Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Pomocí těchto ukázek zabezpečení Microsoft SQL můžete porovnat, jak se Data API builder (DAB) ověřuje vůči SQL, ověřuje platnost uživatelů a vynucuje přístupová oprávnění pro jednotlivé uživatele. Každá ukázka je samostatná, ale řada se přesune ze základních přihlašovacích údajů na uživatelem delegovaný Azure SQL přístup.
Volba rychlého startu
Začněte otázkou, která odpovídá vašemu cíli.
| Pokud chcete... | Použití tohoto rychlého startu |
|---|---|
| Seznamte se s nejjednodušším vzorem připojení DAB-to-SQL. | Uživatelské jméno a heslo |
| Odebrání hesel SQL z konfigurace Azure | Spravovaná identita |
| Přidání ověření tokenu Microsoft Entra před vyžadováním přihlášení | Microsoft Entra |
| Filtrování řádků v DAB pomocí deklarací identity tokenů | Zásady DAB |
| Filtrování řádků v SQL pomocí zabezpečení na úrovni řádků vynucované databází | Zabezpečení na úrovni řádků SQL |
| Umožnit Azure SQL ověření přihlášeného uživatele přímo | On-behalf-of to Azure SQL |
Rozhodovací strom
- Potřebujete jenom základní funkční ukázku?
- Použijte uživatelské jméno a heslo.
- Chcete přístup k DAB-to-Azure SQL bez hesla?
- Použijte spravovanou identitu.
- Potřebujete DAB k ověření Microsoft Entra tokenů?
- Použijte Microsoft Entra.
- Potřebují přihlášení uživatelé zobrazit jenom vlastní řádky?
- Pokud má DAB vynucovat filtr, použijte zásady DAB.
- Pokud má SQL vynutit filtr, použijte zabezpečení na úrovni řádků SQL.
- Vyžadují protokoly auditu nebo zásady databáze jako identitu SQL skutečného přihlášeného uživatele?
- Použijte On-behalf-of pro Azure SQL.
Porovnání modelu zabezpečení
Sloupec zprostředkovatele ověřování DAB zobrazuje platnou hodnotu pro runtime.host.authentication.provider. Pokud konfigurace toto nastavení vynechá, jazyk DAB použije Unauthenticated. S výjimkou ukázek username/password a on-behalf-of používají místní spuštění přihlašovací údaje SQL a nasazení v Azure používají spravovanou identitu. Ukázka on-behalf-of také nastavuje data-source.user-delegated-auth.provider na EntraId.
| Rychlý start | Uživatel k webové aplikaci | Webová aplikace do DAB | Zprostředkovatel ověřování DAB | DAB do SQL |
|---|---|---|---|---|
| Uživatelské jméno a heslo | Anonymní | Anonymní | Unauthenticated |
Přihlašovací údaje SQL |
| Spravovaná identita | Anonymní | Anonymní | Unauthenticated |
Spravovaná identita v Azure |
| Microsoft Entra | Anonymní | Anonymní | EntraId |
Spravovaná identita v Azure |
| Zásady DAB | Přihlášení k Microsoft Entra | Nosný token | EntraId |
Spravovaná identita v Azure |
| Zabezpečení na úrovni řádků SQL | Přihlášení k Microsoft Entra | Nosný token | EntraId |
Spravovaná identita v Azure |
| On-behalf-of to Azure SQL | Přihlášení k Microsoft Entra | Nosný token | EntraId |
Token delegovaný uživatelem do Azure SQL |