مشاركة عبر

استخدام مصادقة Microsoft Entra للمصادقة مع Synapse SQL

  • مقالة

مصادقة Microsoft Entra هي آلية تتصل ب Azure Synapse Analytics باستخدام الهويات في معرف Microsoft Entra.

باستخدام مصادقة Microsoft Entra، يمكنك إدارة هويات المستخدمين التي لديها حق الوصول إلى Azure Synapse مركزيا لتبسيط إدارة الأذونات. تشمل المزايا ما يلي:

  • يوفر بديلاً لمصادقة اسم المستخدم وكلمة المرور بشكل دوري.
  • يساعد في إيقاف انتشار هويات المستخدمين عبر الخوادم.
  • يسمح بتدوير كلمة المرور في مكان واحد.
  • يمكن للعملاء إدارة الأذونات باستخدام مجموعات خارجية (معرف Microsoft Entra).
  • يمكن أن يلغي تخزين كلمات المرور عن طريق تمكين مصادقة Windows المتكاملة وأشكال المصادقة الأخرى التي يدعمها معرف Microsoft Entra.
  • يدعم معرف Microsoft Entra المصادقة المستندة إلى الرمز المميز للتطبيقات المتصلة ب Azure Synapse.
  • تدعم مصادقة Microsoft Entra ADFS (اتحاد المجال) أو مصادقة المستخدم/كلمة المرور الأصلية لمعرف Microsoft Entra محلي دون مزامنة المجال.
  • يدعم معرف Microsoft Entra الاتصالات من SQL Server Management Studio التي تستخدم Active Directory Universal Authentication، والتي تتضمن مصادقة متعددة العوامل (MFA). يتضمن MFA مصادقة قوية مع مجموعة من خيارات التحقق السهلة، التي تشمل مكالمة هاتفية، أو رسالة نصية، أو البطاقة الذكية المزودة برقم التعريف الشخصي، أو إشعار تطبيق الهاتف المحمول. لمزيد من المعلومات، راجع دعم SSMS لمصادقة Microsoft Entra متعددة العوامل باستخدام Synapse SQL.
  • يدعم معرف Microsoft Entra اتصالات مشابهة من أدوات بيانات SQL Server (SSDT) التي تستخدم مصادقة Active Directory التفاعلية. لمزيد من المعلومات، راجع دعم معرف Microsoft Entra في أدوات بيانات SQL Server (SSDT).

تتضمن خطوات التكوين الإجراءات التالية لتكوين مصادقة Microsoft Entra واستخدامها.

  1. إنشاء معرف Microsoft Entra وتعبئته.
  2. إنشاء هوية Microsoft Entra
  3. تعيين دور لهوية Microsoft Entra التي تم إنشاؤها في مساحة عمل Synapse
  4. الاتصال إلى Synapse Studio باستخدام هويات Microsoft Entra.

تمرير Microsoft Entra في Azure Synapse Analytics

تمكنك Azure Synapse Analytics من الوصول إلى البيانات في مستودع البيانات باستخدام هوية Microsoft Entra.

يتيح لك تحديد حقوق الوصول إلى الملفات والبيانات في محركات البيانات المختلفة تبسيط حلول مستودع البيانات الخاصة بك من خلال وجود مكان واحد لتحديد الأذونات بدلاً من الاضطرار إلى تحديدها في أماكن متعددة.

بنية الثقة

يلخص الرسم التخطيطي عالي المستوى التالي بنية الحل لاستخدام مصادقة Microsoft Entra مع Synapse SQL. لدعم كلمة مرور المستخدم الأصلية ل Microsoft Entra، يتم النظر فقط في جزء السحابة وAzure AD/Synapse Synapse SQL. لدعم المصادقة الموحدة (أو المستخدم/كلمة المرور لبيانات اعتماد Windows)، يلزم الاتصال بكتلة ADFS. تشير الأسهم إلى مسارات الاتصال.

Microsoft Entra auth diagram

يشير الرسم التخطيطي التالي إلى علاقات الاتحاد، والثقة، والاستضافة التي تسمح للعميل بالاتصال بقاعدة بيانات عن طريق إرسال رمز مميز. تتم مصادقة الرمز المميز بواسطة معرف Microsoft Entra، وهو موثوق به من قبل قاعدة البيانات.

يمكن للعميل 1 تمثيل معرف Microsoft Entra مع مستخدمين أصليين أو معرف Microsoft Entra مع مستخدمين متحدين. يمثل العميل 2 حلا ممكنا بما في ذلك المستخدمين المستوردين؛ في هذا المثال يأتي من معرف Microsoft Entra الموحد مع مزامنة ADFS مع معرف Microsoft Entra.

من المهم أن نفهم أن الوصول إلى قاعدة بيانات باستخدام مصادقة Microsoft Entra يتطلب أن يكون اشتراك الاستضافة مقترنا بمعرف Microsoft Entra. يجب استخدام نفس الاشتراك لإنشاء SQL Server الذي يستضيف قاعدة بيانات Azure SQL أو تجمع SQL المخصص.

subscription relationship

بنية المسؤول

عند استخدام مصادقة Microsoft Entra، هناك حسابان مسؤول istrator ل Synapse SQL؛ ومسؤول SQL الأصلي (باستخدام مصادقة SQL) ومسؤول Microsoft Entra. يمكن فقط للمسؤول المستند إلى حساب Microsoft Entra إنشاء أول مستخدم قاعدة بيانات يحتوي على معرف Microsoft Entra في قاعدة بيانات المستخدم.

يمكن أن يكون تسجيل دخول مسؤول Microsoft Entra مستخدم Microsoft Entra أو مجموعة Microsoft Entra. عندما يكون المسؤول حساب مجموعة، يمكن استخدامه من قبل أي عضو في المجموعة، مما يتيح العديد من مسؤولي Microsoft Entra لمثيل Synapse SQL.

يؤدي استخدام حساب المجموعة كمسؤول إلى تحسين إمكانية الإدارة من خلال السماح لك بإضافة أعضاء المجموعة وإزالتها مركزيا في معرف Microsoft Entra دون تغيير المستخدمين أو الأذونات في مساحة عمل Azure Synapse Analytics. يمكن تكوين مسؤول Microsoft Entra واحد فقط (مستخدم أو مجموعة) في أي وقت.

admin structure

الأذونات

لإنشاء مستخدمين جدد، يجب أن يكون لديك ALTER ANY USER إذن في قاعدة البيانات. يمكن منح ALTER ANY USER الإذن لأي مستخدم قاعدة بيانات. ALTER ANY USER يتم الاحتفاظ بالإذن أيضا من قبل مسؤول SQL وحسابات مسؤول Microsoft Entra ومستخدمي قاعدة البيانات الذين لديهم CONTROL ON DATABASE إذن أو ALTER ON DATABASE لقاعدة البيانات هذه، وأعضاء db_owner دور قاعدة البيانات.

لإنشاء مستخدم قاعدة بيانات مضمن في Synapse SQL، يجب الاتصال بقاعدة البيانات أو المثيل باستخدام هوية Microsoft Entra. لإنشاء أول مستخدم قاعدة بيانات مضمن، يجب الاتصال بقاعدة البيانات باستخدام مسؤول Microsoft Entra (مالك قاعدة البيانات).

أي مصادقة Microsoft Entra ممكنة فقط إذا تم إنشاء مسؤول Microsoft Entra ل Synapse SQL. إذا تمت إزالة مسؤول Microsoft Entra من الخادم، فلن يتمكن مستخدمو Microsoft Entra الحاليون الذين تم إنشاؤهم مسبقا داخل Synapse SQL من الاتصال بقاعدة البيانات باستخدام بيانات اعتماد Microsoft Entra الخاصة بهم.

تعطيل المصادقة المحلية

من خلال السماح بمصادقة Microsoft Entra فقط، قم بإدارة الوصول مركزيا إلى موارد Azure Synapse، مثل تجمعات SQL. لتعطيل المصادقة المحلية في Synapse أثناء إنشاء مساحة العمل، حدد استخدام مصادقة Microsoft Entra فقط كطريقة مصادقة. سيستمر إنشاء تسجيل دخول مسؤول SQL ولكن سيتم تعطيله. يمكن تمكين المصادقة المحلية لاحقًا بواسطة مالك Azure أو المساهم في مساحة عمل Synapse.

Microsoft Entra-only auth configuration during workspace creation

يمكنك أيضًا تعطيل المصادقة المحلية بعد إنشاء مساحة عمل من خلال مدخل Azure. لا يمكن تعطيل المصادقة المحلية حتى يتم إنشاء مسؤول Microsoft Entra لمساحة عمل Azure Synapse.

Microsoft Entra-only auth configuration after workspace creation

ميزات وقيود Microsoft Entra

  • يمكن توفير الأعضاء التاليين لمعرف Microsoft Entra في Synapse SQL:

    • الأعضاء الأصليون: عضو تم إنشاؤه في معرف Microsoft Entra في المجال المدار أو في مجال العميل. لمزيد من المعلومات، راجع إضافة اسم المجال الخاص بك إلى معرف Microsoft Entra.
    • أعضاء المجال الموحد: عضو تم إنشاؤه في معرف Microsoft Entra مع مجال موحد. لمزيد من المعلومات، راجع نشر خدمات الأمان المشترك لـ Active Directory في Azure.
    • أعضاء مستوردون من Azure ADs الآخرين الذين هم أعضاء أصليون أو أعضاء في مجال موحد.
    • إنشاء مجموعات Active Directory كمجموعات أمان.

  • لا يمكن لمستخدمي Microsoft Entra الذين يشكلون جزءا من مجموعة لها db_owner دور خادم استخدام بناء جملة CREATE DATABASE SCOPED CREDENTIAL في Synapse SQL. سترى الخطأ التالي:

    SQL Error [2760] [S0001]: The specified schema name 'user@mydomain.com' either does not exist or you do not have permission to use it.

    db_owner امنح الدور مباشرة إلى مستخدم Microsoft Entra الفردي للتخفيف من مشكلة CREATE DATABASE SCOPED CREDENTIAL.

  • ترجع وظائف النظام هذه قيم NULL عند تنفيذها ضمن أساسيات Microsoft Entra:

    • SUSER_ID()
    • SUSER_NAME(<admin ID>)
    • SUSER_SNAME(<admin SID>)
    • SUSER_ID(<admin name>)
    • SUSER_SID(<admin name>)

الاتصال باستخدام هويات Microsoft Entra

تدعم مصادقة Microsoft Entra الطرق التالية للاتصال بقاعدة بيانات باستخدام هويات Microsoft Entra:

  • كلمة مرور Microsoft Entra
  • Microsoft Entra متكامل
  • Microsoft Entra Universal مع MFA
  • استخدام مصادقة رمز التطبيق

يتم دعم أساليب المصادقة التالية لأساسيات خادم Microsoft Entra (عمليات تسجيل الدخول):

  • كلمة مرور Microsoft Entra
  • Microsoft Entra متكامل
  • Microsoft Entra Universal مع MFA

اعتبارات إضافية

  • لتحسين إمكانية الإدارة، نوصي بتوفير مجموعة Microsoft Entra مخصصة كمسؤول.
  • يمكن تكوين مسؤول Microsoft Entra واحد فقط (مستخدم أو مجموعة) لتجمعات Synapse SQL في أي وقت.
    • تسمح إضافة أساسيات خادم Microsoft Entra (عمليات تسجيل الدخول) ل Synapse SQL بإمكانية إنشاء العديد من أساسيات خادم Microsoft Entra (تسجيلات الدخول) التي يمكن إضافتها إلى sysadmin الدور.
  • يمكن فقط لمسؤول Microsoft Entra ل Synapse SQL الاتصال في البداية ب Synapse SQL باستخدام حساب Microsoft Entra. يمكن لمسؤول Active Directory تكوين مستخدمي قاعدة بيانات Microsoft Entra اللاحقين.
  • نوصي بتعيين مهلة الاتصال على 30 ثانية.
  • يدعم SQL Server 2016 Management Studio وSQL Server Data Tools ل Visual Studio 2015 (الإصدار 14.0.60311.1April 2016 أو أحدث) مصادقة Microsoft Entra. (مصادقة Microsoft Entra مدعومة من قبل موفر بيانات .NET Framework ل SqlServer؛ على الأقل الإصدار .NET Framework 4.6). لذلك، أحدث إصدارات هذه الأدوات وتطبيقات مستوى البيانات (DAC و. يمكن ل BACPAC) استخدام مصادقة Microsoft Entra.
  • بداية من الإصدار 15.0.1، تدعم الأداة المساعدة sqlcmd والأداة المساعدة bcp المصادقة التفاعلية لـ Active Directory مع MFA.
  • تتطلب SQL Server Data Tools لـ Visual Studio 2015 إصدار أبريل 2016 من Data Tools (الإصدار 14.0.60311.1) على الأقل. حاليا، لا يظهر مستخدمو Microsoft Entra في مستكشف عناصر SSDT. كحل بديل، اعرض المستخدمين في sys.database_principals.
  • يدعم Microsoft JDBC Driver 6.0 ل SQL Server مصادقة Microsoft Entra. راجع أيضاً تعيين خصائص الاتصال.
  • يتحكم حساب مسؤول Microsoft Entra في الوصول إلى التجمعات المخصصة، بينما يتم استخدام أدوار Synapse RBAC للتحكم في الوصول إلى التجمعات بلا خادم، على سبيل المثال، مع دور Synapse مسؤول istrator وSynapse SQL مسؤول istrator. تكوين أدوار Synapse RBAC عبر Synapse Studio، لمزيد من المعلومات، راجع كيفية إدارة تعيينات دور Synapse RBAC في Synapse Studio.
  • إذا تم تكوين مستخدم كمسؤول Microsoft Entra وSynapse مسؤول istrator، ثم تمت إزالته من دور مسؤول Microsoft Entra، فسيفقد المستخدم الوصول إلى تجمعات SQL المخصصة في Synapse. يجب إزالتها ثم إضافتها إلى دور Synapse مسؤول istrator لاستعادة الوصول إلى تجمعات SQL المخصصة.

الخطوات التالية