Povolení ověřování Microsoft Entra pro Azure-SSIS Integration Runtime
PLATÍ PRO:
Azure Data Factory Azure Synapse Analytics (Preview)
Tip
Vyzkoušejte si službu Data Factory v Microsoft Fabric, řešení pro analýzy typu all-in-one pro podniky. Microsoft Fabric zahrnuje všechno od přesunu dat až po datové vědy, analýzy v reálném čase, business intelligence a vytváření sestav. Přečtěte si, jak začít používat novou zkušební verzi zdarma.
V tomto článku se dozvíte, jak povolit ověřování Microsoft Entra se zadanou spravovanou identitou přiřazenou systémem nebo uživatelem pro službu Azure Data Factory (ADF) nebo Azure Synapse a použít ji místo konvenčních metod ověřování (jako je ověřování SQL).
Vytvořte prostředí Azure-SSIS Integration Runtime (IR), které za vás zřídí databázi katalogu SSIS (SSISDB) na serveru nebo spravované instanci Azure SQL Database.
Připojení k různým prostředkům Azure při spouštění balíčků SSIS v Prostředí Azure-SSIS IR.
Další informace o spravované identitě pro službu ADF najdete v tématu Spravovaná identita služby Data Factory a Azure Synapse.
Poznámka:
V tomto scénáři se ověřování Microsoft Entra se zadanou spravovanou identitou přiřazenou systémem nebo uživatelem pro vaši službu ADF používá pouze při zřizování a následných počátečních operacích prostředí Azure-SSIS IR, které se zase zřídí a připojí k SSISDB. Při spouštění balíčků SSIS se prostředí Azure-SSIS IR stále připojí k SSISDB a načte balíčky pomocí ověřování SQL s plně spravovanými účty (AzureIntegrationServiceDbo a AzureIntegrationServiceWorker), které se vytvoří během zřizování SSISDB.
Pokud chcete používat funkci spravované identity přiřazené uživatelem správce připojení, musí být správce připojení OLEDB například SSIS IR zřízen se stejnou spravovanou identitou přiřazenou uživatelem, která se používá ve Správci připojení.
Pokud jste už vytvořili prostředí Azure-SSIS IR pomocí ověřování SQL, nemůžete ho v tuto chvíli překonfigurovat tak, aby používal ověřování Microsoft Entra prostřednictvím PowerShellu, ale můžete to provést prostřednictvím webu Azure Portal nebo aplikace ADF.
Poznámka:
Při práci s Azure doporučujeme používat modul Azure Az PowerShellu. Začněte tím, že si projdete téma Instalace Azure PowerShellu. Informace o tom, jak migrovat na modul Az PowerShell, najdete v tématu Migrace Azure PowerShellu z AzureRM na Az.
Povolení ověřování Microsoft Entra ve službě Azure SQL Database
Azure SQL Database podporuje vytvoření databáze s uživatelem Microsoft Entra. Nejprve musíte vytvořit skupinu Microsoft Entra se zadanou spravovanou identitou přiřazenou systémem nebo uživatelem pro vaši ADF jako člena. Dále musíte nastavit uživatele Microsoft Entra jako správce služby Active Directory pro váš server Azure SQL Database a pak se k němu připojit v aplikaci SQL Server Management Studio (SSMS) pomocí daného uživatele. Nakonec musíte vytvořit uživatele, který představuje skupinu Microsoft Entra, takže za vás může azure-SSIS IR použít spravovanou identitu přiřazenou systémem nebo uživatelem.
Vytvoření skupiny Microsoft Entra se zadanou spravovanou identitou přiřazenou systémem nebo uživatelem pro vaši ADF jako člena
Můžete použít existující skupinu Microsoft Entra nebo vytvořit novou pomocí Azure AD PowerShellu.
Přihlaste se pomocí
Connect-AzureAD, spuštěním následující rutiny vytvořte skupinu a uložte ji do proměnné:$Group = New-AzureADGroup -DisplayName "SSISIrGroup" ` -MailEnabled $false ` -SecurityEnabled $true ` -MailNickName "NotSet"Poznámka:
Moduly Azure AD a MSOnline PowerShell jsou od 30. března 2024 zastaralé. Další informace najdete v aktualizaci vyřazení. Po tomto datu je podpora těchto modulů omezená na pomoc s migrací na sadu Microsoft Graph PowerShell SDK a opravy zabezpečení. Zastaralé moduly budou dál fungovat až do 30. března 2025.
Doporučujeme migrovat na Microsoft Graph PowerShell , abyste mohli pracovat s Microsoft Entra ID (dříve Azure AD). Běžné dotazy k migraci najdete v nejčastějších dotazech k migraci. Poznámka: Verze 1.0.x msOnline mohou dojít k přerušení po 30. červnu 2024.
Výsledek vypadá jako v následujícím příkladu, který také zobrazuje hodnotu proměnné:
$Group ObjectId DisplayName Description -------- ----------- ----------- 6de75f3c-8b2f-4bf4-b9f8-78cc60a18050 SSISIrGroupPřidejte do skupiny zadanou spravovanou identitu přiřazenou systémem nebo uživatelem. Můžete postupovat podle článku Spravované identity pro službu Data Factory nebo Azure Synapse a získat ID objektu zadané spravované identity přiřazené systémem nebo uživatelem pro vaši službu ADF (např. 765ad4ab-XXXX-XXXX-XXXX-51ed985819dc, ale pro tento účel nepoužívejte ID aplikace).
Add-AzureAdGroupMember -ObjectId $Group.ObjectId -RefObjectId 765ad4ab-XXXX-XXXX-XXXX-51ed985819dcČlenství ve skupině můžete také zkontrolovat později.
Get-AzureAdGroupMember -ObjectId $Group.ObjectId
Konfigurace ověřování Microsoft Entra pro Azure SQL Database
Ověřování Microsoft Entra pro službu Azure SQL Database můžete nakonfigurovat a spravovat pomocí následujícího postupu:
Na webu Azure Portal vyberte v levém navigačním panelu všechny služby –>SQL servery .
Vyberte server služby Azure SQL Database, který se má nakonfigurovat s ověřováním Microsoft Entra.
V Nastavení části okna vyberte správce služby Active Directory.
Na panelu příkazů vyberte Nastavit správce.
Vyberte uživatelský účet Microsoft Entra, který se má provést jako správce serveru, a pak vyberte Vybrat.
Na panelu příkazů vyberte Uložit.
Vytvoření uživatele obsaženého ve službě Azure SQL Database představující skupinu Microsoft Entra
Pro tento další krok potřebujete SSMS.
Spusťte SSMS.
V dialogovém okně Připojení na server zadejte název serveru do pole Název serveru.
V poli Ověřování vyberte Active Directory – Univerzální s podporou vícefaktorového ověřování (můžete také použít další dva typy ověřování Active Directory, viz Konfigurace a správa ověřování Microsoft Entra pro Azure SQL Database).
Do pole Uživatelské jméno zadejte název účtu Microsoft Entra, který jste nastavili jako správce serveru, například testuser@xxxonline.com.
Vyberte Připojení a dokončete proces přihlášení.
V Průzkumník objektů rozbalte složku Databáze ->System Databases.
Klikněte pravým tlačítkem myši na hlavní databázi a vyberte Nový dotaz.
V okně dotazu zadejte následující příkaz T-SQL a na panelu nástrojů vyberte Spustit .
CREATE USER [SSISIrGroup] FROM EXTERNAL PROVIDERPříkaz by se měl úspěšně dokončit a vytvořit uživatele s obsahem, který bude představovat skupinu.
Vymažte okno dotazu, zadejte následující příkaz T-SQL a na panelu nástrojů vyberte Spustit .
ALTER ROLE dbmanager ADD MEMBER [SSISIrGroup]Příkaz by se měl úspěšně dokončit a udělit uživateli možnost vytvořit databázi (SSISDB).
Pokud se vaše databáze SSISDB vytvořila pomocí ověřování SQL a chcete pro přístup k prostředí Azure-SSIS IR použít ověřování Microsoft Entra, nejprve se ujistěte, že výše uvedené kroky pro udělení oprávnění hlavní databázi byly úspěšně dokončeny. Potom klikněte pravým tlačítkem myši na databázi SSISDB a vyberte Nový dotaz.
V okně dotazu zadejte následující příkaz T-SQL a na panelu nástrojů vyberte Spustit .
CREATE USER [SSISIrGroup] FROM EXTERNAL PROVIDERPříkaz by se měl úspěšně dokončit a vytvořit uživatele s obsahem, který bude představovat skupinu.
Vymažte okno dotazu, zadejte následující příkaz T-SQL a na panelu nástrojů vyberte Spustit .
ALTER ROLE db_owner ADD MEMBER [SSISIrGroup]Příkaz by se měl úspěšně dokončit a udělit uživateli možnost přístupu k databázi SSISDB.
Povolení ověřování Microsoft Entra ve službě Azure SQL Managed Instance
Spravovaná instance Azure SQL podporuje vytvoření databáze se zadanou spravovanou identitou přiřazenou systémem nebo uživatelem pro vaši ADF přímo. Ke skupině Microsoft Entra není nutné připojit zadanou spravovanou identitu přiřazenou systémem nebo uživatelem přiřazenou uživatelem ani vytvořit uživatele představujícího tuto skupinu ve službě Azure SQL Managed Instance.
Konfigurace ověřování Microsoft Entra pro azure SQL Managed Instance
Postupujte podle pokynů v tématu Zřízení správce Microsoft Entra pro azure SQL Managed Instance.
Přidání zadané spravované identity přiřazené systémem nebo uživatelem pro službu ADF nebo Azure Synapse jako uživatele ve službě Azure SQL Managed Instance
Pro tento další krok potřebujete SSMS.
Spusťte SSMS.
Připojení do služby Azure SQL Managed Instance pomocí účtu SQL Serveru, který je správcem systému. Jedná se o dočasné omezení, které se odebere, jakmile bude obecně dostupná podpora objektů zabezpečení serveru Microsoft Entra (přihlášení) ve službě Azure SQL Managed Instance. Pokud se pokusíte k vytvoření přihlášení použít účet správce Microsoft Entra, zobrazí se následující chyba: Msg 15247, Level 16, State 1, Line 1 Uživatel nemá oprávnění k provedení této akce.
V Průzkumník objektů rozbalte složku Databáze ->System Databases.
Klikněte pravým tlačítkem myši na hlavní databázi a vyberte Nový dotaz.
V okně dotazu spusťte následující skript T-SQL, který přidá zadanou spravovanou identitu přiřazenou systémem nebo uživatelem pro službu ADF jako uživatele.
CREATE LOGIN [{your managed identity name}] FROM EXTERNAL PROVIDER ALTER SERVER ROLE [dbcreator] ADD MEMBER [{your managed identity name}] ALTER SERVER ROLE [securityadmin] ADD MEMBER [{your managed identity name}]Pokud pro ADF používáte spravovanou identitu systému, měl by to být název vaší spravované identity ADF. Pokud pro ADF používáte spravovanou identitu přiřazenou uživatelem, měla by se jednat o zadaný název spravované identity přiřazené uživatelem.
Příkaz by se měl úspěšně dokončit a udělit spravované identitě přiřazené systémem nebo uživatelem pro vaši ADF možnost vytvořit databázi (SSISDB).
Pokud se vaše databáze SSISDB vytvořila pomocí ověřování SQL a chcete pro přístup k prostředí Azure-SSIS IR použít ověřování Microsoft Entra, nejprve se ujistěte, že výše uvedené kroky pro udělení oprávnění hlavní databázi byly úspěšně dokončeny. Potom klikněte pravým tlačítkem myši na databázi SSISDB a vyberte Nový dotaz.
V okně dotazu zadejte následující příkaz T-SQL a na panelu nástrojů vyberte Spustit .
CREATE USER [{your managed identity name}] FOR LOGIN [{your managed identity name}] WITH DEFAULT_SCHEMA = dbo ALTER ROLE db_owner ADD MEMBER [{your managed identity name}]Příkaz by se měl úspěšně dokončit a udělit spravované identitě přiřazené systémem nebo uživatelem pro vaši ADF schopnost přistupovat k databázi SSISDB.
Zřízení prostředí Azure-SSIS IR na webu Azure Portal nebo v aplikaci ADF
Když zřídíte prostředí Azure-SSIS IR na webu Azure Portal nebo aplikaci ADF, na stránce Nastavení nasazení vyberte katalog SSIS (SSISDB), který je hostovaný serverem služby Azure SQL Database nebo spravovanou instancí, a uložte své projekty, balíčky, prostředí/ protokoly spouštění a zaškrtněte políčko Použít ověřování Microsoft Entra se systémem spravovanou identitou služby Data Factory nebo použijte ověřování Microsoft Entra s uživatelsky přiřazenou spravovanou identitou pro Službu Data Factory . Pokud chcete pro přístup k databázovému serveru, který hostuje databázi SSISDB, zaškrtněte políčko zvolit metodu ověřování Microsoft Entra pro Azure-SSIS IR.
Další informace najdete v tématu Vytvoření prostředí Azure-SSIS IR v ADF.
Zřízení Prostředí Azure-SSIS IR pomocí PowerShellu
Pokud chcete zřídit Prostředí Azure-SSIS IR pomocí PowerShellu, postupujte takto:
Nainstalujte modul Azure PowerShellu .
Ve skriptu nenastavujte
CatalogAdminCredentialparametr. Příklad:Set-AzDataFactoryV2IntegrationRuntime -ResourceGroupName $ResourceGroupName ` -DataFactoryName $DataFactoryName ` -Name $AzureSSISName ` -Description $AzureSSISDescription ` -Type Managed ` -Location $AzureSSISLocation ` -NodeSize $AzureSSISNodeSize ` -NodeCount $AzureSSISNodeNumber ` -Edition $AzureSSISEdition ` -MaxParallelExecutionsPerNode $AzureSSISMaxParallelExecutionsPerNode ` -CatalogServerEndpoint $SSISDBServerEndpoint ` -CatalogPricingTier $SSISDBPricingTier Start-AzDataFactoryV2IntegrationRuntime -ResourceGroupName $ResourceGroupName ` -DataFactoryName $DataFactoryName ` -Name $AzureSSISName
Spouštění balíčků SSIS pomocí ověřování Microsoft Entra se zadanou spravovanou identitou přiřazenou systémem nebo uživatelem pro vaši ADF
Při spouštění balíčků SSIS v Prostředí Azure-SSIS IR můžete použít ověřování Microsoft Entra se zadanou spravovanou identitou přiřazenou systémem nebo uživatelem pro vaši ADF a připojit se k různým prostředkům Azure. V současné době podporujeme ověřování Microsoft Entra se zadanou spravovanou identitou přiřazenou systémem nebo uživatelem pro vaši ADF v následujících správcích připojení.