Configuración del identificador de Entra de Microsoft para la federación de SQL Server

En esta página se describe cómo configurar la federación de Databricks Lakehouse para ejecutar consultas federadas en Microsoft SQL Server mediante la autenticación de Id. de Microsoft Entra. Se admiten tanto los flujos de OAuth de usuario a máquina (U2M) como de máquina a máquina (M2M).

Flujos de OAuth admitidos

• U2M: autenticación mediante una cuenta Microsoft. Se pide al usuario que inicie sesión con un URI de redirección y se emita el token de acceso para el usuario.
• M2M: Autenticar mediante un servicio principal. El token de acceso se emite para la aplicación en lugar de para un usuario específico.

En el área de trabajo de Databricks, OAuth hace referencia a la autenticación U2M y OAuth Machine to Machine hace referencia a la autenticación M2M.

Antes de empezar

Para poder ejecutar consultas federadas en SQL Server mediante entra ID, debe tener lo siguiente:

• Acceso a una suscripción y permisos de Azure para registrar aplicaciones en el identificador de Microsoft Entra.
• Acceso administrativo a la instancia de SQL Server para crear principales de Entra.

Registro de una aplicación en Microsoft Entra ID

Para crear un registro de aplicación para la autenticación, haga lo siguiente:

1. Inicie sesión en Azure Portal.
2. Vaya a Microsoft Entra ID>Registros de aplicaciones>Nuevo registro.
3. Escriba un nombre para la aplicación.
   • Para U2M (OAuth), establezca el URI de redirección en lo siguiente: https://<workspace-url>/login/oauth/azure.html
   • En M2M (Principal del servicio), deje vacío el URI de redirección.
4. Haga clic en Registrar.
5. Copie el identificador de aplicación (cliente) y el identificador de directorio (inquilino).
6. Vaya a Certificados y secretos>Nuevo secreto de cliente.
7. Guarde el valor secreto generado.

Asignación de permisos a la aplicación

Para permitir que la aplicación se autentique en SQL Server, asigne los permisos de API necesarios:

1. Vaya a Permisos> de APIAgregar un permiso.
2. Seleccione Azure SQL Database>user_impersonation (permisos delegados).
3. Para M2M, asegúrese de que la aplicación tenga los permisos necesarios para la autenticación del principal de servicio.
4. Para la autenticación de M2M en Azure SQL Managed Instance, asegúrese de que ha asignado la identidad de instancia administrada al rol "Lectores de directorios".

Crea un principal de servicio en SQL Server (solo M2M)

1. Conéctese a la instancia del servidor SQL usando sus credenciales de inicio de sesión de Entra ID. Debe tener permisos para crear un nuevo usuario.

2. Cree un nuevo inicio de sesión y un usuario para la aplicación Entra.

3. Conceda permisos de lectura al usuario.

   CREATE LOGIN [<app_name>] FROM EXTERNAL PROVIDER;
   CREATE USER [<app_name>] FROM LOGIN [<app_name>];
   ALTER ROLE db_datareader ADD MEMBER [<app_name>];
   

Para obtener más información y escenarios avanzados, consulte las páginas siguientes en la documentación de Microsoft:

• Crear principios de Microsoft Entra en SQL
• Información general: Autenticación de Microsoft Entra para Azure SQL
• Concesión de roles y permisos a un usuario de base de datos

Creación de una conexión

En el área de trabajo de Databricks, haga lo siguiente:

1. En la barra lateral, haga clic en Agregar catálogo>Agregar>una conexión.
2. En Tipo de conexión, seleccione SQL Server.
3. En Tipo de autenticación, seleccione OAuth (U2M) o OAuth Machine to Machine (M2M).
4. Escriba las siguientes propiedades de conexión:
   • Host: nombre de host de SQL Server.
   • Puerto: puerto de SQL Server.
   • Usuario: para U2M, el usuario de la cuenta Microsoft. Para M2M, el nombre del principal de servicio.
   • Escriba el identificador de cliente y el secreto de cliente del registro de la aplicación Entra.
   • Escriba el punto de conexión de autorización:
     • U2M: https://login.microsoftonline.com/<tenant-id>/oauth2/v2.0/authorize
     • M2M: https://login.microsoftonline.com/<tenant-id>/oauth2/v2.0/token
   • En Ámbito de OAuth, escriba https://database.windows.net/.default offline_access (solo U2M).
5. Para U2M, haga clic en Iniciar sesión con Azure Entra ID y complete el flujo de autenticación.
6. Haga clic en Crear conexión y continúe con la creación del catálogo.

Pasos siguientes

Ahora que se ha creado la conexión a SQL Server, puede hacer lo siguiente:

• Cree un catálogo externo y consulte los datos. Consulte Ejecución de consultas federadas en Microsoft SQL Server.
• Si desea usar la autenticación de Microsoft Entra para la ingesta de SQL Server, conceda los privilegios necesarios.