Credenciales para la autenticación de origen en Microsoft Purview

  • Artículo

En este artículo se describe cómo crear credenciales en Microsoft Purview. Estas credenciales guardadas permiten reutilizar y aplicar rápidamente información de autenticación guardada a los exámenes del origen de datos.

Requisitos previos

Introducción

Una credencial es información de autenticación que Microsoft Purview puede usar para autenticarse en los orígenes de datos registrados. Se puede crear un objeto de credencial para varios tipos de escenarios de autenticación, como la autenticación básica que requiere nombre de usuario y contraseña. Las credenciales capturan información específica necesaria para autenticarse, en función del tipo de método de autenticación elegido. Las credenciales usan los secretos de Azure Key Vault existentes para recuperar información de autenticación confidencial durante el proceso de creación de credenciales.

En Microsoft Purview, hay pocas opciones que usar como método de autenticación para examinar orígenes de datos, como las siguientes opciones. Obtenga información en cada artículo del origen de datos sobre su autenticación admitida.

Antes de crear las credenciales, tenga en cuenta los tipos de origen de datos y los requisitos de red para decidir qué método de autenticación necesita para su escenario.

Uso de la identidad administrada asignada por el sistema de Microsoft Purview para configurar exámenes

Si usa la identidad administrada asignada por el sistema (SAMI) de Microsoft Purview para configurar los exámenes, no tendrá que crear una credencial y vincular el almacén de claves a Microsoft Purview para almacenarlos. Para obtener instrucciones detalladas sobre cómo agregar SAMI de Microsoft Purview para tener acceso para examinar los orígenes de datos, consulte las secciones de autenticación específicas del origen de datos que se indican a continuación:

Concesión de acceso de Microsoft Purview a la Key Vault de Azure

Para proporcionar a Microsoft Purview acceso a la Key Vault de Azure, hay dos cosas que deberá confirmar:

Acceso de firewall a Azure Key Vault

Si azure Key Vault ha deshabilitado el acceso a la red pública, tiene dos opciones para permitir el acceso a Microsoft Purview.

Servicios de Microsoft de confianza

Microsoft Purview aparece como uno de los servicios de confianza de Azure Key Vault, por lo que si el acceso a la red pública está deshabilitado en azure Key Vault solo se puede habilitar el acceso a servicios de Microsoft de confianza y se incluirá Microsoft Purview.

Puede habilitar esta configuración en la Key Vault de Azure en la pestaña Redes.

En la parte inferior de la página, en Excepción, habilite la característica Permitir que los servicios de Microsoft de confianza omitan esta característica de firewall .

Página de redes de Azure Key Vault con permitir que los servicios de Microsoft de confianza omitan esta característica de firewall habilitada.

Conexiones de punto de conexión privado

Para conectarse a Azure Key Vault con puntos de conexión privados, siga la documentación del punto de conexión privado de Azure Key Vault.

Nota:

La opción de conexión de punto de conexión privado se admite cuando se usa Azure Integration Runtime en una red virtual administrada para examinar los orígenes de datos. Para integration runtime autohospedado, debe habilitar servicios de Microsoft de confianza.

Permisos de Microsoft Purview en azure Key Vault

Actualmente, Azure Key Vault admite dos modelos de permisos:

Antes de asignar acceso a la identidad administrada asignada por el sistema (SAMI) de Microsoft Purview, identifique primero el modelo de permisos de Azure Key Vault de Key Vault directivas de acceso de recursos en el menú. Siga los pasos que se indican a continuación en función del modelo de permisos pertinente.

Modelo de permisos de Azure Key Vault

Opción 1: Asignación de acceso mediante Key Vault directiva de acceso

Siga estos pasos solo si el modelo de permisos en el recurso de Azure Key Vault está establecido en Directiva de acceso del almacén:

  1. Vaya a la Key Vault de Azure.

  2. Seleccione la página Directivas de acceso .

  3. Seleccione Agregar directiva de acceso.

    Adición de una identidad administrada de Microsoft Purview a AKV

  4. En la lista desplegable Permisos de secretos , seleccione Obtener y Enumerar permisos.

  5. En Seleccionar entidad de seguridad, elija la identidad administrada del sistema de Microsoft Purview. Puede buscar el SAMI de Microsoft Purview mediante el nombre de la instancia de Microsoft Purview o el identificador de la aplicación de identidad administrada. Actualmente no se admiten identidades compuestas (nombre de identidad administrada + identificador de aplicación).

    Agregar directiva de acceso

  6. Seleccione Agregar.

  7. Seleccione Guardar para guardar la directiva de acceso.

    Guardar directiva de acceso

Opción 2: Asignación de acceso mediante Key Vault control de acceso basado en rol de Azure

Siga estos pasos solo si el modelo de permisos del recurso de Azure Key Vault está establecido en el control de acceso basado en rol de Azure:

  1. Vaya a la Key Vault de Azure.

  2. Seleccione Access Control (IAM) en el menú de navegación izquierdo.

  3. Seleccione + Agregar.

  4. Establezca el rol en Key Vault usuario de secretos y escriba el nombre de la cuenta de Microsoft Purview en el cuadro Seleccionar entrada. A continuación, seleccione Guardar para asignar esta asignación de roles a su cuenta de Microsoft Purview.

    RBAC de Azure Key Vault

Creación de conexiones de Azure Key Vault en la cuenta de Microsoft Purview

Antes de crear una credencial, primero asocie una o varias instancias de Azure Key Vault existentes a su cuenta de Microsoft Purview.

  1. Abra el portal de gobernanza de Microsoft Purview:

  2. Vaya al Centro de administración en Studio y, a continuación, vaya a credenciales.

  3. En la página Credenciales, seleccione Administrar conexiones Key Vault.

    Administración de conexiones de Azure Key Vault

  4. Seleccione + Nuevo en la página Administrar conexiones Key Vault.

  5. Proporcione la información necesaria y, a continuación, seleccione Crear.

  6. Confirme que el Key Vault se ha asociado correctamente a su cuenta de Microsoft Purview, como se muestra en este ejemplo:

    Vea las conexiones de Azure Key Vault para confirmar.

Creación de una credencial

Estos tipos de credenciales se admiten en Microsoft Purview:

  • Autenticación básica: agregue la contraseña como secreto en el almacén de claves.
  • Entidad de servicio: agregue la clave de entidad de servicio como secreto en el almacén de claves.
  • Autenticación de SQL: la contraseña se agrega como secreto en el almacén de claves.
  • autenticación de Windows: la contraseña se agrega como secreto en el almacén de claves.
  • Clave de cuenta: agregue la clave de cuenta como secreto en el almacén de claves.
  • ARN de rol: para un origen de datos de Amazon S3, agregue el ARN de rol en AWS.
  • Clave de consumidor: para los orígenes de datos de Salesforce, puede agregar la contraseña y el secreto de consumidor en el almacén de claves.
  • Identidad administrada asignada por el usuario (versión preliminar): puede agregar credenciales de identidad administrada asignadas por el usuario. Para obtener más información, consulte la sección creación de una identidad administrada asignada por el usuario a continuación.

Para obtener más información, consulte Adición de un secreto para Key Vault y Creación de un nuevo rol de AWS para Microsoft Purview.

Después de almacenar los secretos en el almacén de claves:

  1. En Microsoft Purview, vaya a la página Credenciales.

  2. Cree la nueva credencial seleccionando + Nuevo.

  3. Proporcione la información necesaria. Seleccione el método de autenticación y una conexión Key Vault desde la que seleccionar un secreto.

  4. Una vez que se hayan rellenado todos los detalles, seleccione Crear.

    Nueva credencial

  5. Compruebe que la nueva credencial aparece en la vista de lista y que está lista para usarse.

    Ver credencial

Administración de las conexiones del almacén de claves

  1. Buscar o buscar conexiones Key Vault por nombre

    Buscar almacén de claves

  2. Eliminar una o varias conexiones Key Vault

    Eliminación del almacén de claves

Administrar las credenciales

  1. Buscar o buscar credenciales por nombre.

  2. Seleccione y realice actualizaciones en una credencial existente.

  3. Elimine una o varias credenciales.

Creación de una identidad administrada asignada por el usuario

Las identidades administradas asignadas por el usuario (UAMI) permiten que los recursos de Azure se autentiquen directamente con otros recursos mediante la autenticación de Azure Active Directory (Azure AD), sin necesidad de administrar esas credenciales. Le permiten autenticarse y asignar acceso como lo haría con una identidad administrada asignada por el sistema, un usuario de Azure AD, un grupo de Azure AD o una entidad de servicio. Las identidades administradas asignadas por el usuario se crean como su propio recurso (en lugar de conectarse a un recurso preexistente). Para obtener más información sobre las identidades administradas, consulte la documentación sobre identidades administradas para recursos de Azure.

En los pasos siguientes se muestra cómo crear un UAMI para que Microsoft Purview lo use.

Orígenes de datos admitidos para UAMI

Creación de una identidad administrada asignada por el usuario

  1. En el Azure Portal vaya a su cuenta de Microsoft Purview.

  2. En la sección Identidades administradas del menú izquierdo, seleccione el botón + Agregar para agregar identidades administradas asignadas por el usuario.

    Captura de pantalla que muestra la pantalla de identidad administrada en el Azure Portal con asignados por el usuario y agregar resaltados.

  3. Después de finalizar la configuración, vuelva a su cuenta de Microsoft Purview en el Azure Portal. Si la identidad administrada se implementa correctamente, verá el estado de la cuenta de Microsoft Purview como Correcto.

    Captura de pantalla de la cuenta de Microsoft Purview en el Azure Portal con Estado resaltado en la pestaña Información general y el menú aspectos básicos.

  4. Una vez implementada correctamente la identidad administrada, vaya al portal de gobernanza de Microsoft Purview; para ello, seleccione el botón Abrir portal de gobernanza de Microsoft Purview .

  5. En el portal de gobernanza de Microsoft Purview, vaya al Centro de administración de Studio y, a continuación, vaya a la sección Credenciales.

  6. Para crear una identidad administrada asignada por el usuario, seleccione +Nuevo.

  7. Seleccione el método de autenticación de identidad administrada y seleccione la identidad administrada asignada por el usuario en el menú desplegable.

    Captura de pantalla que muestra el nuevo icono de creación de identidad administrada, con el vínculo Más información resaltado.

    Nota:

    Si el portal estaba abierto durante la creación de la identidad administrada asignada por el usuario, deberá actualizar el portal web de Microsoft Purview para cargar la configuración finalizada en el Azure Portal.

  8. Una vez rellenada toda la información, seleccione Crear.

Eliminación de una identidad administrada asignada por el usuario

  1. En el Azure Portal vaya a su cuenta de Microsoft Purview.

  2. En la sección Identidades administradas del menú izquierdo, seleccione la identidad que desea eliminar.

  3. Seleccione el botón Quitar .

  4. Una vez que la identidad administrada se haya quitado correctamente, vaya al portal de gobernanza de Microsoft Purview; para ello, seleccione el botón Abrir portal de gobernanza de Microsoft Purview .

  5. Vaya al Centro de administración en Studio y, a continuación, vaya a la sección Credenciales.

  6. Seleccione la identidad que desea eliminar y, a continuación, seleccione el botón Eliminar .

Nota:

Si ha eliminado una identidad administrada asignada por el usuario en el Azure Portal, debe eliminar el identiy original y crear una nueva en el portal de gobernanza de Microsoft Purview.

Siguientes pasos

Creación de un conjunto de reglas de examen