalError) ('08001', '[08001] [Microsoft][ODBC Driver 18 for SQL Server]SSL Provider: Die Zertifikatkette wurde von einer nicht vertrauenswürdigen Zertifizierungss

(True,
 {'summary': 'Verbindung OK (sqlalchemy+pyodbc)',
  'attempts': [{'method': 'sqlalchemy+pyodbc',
    'driver': 'ODBC Driver 18 for SQL Server',
    'params': 'Encrypt&TrustServerCertificate&Trusted_Connection=yes',
    'ok': False,
    'duration_s': 0.077,
    'error': "OperationalError: (pyodbc.OperationalError) ('08001', '[08001] [Microsoft][ODBC Driver 18 for SQL Server]SSL Provider: Die Zertifikatkette wurde von einer nicht vertrauenswürdigen Zertifizierungsstelle ausgestellt.\\r\\n (-2146893019) (SQLDriverConnect); [08001] [Microsoft][ODBC Driver 18 for SQL Server]Client unable to establish connection. For solutions related to encryption errors, see https://go.microsoft.com/fwlink/?linkid=2226722 (-2146893019)')\n(Background on this error at: https://sqlalche.me/e/20/e3q8) | orig=('08001', '[08001] [Microsoft][ODBC Driver 18 for SQL Server]SSL Provider: Die Zertifikatkette wurde von einer nicht vertrauenswürdigen Zertifizierungsstelle ausgestellt.\\r\\n (-2146893019) (SQLDr

## 3) Azure AD Password — `connections.sql_aad_password`

In [None]:
connect_and_check("connections.sql_aad_password")

## 4) Azure AD Integrated — `connections.sql_aad_integrated`

In [None]:
connect_and_check("connections.sql_aad_integrated")  # SSO; funktioniert nur, wenn Client/Session dafür geeignet ist

## 5) Azure AD Interactive — `connections.sql_aad_interactive`

In [None]:
RUN_INTERACTIVE = False  # auf True setzen, wenn ein UI-Login möglich ist
if RUN_INTERACTIVE:
    connect_and_check("connections.sql_aad_interactive")
else:
    print("Übersprungen (RUN_INTERACTIVE=False)")

## 6) Azure AD Managed Identity — `connections.sql_aad_msi`

In [None]:
RUN_MSI = False  # auf True setzen, wenn auf Azure-Host mit MI ausgeführt
if RUN_MSI:
    connect_and_check("connections.sql_aad_msi")
else:
    print("Übersprungen (RUN_MSI=False)")

## 7) Azure AD Service Principal (Client Secret) — `connections.sql_aad_sp`

In [None]:
connect_and_check("connections.sql_aad_sp")

### Hinweis zu Treiber & Verschlüsselung
- Bei **ODBC Driver 18** ist `Encrypt=yes` Standard. In Testumgebungen hilft oft `TrustServerCertificate=yes` zusätzlich (per `params`).
- Die `auth`-Shorthands in der `config.json` setzen die nötigen ODBC-Parameter automatisch (siehe `graphfw.core.config.sql_config`).