Έλεγχος ταυτότητας στη βάση δεδομένων SQL στο Microsoft Fabric

Ισχύει για:βάση δεδομένων SQL σε Microsoft Fabric

Αυτό το άρθρο εξηγεί τον έλεγχο ταυτότητας για βάσεις δεδομένων SQL.

Όπως και άλλοι τύποι στοιχείων Microsoft Fabric, οι βάσεις δεδομένων SQL βασίζονται στον έλεγχο ταυτότητας Microsoft Entra.

Για τον επιτυχή έλεγχο ταυτότητας σε μια βάση δεδομένων SQL, ένας χρήστης Microsoft Entra, ένας service principal ή ο group, πρέπει να έχει το δικαίωμα Ανάγνωση στοιχείου για τη βάση δεδομένων στο Fabric. Για πληροφορίες σχετικά με τον τρόπο εκχώρησης πρόσβασης ταυτότητας Microsoft Entra σε έναν χώρο εργασίας Fabric ή σε μια συγκεκριμένη βάση δεδομένων, ανατρέξτε στο θέμα Στοιχεία ελέγχου πρόσβασης Fabric.

Για να βρείτε την connection string στη βάση δεδομένων SQL στο Fabric, ανατρέξτε στο θέμα Σύνδεση στη βάση δεδομένων SQL στο Microsoft Fabric.

Σημείωμα

Για να ενεργοποιήσετε τις οντότητες υπηρεσίας για να συνδεθείτε στο Fabric και σε βάσεις δεδομένων SQL, χρειάζεται επίσης να ενεργοποιήσετε τις αρχές υπηρεσίας μπορεί να χρησιμοποιήσει τη ρύθμιση μισθωτή Fabric API Fabric. Για να μάθετε πώς μπορείτε να ενεργοποιήσετε τις ρυθμίσεις μισθωτή, ανατρέξτε στο θέμα Ρυθμίσεις μισθωτή Fabric.

Σύνδεση σε μια βάση δεδομένων SQL με χρήση ελέγχου ταυτότητας Microsoft Entra

Μπορείτε να συνδεθείτε σε μια βάση δεδομένων χρησιμοποιώντας έλεγχο ταυτότητας Microsoft Entra με:

  • Εργαλεία SQL που υποστηρίζουν Microsoft Entra έλεγχο ταυτότητας, συμπεριλαμβανομένων των SQL Server Management Studio και η επέκταση MSSQL για Visual Studio Code.
  • Εφαρμογές που χρησιμοποιούν προγράμματα οδήγησης προγράμματος-πελάτη SQL που υποστηρίζουν έλεγχο ταυτότητας Microsoft Entra, συμπεριλαμβανομένων των SqlClient, JDBC, ODBC και OLE DB.

Οι εφαρμογές και τα εργαλεία πρέπει να αναβαθμίσουν τα προγράμματα οδήγησης σε εκδόσεις που υποστηρίζουν Microsoft Entra έλεγχο ταυτότητας και να προσθέσουν μια λέξη-κλειδί λειτουργίας ελέγχου ταυτότητας στο SQL connection string, όπως ActiveDirectoryInteractive, ActiveDirectoryServicePrincipal ή ActiveDirectoryPassword.

Δημιουργία χρηστών βάσης δεδομένων για ταυτότητες Microsoft Entra

Εάν σκοπεύετε να να διαμορφώσετε τα στοιχεία ελέγχου πρόσβασης SQL με Transact-SQL, πρέπει πρώτα να δημιουργήσετε χρήστες βάσης δεδομένων που αντιστοιχούν στις Microsoft Entra σας ταυτότητες - χρήστες, αρχές υπηρεσιών ή τις ομάδες τους - με CREATE USER (Transact-SQL).

Η δημιουργία χρηστών βάσης δεδομένων δεν απαιτείται εάν χρησιμοποιείτε στοιχεία ελέγχου πρόσβασης Fabric (ρόλοι χώρου εργασίας ή δικαιώματα στοιχείου). Δεν χρειάζεται να δημιουργήσετε χρήστες όταν διαχειρίζεστε ρόλους επιπέδου βάσης δεδομένων SQL από την πύλη Fabric - η πύλη δημιουργεί αυτόματα χρήστες όταν χρειάζεται.

Δημιουργία χρηστών βάσης δεδομένων όταν συνδέεστε ως χρήστης του Microsoft Entra

Όταν είστε συνδεδεμένοι στη βάση δεδομένων σας ως χρήστης Microsoft Entra, θα πρέπει να χρησιμοποιήσετε τον όρο CREATE USER με τον όρο FROM EXTERNAL PROVIDER για να δημιουργήσετε χρήστες για Microsoft Entra εντολές. FROM EXTERNAL PROVIDER επικυρώνει το καθορισμένο κύριο όνομα με Microsoft Entra, ανακτά το κύριο αναγνωριστικό (αναγνωριστικό αντικειμένου, αναγνωριστικό εφαρμογής ή αναγνωριστικό προγράμματος-πελάτη του χρήστη ή της ομάδας) και αποθηκεύει το αναγνωριστικό ως αναγνωριστικό ασφαλείας (SID) του χρήστη στα μετα-δεδομένα SQL. Πρέπει να είστε μέλος του ρόλου Αναγνώστες καταλόγου στο Microsoft Entra όταν χρησιμοποιείτε τον όρο FROM EXTERNAL PROVIDER. Τα παρακάτω δείγματα δεσμών ενεργειών T-SQL χρησιμοποιούν FROM EXTERNAL PROVIDER για να δημιουργήσουν έναν χρήστη με βάση έναν Microsoft Entra χρήστη, μια κύρια υπηρεσία στο Microsoft Entra ή μια ομάδα στο Microsoft Entra.

-- Create a user for a Microsoft Entra user
CREATE USER [alice@contoso.com] FROM EXTERNAL PROVIDER;
-- Create a user for a service principal in Microsoft Entra
CREATE USER [HRApp] FROM EXTERNAL PROVIDER;
-- Create a user for a group in Microsoft Entra
CREATE USER [HR] FROM EXTERNAL PROVIDER;

Δημιουργία χρηστών βάσης δεδομένων όταν συνδέονται ως κύρια υπηρεσία του Microsoft Entra

Όταν μια εφαρμογή είναι συνδεδεμένη σε μια βάση δεδομένων με κύρια υπηρεσία, η εφαρμογή πρέπει να εκδώσει CREATE USER με τους όρους SID και TYPE για τη δημιουργία χρηστών για Microsoft Entra αρχές. Το καθορισμένο κύριο όνομα δεν επικυρώνεται στο Microsoft Entra. Είναι ευθύνη της εφαρμογής (προγραμματιστής εφαρμογών) να παρέχει ένα έγκυρο όνομα και ένα έγκυρο SID και έναν τύπο αντικειμένου χρήστη.

Εάν ο καθορισμένος κύριος είναι ένας χρήστης ή μια ομάδα στο Microsoft Entra, το SID πρέπει να είναι ένα αναγνωριστικό αντικειμένου αυτού του χρήστη ή της ομάδας στο Microsoft Entra. Εάν η καθορισμένη κύρια υπηρεσία είναι κύρια υπηρεσία στο Microsoft Entra, το SID πρέπει να είναι ένα αναγνωριστικό εφαρμογής (αναγνωριστικό προγράμματος-πελάτη) της κύριας υπηρεσίας στο Microsoft Entra. Τα αναγνωριστικά αντικειμένων και τα αναγνωριστικά εφαρμογών (αναγνωριστικά προγράμματος-πελάτη) που λαμβάνονται από Microsoft Entra πρέπει να μετατραπούν σε binary(16).

Η τιμή του ορίσματος TYPE πρέπει να είναι:

  • E - εάν ο καθορισμένος κύριος Microsoft Entra είναι χρήστης ή κύριος υπηρεσίας.
  • X - εάν η καθορισμένη Microsoft Entra κύρια είναι ομάδα.

Το ακόλουθο παράδειγμα δέσμης ενεργειών T-SQL δημιουργεί έναν χρήστη βάσης δεδομένων για τον Microsoft Entra χρήστη, με το όνομα bob@contoso.com, ορίζοντας το SID του νέου χρήστη στο αναγνωριστικό αντικειμένου του Microsoft Entra χρήστη. Το μοναδικό αναγνωριστικό του αναγνωριστικού αντικειμένου του χρήστη μετατρέπεται και, στη συνέχεια, συνενώνεται σε μια CREATE USER πρόταση. Αντικαταστήστε το <unique identifier sid> με το αναγνωριστικό αντικειμένου του χρήστη στο Microsoft Entra.

DECLARE @principal_name SYSNAME = 'bob@contoso.com';
DECLARE @objectId UNIQUEIDENTIFIER = '<unique identifier sid>'; -- user's object ID in Microsoft Entra

-- Convert the guid to the right type
DECLARE @castObjectId NVARCHAR(MAX) = CONVERT(VARCHAR(MAX), CONVERT (VARBINARY(16), @objectId), 1);

-- Construct command: CREATE USER [@principal_name] WITH SID = @castObjectId, TYPE = E;
DECLARE @cmd NVARCHAR(MAX) = N'CREATE USER [' + @principal_name + '] WITH SID = ' + @castObjectId + ', TYPE = E;'
EXEC (@cmd);

Το παρακάτω παράδειγμα δημιουργεί έναν χρήστη βάσης δεδομένων για την κύρια υπηρεσία Microsoft Entra, με το όνομα HRApp, ορίζοντας το SID του νέου χρήστη στο αναγνωριστικό προγράμματος-πελάτη της κύριας υπηρεσίας στο Microsoft Entra.

DECLARE @principal_name SYSNAME = 'HRApp';
DECLARE @clientId UNIQUEIDENTIFIER = '<unique identifier sid>'; -- principal's client ID in Microsoft Entra

-- Convert the guid to the right type
DECLARE @castClientId NVARCHAR(MAX) = CONVERT(VARCHAR(MAX), CONVERT (VARBINARY(16), @clientId), 1);

-- Construct command: CREATE USER [@principal_name] WITH SID = @castClientId, TYPE = E;
DECLARE @cmd NVARCHAR(MAX) = N'CREATE USER [' + @principal_name + '] WITH SID = ' + @castClientId + ', TYPE = E;'
EXEC (@cmd);

Το παρακάτω παράδειγμα δημιουργεί έναν χρήστη βάσης δεδομένων για την ομάδα Microsoft Entra, με το όνομα HR, ορίζοντας το SID του νέου χρήστη στο αναγνωριστικό αντικειμένου της ομάδας.

DECLARE @group_name SYSNAME = 'HR';
DECLARE @objectId UNIQUEIDENTIFIER = '<unique identifier sid>'; -- principal's object ID in Microsoft Entra

-- Convert the guid to the right type
DECLARE @castObjectId NVARCHAR(MAX) = CONVERT(VARCHAR(MAX), CONVERT (VARBINARY(16), @objectId), 1);

-- Construct command: CREATE USER [@groupName] WITH SID = @castObjectId, TYPE = X;
DECLARE @cmd NVARCHAR(MAX) = N'CREATE USER [' + @group_name + '] WITH SID = ' + @castObjectId + ', TYPE = X;'
EXEC (@cmd);

Περιορισμοί

  • Το Microsoft Entra ID είναι η μόνη βάση δεδομένων SQL υπηρεσίας παροχής ταυτότητας που υποστηρίζει το Fabric. Συγκεκριμένα, ο έλεγχος ταυτότητας SQL δεν υποστηρίζεται.
  • Οι συνδέσεις (οντότητες διακομιστή) δεν υποστηρίζονται.
  • Προς το παρόν, η μόνη υποστηριζόμενη πολιτική σύνδεσης για τη βάση δεδομένων SQL στο Microsoft Fabric είναι η Default. Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Πολιτική σύνδεσης.

Σχετικό περιεχόμενο

  • Last updated on