Přihlašovací údaje ke zdrojovému ověřování v Microsoft Purview

Tento článek popisuje, jak můžete vytvořit přihlašovací údaje v Microsoft Purview. Díky těmto uloženým přihlašovacím údajům můžete rychle znovu použít uložené ověřovací informace pro kontroly zdroje dat.

Požadavky

Úvod

Přihlašovací údaje jsou ověřovací informace, které může Microsoft Purview použít k ověření ve vašich registrovaných zdrojích dat. Objekt přihlašovacích údajů lze vytvořit pro různé typy scénářů ověřování, jako je základní ověřování vyžadující uživatelské jméno nebo heslo. Přihlašovací údaje zaznamenávají konkrétní informace potřebné k ověření na základě zvoleného typu metody ověřování. Přihlašovací údaje používají vaše stávající tajné kódy služby Azure Key Vault k načítání citlivých ověřovacích informací během procesu vytváření přihlašovacích údajů.

V Microsoft Purview existuje několik možností, jak použít jako metodu ověřování ke kontrole zdrojů dat, jako jsou například následující možnosti. Seznamte se s jednotlivými články o zdroji dat pro podporované ověřování.

Před vytvořením přihlašovacích údajů zvažte typy zdrojů dat a síťové požadavky, abyste se rozhodli, kterou metodu ověřování pro váš scénář potřebujete.

Nastavení kontrol pomocí spravované identity přiřazené systémem Microsoft Purview

Pokud k nastavení kontrol používáte spravovanou identitu přiřazenou systémem Microsoft Purview (SAMI), nebudete muset vytvořit přihlašovací údaje a propojit trezor klíčů s Microsoft Purview, abyste je mohli uložit. Podrobné pokyny k přidání rozhraní Microsoft Purview SAMI, které mají přístup ke kontrole zdrojů dat, najdete v následujících částech ověřování pro konkrétní zdroj dat:

Udělení přístupu Microsoft Purview ke službě Azure Key Vault

Pokud chcete službě Microsoft Purview udělit přístup ke službě Azure Key Vault, musíte potvrdit dvě věci:

Přístup k bráně firewall ke službě Azure Key Vault

Pokud služba Azure Key Vault zakázala přístup k veřejné síti, máte dvě možnosti, jak povolit přístup pro Microsoft Purview.

Důvěryhodné služby Microsoftu

Microsoft Purview je uvedený jako jedna z důvěryhodných služeb služby Azure Key Vault, takže pokud je ve službě Azure Key Vault zakázaný přístup k veřejné síti, můžete povolit přístup jenom k důvěryhodným službám Microsoftu a Microsoft Purview bude zahrnut.

Toto nastavení můžete povolit ve službě Azure Key Vault na kartě Sítě .

V dolní části stránky v části Výjimka povolte povolit důvěryhodné služby Microsoftu obejít tuto funkci brány firewall .

Azure Key Vault networking page with the Allow trusted Microsoft services to bypass this firewall feature enabled.

Připojení k privátním koncovým bodům

Pokud se chcete připojit ke službě Azure Key Vault s privátními koncovými body, postupujte podle dokumentace k privátnímu koncovému bodu služby Azure Key Vault.

Poznámka

Možnost připojení privátního koncového bodu se podporuje při použití prostředí Azure Integration Runtime ve spravované virtuální síti ke kontrole zdrojů dat. V případě místního prostředí Integration Runtime je potřeba povolit důvěryhodné služby Microsoftu.

Oprávnění Microsoft Purview ve službě Azure Key Vault

Azure Key Vault v současné době podporuje dva modely oprávnění:

Před přiřazením přístupu k spravované identitě přiřazené systémem Microsoft Purview (SAMI) nejprve identifikujte model oprávnění služby Azure Key Vault ze zásad přístupu k prostředkům služby Key Vault v nabídce. Postupujte podle následujících kroků na základě příslušného modelu oprávnění.

Azure Key Vault Permission Model

Možnost 1 – Přiřazení přístupu pomocí zásad přístupu ke službě Key Vault

Postupujte podle těchto kroků jenom v případě, že je model oprávnění ve vašem prostředku služby Azure Key Vault nastavený na Zásady přístupu k trezoru:

  1. Přejděte do služby Azure Key Vault.

  2. Vyberte stránku zásad přístupu .

  3. Vyberte Přidat zásadu přístupu.

    Add Microsoft Purview managed identity to AKV

  4. V rozevíracím seznamu Oprávnění tajných kódů vyberte Získat a Zobrazit oprávnění.

  5. Jako objekt zabezpečení vyberte spravovanou identitu systému Microsoft Purview. Microsoft Purview SAMI můžete vyhledat pomocí názvu instance Microsoft Purview nebo ID aplikace spravované identity. V současné době nepodporujeme složené identity (název spravované identity + ID aplikace).

    Add access policy

  6. Vyberte Přidat.

  7. Chcete-li uložit zásady přístupu, vyberte Uložit .

    Save access policy

Možnost 2 – Přiřazení přístupu pomocí řízení přístupu na základě role v Azure služby Key Vault

Postupujte podle těchto kroků jenom v případě, že je model oprávnění ve vašem prostředku služby Azure Key Vault nastavený na řízení přístupu na základě role Azure:

  1. Přejděte do služby Azure Key Vault.

  2. V levé navigační nabídce vyberte Řízení přístupu (IAM ).

  3. Vyberte + Přidat.

  4. Nastavte roli na uživatele tajných kódů služby Key Vault a do pole Vybrat vstup zadejte název účtu Microsoft Purview. Pak vyberte Uložit a dejte tomuto přiřazení role k účtu Microsoft Purview.

    Azure Key Vault RBAC

Vytvoření připojení ke službě Azure Key Vault v účtu Microsoft Purview

Než budete moct vytvořit přihlašovací údaje, nejprve přidružte jednu nebo více vašich existujících instancí služby Azure Key Vault k účtu Microsoft Purview.

  1. Na webu Azure Portal vyberte svůj účet Microsoft Purview a otevřete portál zásad správného řízení Microsoft Purview. Přejděte do Centra pro správu v sadě Studio a přejděte na přihlašovací údaje.

  2. Na stránce Přihlašovací údaje vyberte Spravovat připojení ke službě Key Vault.

    Manage Azure Key Vault connections

  3. Na stránce Spravovat připojení ke službě Key Vault vyberte + Nové .

  4. Zadejte požadované informace a pak vyberte Vytvořit.

  5. Ověřte, že se váš trezor klíčů úspěšně přidružoval k vašemu účtu Microsoft Purview, jak je znázorněno v tomto příkladu:

    View Azure Key Vault connections to confirm.

Vytvoření nových přihlašovacích údajů

Tyto typy přihlašovacích údajů jsou podporovány v Microsoft Purview:

  • Základní ověřování: Heslo přidáte jako tajný kód v trezoru klíčů.
  • Instanční objekt: Klíč instančního objektu přidáte jako tajný kód v trezoru klíčů.
  • Ověřování SQL: Heslo přidáte jako tajný kód v trezoru klíčů.
  • Ověřování systému Windows: Heslo přidáte jako tajný kód v trezoru klíčů.
  • Klíč účtu: Klíč účtu přidáte jako tajný kód v trezoru klíčů.
  • ARN role: Pro zdroj dat Amazon S3 přidejte do AWS svoji roli ARN .
  • Uživatelský klíč: Pro zdroje dat Salesforce můžete v trezoru klíčů přidat heslo a tajný klíč příjemce .
  • Spravovaná identita přiřazená uživatelem (Preview): Můžete přidat přihlašovací údaje spravované identity přiřazené uživatelem. Další informace najdete v části vytvoření spravované identity přiřazené uživatelem níže.

Další informace najdete v tématu Přidání tajného kódu do služby Key Vault a vytvoření nové role AWS pro Microsoft Purview.

Po uložení tajných kódů do trezoru klíčů:

  1. V Microsoft Purview přejděte na stránku Přihlašovací údaje.

  2. Vytvořte nové přihlašovací údaje tak, že vyberete + Nový.

  3. Zadejte požadované informace. Vyberte metodu ověřování a připojení ke službě Key Vault , ze kterého chcete vybrat tajný kód.

  4. Po vyplnění všech podrobností vyberte Vytvořit.

    New credential

  5. Ověřte, že se vaše nové přihlašovací údaje zobrazují v zobrazení seznamu a jsou připravené k použití.

    View credential

Správa připojení trezoru klíčů

  1. Hledání nebo vyhledání připojení ke službě Key Vault podle názvu

    Search key vault

  2. Odstranění jednoho nebo více připojení služby Key Vault

    Delete key vault

Správa přihlašovacích údajů

  1. Vyhledejte nebo vyhledejte přihlašovací údaje podle názvu.

  2. Vyberte a aktualizujte existující přihlašovací údaje.

  3. Odstraňte jeden nebo více přihlašovacích údajů.

Vytvoření spravované identity přiřazené uživatelem

Spravované identity přiřazené uživatelem (UAMI) umožňují prostředkům Azure ověřovat přímo s jinými prostředky pomocí ověřování Azure Active Directory (Azure AD), aniž by bylo nutné tyto přihlašovací údaje spravovat. Umožňují ověřovat a přiřazovat přístup stejně jako pomocí spravované identity přiřazené systémem, uživatele Azure AD, skupiny Azure AD nebo instančního objektu. Spravované identity přiřazené uživatelem se vytvářejí jako vlastní prostředek (místo připojení k před existujícímu prostředku). Další informace o spravovanýchidentitch

Následující postup vám ukáže, jak vytvořit UAMI pro Microsoft Purview, který se má použít.

Podporované zdroje dat pro UAMI

Vytvoření spravované identity přiřazené uživatelem

  1. Na webu Azure Portal přejděte na svůj účet Microsoft Purview.

  2. V části Spravované identity v levé nabídce vyberte tlačítko + Přidat a přidejte spravované identity přiřazené uživatelem.

    Screenshot showing managed identity screen in the Azure portal with user-assigned and add highlighted.

  3. Po dokončení nastavení se vraťte na svůj účet Microsoft Purview na webu Azure Portal. Pokud se spravovaná identita úspěšně nasadí, zobrazí se stav účtu Microsoft Purview jako úspěšný.

    Screenshot the Microsoft Purview account in the Azure portal with Status highlighted under the overview tab and essentials menu.

  4. Po úspěšném nasazení spravované identity přejděte na portál zásad správného řízení Microsoft Purview výběrem tlačítka Otevřít portál zásad správného řízení Microsoft Purview .

  5. Na portálu zásad správného řízení Microsoft Purview přejděte do Centra pro správu v sadě Studio a pak přejděte do části Přihlašovací údaje.

  6. Vyberte +Nový a vytvořte spravovanou identitu přiřazenou uživatelem.

  7. Vyberte metodu ověřování spravované identity a v rozevírací nabídce vyberte spravovanou identitu přiřazenou uživatelem.

    Screenshot showing the new managed identity creation tile, with the Learn More link highlighted.

    Poznámka

    Pokud byl portál otevřený při vytváření spravované identity přiřazené uživatelem, budete muset aktualizovat webový portál Microsoft Purview, abyste načetli nastavení dokončená na webu Azure Portal.

  8. Po vyplnění všech informací vyberte Vytvořit.

Další kroky

Vytvoření sady pravidel prohledávání