Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Use estos ejemplos de seguridad de Microsoft SQL para comparar cómo Data API Builder (DAB) se autentica con SQL, valida a los usuarios y aplica el acceso por usuario. Cada ejemplo es independiente, pero la serie pasa de las credenciales básicas al acceso de Azure SQL delegado por el usuario.
Elección de un inicio rápido
Comience con la pregunta que coincida con su objetivo.
| Si quieres... | Utilice esta guía de inicio rápido |
|---|---|
| Obtenga información sobre el patrón de conexión DAB a SQL más sencillo | Nombre de usuario y contraseña |
| Quitar las contraseñas de SQL de la configuración de Azure | Identidad administrada |
| Agregar la validación de tokens de Microsoft Entra antes de exigir iniciar sesión | Microsoft Entra |
| Filtrar filas en DAB usando declaraciones del token | Directivas DAB |
| Filtrado de filas en SQL mediante la seguridad de nivel de fila aplicada a la base de datos | Seguridad de nivel de fila de SQL |
| Permitir que Azure SQL autenticar directamente al usuario que ha iniciado sesión | En nombre de Azure SQL |
Árbol de decisión
- ¿Solo necesita un ejemplo de trabajo básico?
- ¿Desea acceso sin contraseña de DAB a Azure SQL?
- ¿Necesita DAB para validar los tokens de Microsoft Entra?
- Use Microsoft Entra.
- ¿Los usuarios que han iniciado sesión solo necesitan ver sus propias filas?
- Si DAB debe aplicar el filtro, utilice las políticas de DAB.
- Si SQL debe aplicar el filtro, utilice la seguridad de SQL en el nivel de fila.
- ¿Los registros de auditoría o las directivas de base de datos necesitan al usuario real que ha iniciado sesión como identidad de SQL?
Comparación del modelo de seguridad
La columna proveedor de autenticación DAB muestra el valor efectivo de runtime.host.authentication.provider. Si la configuración omite esta configuración, DAB usa Unauthenticated. Salvo en los ejemplos de nombre de usuario y contraseña y de “on-behalf-of”, las ejecuciones locales usan credenciales SQL y las implementaciones en Azure usan identidad administrada. El ejemplo de tipo on-behalf-of también establece data-source.user-delegated-auth.provider en EntraId.
| Quickstart | Usuario a la aplicación web | De aplicación web a DAB | Proveedor de autenticación DAB | DAB para SQL |
|---|---|---|---|---|
| Nombre de usuario y contraseña | Anónimo | Anónimo | Unauthenticated |
Credenciales de SQL |
| Identidad administrada | Anónimo | Anónimo | Unauthenticated |
Identidad administrada en Azure |
| Microsoft Entra | Anónimo | Anónimo | EntraId |
Identidad administrada en Azure |
| Directivas DAB | inicio de sesión de Microsoft Entra | Token de portador | EntraId |
Identidad administrada en Azure |
| Seguridad de nivel de fila de SQL | inicio de sesión de Microsoft Entra | Token de portador | EntraId |
Identidad administrada en Azure |
| En nombre de a Azure SQL | inicio de sesión de Microsoft Entra | Token de portador | EntraId |
Token delegado por el usuario para Azure SQL |