Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Verwenden Sie diese Microsoft SQL-Sicherheitsbeispiele, um zu vergleichen, wie sich der Daten-API-Generator (DAB) bei SQL authentifiziert, Benutzer überprüft und den Benutzerzugriff erzwingt. Jedes Beispiel ist eigenständig, die Datenreihe wechselt jedoch von grundlegenden Anmeldeinformationen zu benutzerdelegiertem Azure SQL Zugriff.
Schnellstart auswählen
Beginnen Sie mit der Frage, die Ihrem Ziel entspricht.
| Wenn Sie möchten... | Verwenden Sie diese Schnellstartanleitung |
|---|---|
| Lernen Sie das einfachste DAB-to-SQL-Verbindungsmuster kennen | Benutzername/Kennwort |
| Entfernen von SQL-Kennwörtern aus Azure Konfiguration | Verwaltete Identität |
| Fügen Sie die Microsoft Entra-Tokenvalidierung hinzu, bevor eine Anmeldung erforderlich wird. | Microsoft Entra |
| Filtern von Zeilen in DAB mithilfe von Tokenansprüchen | DAB-Richtlinien |
| Filtern von Zeilen in SQL mithilfe von Datenbank erzwungener Sicherheit auf Zeilenebene | Sicherheit auf SQL-Zeilenebene |
| Zulassen, dass Azure SQL den angemeldeten Benutzer direkt authentifizieren | On-behalf-of-to Azure SQL |
Entscheidungsbaum
- Benötigen Sie nur ein einfaches Arbeitsbeispiel?
- Verwenden Sie "Benutzername/Kennwort".
- Möchten Sie einen kennwortlosen DAB-zu-Azure-SQL-Zugriff?
- Verwaltete Identität verwenden.
- Benötigen Sie DAB, um Microsoft Entra Token zu validieren?
- Verwenden Sie Microsoft Entra.
- Müssen angemeldete Benutzer nur ihre eigenen Zeilen sehen?
- Wenn DAB den Filter erzwingen soll, verwenden Sie DAB-Richtlinien.
- Wenn SQL den Filter erzwingen soll, verwenden Sie die Sicherheit auf SQL-Zeilenebene.
- Benötigen Überwachungsprotokolle oder Datenbankrichtlinien den tatsächlich angemeldeten Benutzer als SQL-Identität?
- Verwenden Sie On-behalf-of für Azure SQL.
Vergleichen des Sicherheitsmodells
Die Spalte "DAB-Authentifizierungsanbieter " zeigt den effektiven Wert für runtime.host.authentication.provider. Wenn diese Einstellung in der Konfiguration fehlt, verwendet DAB Unauthenticated. Mit Ausnahme der Beispiele für Benutzername/Kennwort und On-Behalf-Of verwenden lokale Ausführungen SQL-Anmeldeinformationen, und Azure-Bereitstellungen verwenden eine verwaltete Identität. Das On-Behalf-Of-Beispiel setzt data-source.user-delegated-auth.provider ebenfalls auf EntraId.
| Schnellstart | Benutzer zur Web-App | Web-App zu DAB | DAB-Authentifizierungsanbieter | DAB zu SQL |
|---|---|---|---|---|
| Benutzername/Kennwort | Anonym | Anonym | Unauthenticated |
SQL-Anmeldeinformationen |
| Verwaltete Identität | Anonym | Anonym | Unauthenticated |
Verwaltete Identität in Azure |
| Microsoft Entra | Anonym | Anonym | EntraId |
Verwaltete Identität in Azure |
| DAB-Richtlinien | Microsoft Entra-Anmeldung | Bearertoken | EntraId |
Verwaltete Identität in Azure |
| Sicherheit auf SQL-Zeilenebene | Microsoft Entra-Anmeldung | Bearertoken | EntraId |
Verwaltete Identität in Azure |
| On-behalf-of-to Azure SQL | Microsoft Entra-Anmeldung | Bearertoken | EntraId |
Vom Benutzer delegiertes Token für Azure SQL |