تمكين مصادقة Microsoft Entra لوقت تشغيل تكامل Azure-SSIS

ينطبق على: Azure Data Factory Azure Synapse Analytics (معاينة)

تلميح

جرب Data Factory في Microsoft Fabric، وهو حل تحليلي متكامل للمؤسسات. يغطي Microsoft Fabric كل شيء بدءا من حركة البيانات إلى علم البيانات والتحليلات في الوقت الحقيقي والمعلومات المهنية وإعداد التقارير. تعرف على كيفية بدء إصدار تجريبي جديد مجانا!

توضح هذه المقالة كيفية تمكين مصادقة Microsoft Entra باستخدام الهوية المدارة المعينة من قبل النظام/المستخدم ل Azure Data Factory (ADF) أو Azure Synapse واستخدامها بدلا من أساليب المصادقة التقليدية (مثل مصادقة SQL) من أجل:

• إنشاء وقت تشغيل تكامل Azure-SSIS (IR) الذي سيقوم بدوره بتوفير قاعدة بيانات كتالوج SSIS (SSISDB) في خادم قاعدة البيانات Azure SQL/المثيل المُدار نيابةً عنك.

• الاتصال بموارد Azure المتنوعة عند تشغيل حزم SSIS على Azure-SSIS IR.

لمزيد من المعلومات بشأن هويتك المدارة لـADF، راجع الهوية المدارة لـData Factory وAzure Synapse.

إشعار

• في هذا السيناريو، يتم استخدام مصادقة Microsoft Entra مع الهوية المدارة المحددة المعينة من قبل النظام/المستخدم ل ADF الخاص بك فقط في عمليات التزويد والبدء اللاحقة ل Azure-SSIS IR الخاص بك والتي بدورها ستوفر و أو تتصل ب SSISDB. لعمليات تنفيذ حزمة SSIS، سوف لا يزال يقوم Azure-SSIS IR الخاص بك بالاتصال بـ SSISDB لجلب الحزم باستخدام مصادقة SQL مع حسابات مدارة بالكامل (AzureIntegrationServiceDbo و AzureIntegrationServiceWorker)التي تم إنشاؤها أثناء توفير SSISDB.

• لاستخدام ميزة الهوية المدارة المعينة من قبل المستخدم لإدارة الاتصال، يجب توفير مدير اتصال OLEDB، على سبيل المثال، وقت تشغيل تكامل SSIS بنفس الهوية المدارة المعينة من قبل المستخدم المستخدمة في إدارة الاتصال.

• إذا قمت بالفعل بإنشاء وقت تشغيل تكامل Azure-SSIS باستخدام مصادقة SQL، فلا يمكنك إعادة تكوينه لاستخدام مصادقة Microsoft Entra عبر PowerShell في الوقت الحالي، ولكن يمكنك القيام بذلك عبر مدخل Azure/تطبيق ADF.

إشعار

نوصي باستخدام الوحدة النمطية Azure Az PowerShell للتفاعل مع Azure. للبدء، راجع تثبيت Azure PowerShell. لمعرفة كيفية الترحيل إلى الوحدة النمطية Az PowerShell، راجع ترحيل Azure PowerShell من AzureRM إلى Az.

تمكين مصادقة Microsoft Entra على قاعدة بيانات Azure SQL

تدعم قاعدة بيانات Azure SQL إنشاء قاعدة بيانات باستخدام مستخدم Microsoft Entra. أولا، تحتاج إلى إنشاء مجموعة Microsoft Entra مع النظام المحدد/ الهوية المدارة المعينة من قبل المستخدم ل ADF الخاص بك كعضو. بعد ذلك، تحتاج إلى تعيين مستخدم Microsoft Entra كمسؤول Active Directory لخادم قاعدة بيانات Azure SQL ثم الاتصال به على SQL Server Management Studio (SSMS) باستخدام هذا المستخدم. وأخيرا، تحتاج إلى إنشاء مستخدم مضمن يمثل مجموعة Microsoft Entra، بحيث يمكن استخدام الهوية المدارة المعينة من قبل النظام/المستخدم المحددة ل ADF الخاص بك بواسطة وقت تشغيل تكامل Azure-SSIS لإنشاء SSISDB نيابة عنك.

إنشاء مجموعة Microsoft Entra باستخدام الهوية المدارة المعينة من قبل النظام/المستخدم ل ADF كعضو

يمكنك استخدام مجموعة Microsoft Entra موجودة أو إنشاء مجموعة جديدة باستخدام Azure AD PowerShell.

1. ثم بتثبيت وحدة Azure AD PowerShell النمطية.

2. تسجيل الدخول باستخدام Connect-AzureAD، قم بتشغيل cmdlet التالي لإنشاء مجموعة وحفظه في متغير:

   $Group = New-AzureADGroup -DisplayName "SSISIrGroup" `
                             -MailEnabled $false `
                             -SecurityEnabled $true `
                             -MailNickName "NotSet"
   

   إشعار

   تم إهمال وحدات Azure AD وMSOnline PowerShell اعتبارا من 30 مارس 2024. لمعرفة المزيد، اقرأ تحديث الإهمال. بعد هذا التاريخ، يقتصر دعم هذه الوحدات النمطية على مساعدة الترحيل إلى Microsoft Graph PowerShell SDK وإصلاحات الأمان. ستستمر الوحدات المهملة في العمل حتى مارس 30 2025.

   نوصي بالترحيل إلى Microsoft Graph PowerShell للتفاعل مع معرف Microsoft Entra (المعروف سابقا ب Azure AD). للحصول على أسئلة الترحيل الشائعة، راجع الأسئلة المتداولة حول الترحيل. ملاحظة: قد تواجه الإصدارات 1.0.x من MSOnline تعطيلا بعد 30 يونيو 2024.

   تبدو النتيجة كالمثال التالي الذي يعرض أيضًا قيمة المتغير:

   $Group
   
   ObjectId DisplayName Description
   -------- ----------- -----------
   6de75f3c-8b2f-4bf4-b9f8-78cc60a18050 SSISIrGroup
   

3. قم بإضافة النظام المحدد/الهوية المدارة المعينة من قِبل المستخدم لـ ADF الخاص بك إلى المجموعة. يمكنك متابعة مقالة الهوية المُدارة لـData Factory أو Azure Synapse للحصول على Object ID لنظام محدد/هوية مُدارة يعينها المستخدم لـADF الخاص بك (على سبيل المثال 765ad4ab-XXXX-XXXX-XXXX-51ed985819dc، ولكن لا تستخدم Application ID لهذا الغرض).

   Add-AzureAdGroupMember -ObjectId $Group.ObjectId -RefObjectId 765ad4ab-XXXX-XXXX-XXXX-51ed985819dc
   

   يمكنك أيضًا التحقق من عضوية المجموعة بعد ذلك.

   Get-AzureAdGroupMember -ObjectId $Group.ObjectId
   

تكوين مصادقة Microsoft Entra لقاعدة بيانات Azure SQL

يمكنك تكوين مصادقة Microsoft Entra وإدارتها لقاعدة بيانات Azure SQL باستخدام الخطوات التالية:

1. في مدخل Microsoft Azure، حدد All services ->SQL servers من قائمة التنقل اليسري.

2. حدد خادم قاعدة بيانات Azure SQL ليتم تكوينه باستخدام مصادقة Microsoft Entra.

3. في القسم Settings من الريشة، حدد Active Directory admin.

4. من شريط الأوامر، حدد Set admin.

5. حدد حساب مستخدم Microsoft Entra لجعله مسؤولا عن الخادم، ثم حدد تحديد.

6. في شريط الأوامر، حدد Save.

إنشاء مستخدم مضمن في قاعدة بيانات Azure SQL يمثل مجموعة Microsoft Entra

لإجراء هذه الخطوة التالية، تحتاج Management Studio.

1. ابدأ تشغيل Management Studio.

2. في مربع حوار Connect to Server، أدخل اسم الخادم في حقل Server name.

3. في حقل المصادقة ، حدد Active Directory - Universal with MFA support (يمكنك أيضا استخدام نوعي مصادقة Active Directory الآخرين، راجع تكوين مصادقة Microsoft Entra وإدارتها لقاعدة بيانات Azure SQL).

4. في حقل اسم المستخدم، أدخل اسم حساب Microsoft Entra الذي قمت بتعيينه كمسؤول الخادم، على سبيل المثال. testuser@xxxonline.com

5. حدد الاتصال وأكمل عملية تسجيل الدخول.

6. في مستكشف عناصر SQL Server، وسع المجلد Databases>System Databases.

7. انقر بزر الماوس الأيمن على قاعدة البيانات master وحدد New Query.

8. في إطار الاستعلام، أدخل الأمر T-SQL التالي، وحدد Execute من شريط الأدوات.

   CREATE USER [SSISIrGroup] FROM EXTERNAL PROVIDER
   

   يجب أن يكتمل الأمر بنجاح، بإنشاء مستخدم مضمن لتمثيل المجموعة.

9. امسح نافذة الاستعلام، وأدخل الأمر T-SQL التالي، وحدد Execute من شريط الأدوات.

   ALTER ROLE dbmanager ADD MEMBER [SSISIrGroup]
   

   يجب أن يكتمل الأمر بنجاح، بمنح المستخدم المضمن إمكانية إنشاء قاعدة بيانات (SSISDB).

10. إذا تم إنشاء SSISDB باستخدام مصادقة SQL وتريد التبديل إلى استخدام مصادقة Microsoft Entra ل Azure-SSIS IR للوصول إليها، فتأكد أولا من انتهاء الخطوات المذكورة أعلاه لمنح أذونات لقاعدة البيانات الرئيسية بنجاح. انقر بزر الماوس الأيمن على قاعدة البيانات SSISDB وحدد New Query.

    1. في إطار الاستعلام، أدخل الأمر T-SQL التالي، وحدد Execute من شريط الأدوات.

       CREATE USER [SSISIrGroup] FROM EXTERNAL PROVIDER
       

       يجب أن يكتمل الأمر بنجاح، بإنشاء مستخدم مضمن لتمثيل المجموعة.

    2. امسح نافذة الاستعلام، وأدخل الأمر T-SQL التالي، وحدد Execute من شريط الأدوات.

       ALTER ROLE db_owner ADD MEMBER [SSISIrGroup]
       

       يجب أن يكتمل الأمر بنجاح، بمنح المستخدم المضمن إمكانية الوصول إلى SSISDB.

تمكين مصادقة Microsoft Entra على مثيل Azure SQL المدار

يدعم مثيل Azure SQL المُدار إنشاء قاعدة بيانات باستخدام النظام المحدد/الهوية المدارة من قِبل المستخدم لـ ADF الخاص بك مباشرة. لا تحتاج إلى الانضمام إلى النظام المحدد/الهوية المدارة المعينة من قبل المستخدم ل ADF الخاص بك إلى مجموعة Microsoft Entra ولا إنشاء مستخدم مضمن يمثل تلك المجموعة في Azure SQL Managed Instance.

تكوين مصادقة Microsoft Entra لمثيل Azure SQL المدار

اتبع الخطوات الواردة في توفير مسؤول Microsoft Entra لمثيل Azure SQL المدار.

أضف النظام المحدد/الهوية المدارة المعينة للمستخدم لـADF أو Azure Synapse الخاصين بك كمستخدم في Azure SQL Managed Instance

لإجراء هذه الخطوة التالية، تحتاج Management Studio.

1. ابدأ تشغيل Management Studio.

2. قم بالاتصال بمثيل Azure SQL المُدار باستخدام خادم SQL Server الموجود في sysadmin. هذا قيد مؤقت ستتم إزالته بمجرد توفر دعم أساسيات خادم Microsoft Entra (تسجيلات الدخول) على مثيل Azure SQL المدار بشكل عام. سترى الخطأ التالي إذا حاولت استخدام حساب مسؤول Microsoft Entra لإنشاء تسجيل الدخول: Msg 15247، المستوى 16، الحالة 1، السطر 1 المستخدم ليس لديه إذن لتنفيذ هذا الإجراء.

3. في مستكشف عناصر SQL Server، وسع المجلد Databases>System Databases.

4. انقر بزر الماوس الأيمن على قاعدة البيانات master وحدد New Query.

5. من نافذة الاستعلام، قم بتنفيذ البرنامج النصي T-SQL التالية لإضافة الهوية المدارة المحددة المعينة من قِبل النظام/المستخدم لـ ADF الخاص بك كمستخدم.

   CREATE LOGIN [{your managed identity name}] FROM EXTERNAL PROVIDER
   ALTER SERVER ROLE [dbcreator] ADD MEMBER [{your managed identity name}]
   ALTER SERVER ROLE [securityadmin] ADD MEMBER [{your managed identity name}]
   

   إذا كنت تستخدم الهوية المدارة للنظام لـ ADF الخاص بك، فيجب أن يكون اسم الهوية المُدارة هو اسم ADF الخاص بك. إذا كنت تستخدم هوية مُدارة معينة من قِبل المستخدم، عندها ينبغي أن يكون اسم الهوية المُدارة الخاص بك هو اسم الهوية المُدارة المعيّنة من قِبل المستخدم المحدد.

   يجب أن يكتمل الأمر بنجاح، بمنح الهوية المدارة المحددة المعينة من قِبل النظام/المستخدم لـ ADF الخاص بك القدرة على إنشاء قاعدة بيانات (SSISDB).

6. إذا تم إنشاء SSISDB باستخدام مصادقة SQL وتريد التبديل إلى استخدام مصادقة Microsoft Entra ل Azure-SSIS IR للوصول إليها، فتأكد أولا من انتهاء الخطوات المذكورة أعلاه لمنح أذونات لقاعدة البيانات الرئيسية بنجاح. انقر بزر الماوس الأيمن على قاعدة البيانات SSISDB وحدد New Query.

   1. في إطار الاستعلام، أدخل الأمر T-SQL التالي، وحدد Execute من شريط الأدوات.

      CREATE USER [{your managed identity name}] FOR LOGIN [{your managed identity name}] WITH DEFAULT_SCHEMA = dbo
      ALTER ROLE db_owner ADD MEMBER [{your managed identity name}]
      

      يجب أن يكتمل الأمر بنجاح، بمنح الهوية المدارة المحددة المعينة من قِبل النظام/المستخدم لـ ADF الخاص بك القدرة على الوصول إلى SSISDB.

تكوين إعدادات تشغيل خدمة Azure-SSIS IR في مدخل Microsoft Azure/ تطبيق ADF

عند توفير وقت تشغيل تكامل Azure-SSIS في مدخل Microsoft Azure/تطبيق ADF، في صفحة إعدادات النشر، حدد خانة الاختيار إنشاء كتالوج SSIS (SSISDB) الذي يستضيفه خادم قاعدة بيانات Azure SQL/المثيل المدار لتخزين المشاريع/الحزم/البيئات/سجلات التنفيذ وحدد إما استخدام مصادقة Microsoft Entra مع الهوية المدارة للنظام ل Data Factory أو استخدام مصادقة Microsoft Entra مع هوية مدارة يعينها المستخدم ل Data Factory خانة الاختيار لاختيار أسلوب مصادقة Microsoft Entra ل Azure-SSIS IR للوصول إلى خادم قاعدة البيانات الذي يستضيف SSISDB.

لمزيد من المعلومات، راجع إنشاء Azure-SSIS IR في ADF.

توفير Azure-SSIS IR باستخدام PowerShell

لتوفير Azure-SSIS IR باستخدام PowerShell، قم بالخطوات التالية:

1. ثبت وحدة Azure PowerShell النمطية.

2. في البرنامج النصي الخاص بك، لا تقم بتعيين المعلمة CatalogAdminCredential. على سبيل المثال:

   Set-AzDataFactoryV2IntegrationRuntime -ResourceGroupName $ResourceGroupName `
                                         -DataFactoryName $DataFactoryName `
                                         -Name $AzureSSISName `
                                         -Description $AzureSSISDescription `
                                         -Type Managed `
                                         -Location $AzureSSISLocation `
                                         -NodeSize $AzureSSISNodeSize `
                                         -NodeCount $AzureSSISNodeNumber `
                                         -Edition $AzureSSISEdition `
                                         -MaxParallelExecutionsPerNode $AzureSSISMaxParallelExecutionsPerNode `
                                         -CatalogServerEndpoint $SSISDBServerEndpoint `
                                         -CatalogPricingTier $SSISDBPricingTier
   
   Start-AzDataFactoryV2IntegrationRuntime -ResourceGroupName $ResourceGroupName `
                                           -DataFactoryName $DataFactoryName `
                                           -Name $AzureSSISName
   

تشغيل حزم SSIS باستخدام مصادقة Microsoft Entra مع النظام المحدد/ الهوية المدارة المعينة من قبل المستخدم ل ADF الخاص بك

عند تشغيل حزم SSIS على وقت تشغيل تكامل Azure-SSIS، يمكنك استخدام مصادقة Microsoft Entra مع الهوية المدارة المعينة من قبل النظام/المستخدم ل ADF للاتصال بموارد Azure المختلفة. ندعم حاليا مصادقة Microsoft Entra مع الهوية المدارة المعينة من قبل النظام/المستخدم ل ADF الخاص بك على مديري الاتصال التاليين.

• إدارة اتصال OLEDB

• مدير اتصال ADO.NET

• مدير اتصال Azure Storage