Konfigurace ID Microsoft Entra pro federaci SQL Serveru

Tato stránka popisuje, jak nakonfigurovat Federaci Databricks Lakehouse tak, aby spouštěla federované dotazy na Microsoft SQL Serveru pomocí ověřování Microsoft Entra ID. Podporují se toky OAuth pro user-to-machine (U2M) i machine-to-machine (M2M).

Podporované toky OAuth

• U2M: Ověřování pomocí účtu Microsoft Uživateli se zobrazí výzva k přihlášení pomocí URI pro přesměrování a přístupový token je vydán pro uživatele.
• M2M: Ověřování pomocí služebního principálu Přístupový token se vydává pro aplikaci místo pro konkrétního uživatele.

V pracovním prostoru Databricks OAuth odkazuje na U2M ověřování a OAuth Machine to Machine odkazuje na M2M ověřování.

Než začnete

Než budete moct spouštět federované dotazy na SQL Serveru pomocí ID Entra, musíte mít následující:

• Přístup k předplatnému Azure a oprávnění k registraci aplikací v Microsoft Entra ID.
• Přístup správce k vaší instanci SQL Serveru za účelem vytvoření objektů zabezpečení Entra

Registrace aplikace v Microsoft Entra ID

Pokud chcete vytvořit registraci aplikace pro ověřování, postupujte takto:

1. Přihlaste se do Azure Portalu.
2. Přejděte do Microsoft Entra ID>registrace aplikace>Nová registrace.
3. Zadejte název aplikace.
   • U U2M (OAuth) nastavte URI přesměrování na následující: https://<workspace-url>/login/oauth/azure.html
   • V případě M2M (principál služby) ponechte identifikátor URI přesměrování prázdný.
4. Klikněte na Zaregistrovat.
5. Zkopírujte ID aplikace (klienta) a ID adresáře (tenanta).
6. Přejděte na Certifikáty a tajné kódy>Nového tajného klíče klienta.
7. Uložte vygenerovanou hodnotu tajného kódu.

Přiřazení oprávnění k aplikaci

Pokud chcete aplikaci povolit ověření na SQL Serveru, přiřaďte požadovaná oprávnění rozhraní API:

1. Přejděte na Oprávnění rozhraní API>Přidat oprávnění.
2. Vyberte Azure SQL Database>user_impersonation (delegované oprávnění).
3. V případě M2M se ujistěte, že má aplikace požadovaná oprávnění pro autentizaci služebního účtu.
4. V případě ověřování M2M ve službě Azure SQL Managed Instance se ujistěte, že máte přiřazenou identitu spravované instance k roli Čtenáři adresáře.

Vytvoření instančního objektu na SQL Serveru (jenom M2M)

1. Připojte se k instanci SQL Serveru pomocí přihlašovacích údajů k Entra ID. K vytvoření nového uživatele musíte mít oprávnění.

2. Vytvořte nové přihlášení a uživatele pro aplikaci Entra.

3. Uživateli udělte oprávnění ke čtení.

   CREATE LOGIN [<app_name>] FROM EXTERNAL PROVIDER;
   CREATE USER [<app_name>] FROM LOGIN [<app_name>];
   ALTER ROLE db_datareader ADD MEMBER [<app_name>];
   

Podrobnosti a pokročilé scénáře najdete na následujících stránkách v dokumentaci Microsoftu:

• Vytvoření hlavních objektů Microsoft Entra v SQL
• Přehled: Ověřování Microsoft Entra pro Azure SQL
• Udělení rolí a oprávnění databázovému uživateli

Vytvoření připojení

V pracovním prostoru Databricks postupujte takto:

1. Na bočním panelu klikněte na katalog>Přidat>připojení.
2. Jako typ připojení vyberte SQL Server.
3. Jako typ ověřování vyberte OAuth (U2M) nebo OAuth Machine to Machine (M2M).
4. Zadejte následující vlastnosti připojení:
   • Hostitel: Název hostitele SYSTÉMU SQL Server.
   • Port: Port SQL Serveru.
   • Uživatel: Pro uživatele U2M váš účet Microsoft. V případě M2M název instančního objektu.
   • Zadejte ID klienta a tajný klíč klienta z registrace aplikace Entra.
   • Zadejte autorizační koncový bod:
     • U2M: https://login.microsoftonline.com/<tenant-id>/oauth2/v2.0/authorize
     • M2M: https://login.microsoftonline.com/<tenant-id>/oauth2/v2.0/token
   • Jako obor OAuth zadejte https://database.windows.net/.default offline_access (jenom U2M).
5. V případě U2M klikněte na Přihlásit se pomocí Azure Entra ID a dokončete tok ověřování.
6. Klikněte na Vytvořit připojení a pokračujte vytvořením katalogu.

Další kroky

Nyní, když je připojení k SQL Serveru vytvořeno, viz téma Spuštění federovaných dotazů na Microsoft SQL Server, kde se dozvíte o vytvoření cizího katalogu a dotazování dat.