Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Utilisez ces exemples de sécurité SQL Microsoft pour comparer la façon dont le Générateur d’API de données (DAB) s’authentifie auprès de SQL, valide les utilisateurs et applique l’accès par utilisateur. Chaque exemple est autonome, mais la série passe des informations d’identification de base à l’accès Azure SQL délégué par l’utilisateur.
Choisir un guide de démarrage rapide
Commencez par la question qui correspond à votre objectif.
| Si vous souhaitez... | Utiliser ce guide de démarrage rapide |
|---|---|
| Découvrez le modèle de connexion DAB à SQL le plus simple | Nom d’utilisateur/mot de passe |
| Supprimer les mots de passe SQL de la configuration de Azure | Identité managée |
| Ajouter la validation du jeton Microsoft Entra avant d’exiger la connexion | Microsoft Entra |
| Filtrer les lignes dans DAB à l’aide des revendications du jeton | Stratégies DAB |
| Filtrer les lignes dans SQL à l’aide de la sécurité au niveau des lignes appliquée à la base de données | Sécurité au niveau des lignes SQL |
| Laissez Azure SQL authentifier l’utilisateur connecté directement | Pour le compte de Azure SQL |
Arbre de décision
- Avez-vous seulement besoin d’un exemple de travail de base ?
- Utilisez le nom d’utilisateur/mot de passe.
- Voulez-vous un accès DAB à Azure SQL sans mot de passe ?
- Utilisez l’identité managée.
- Avez-vous besoin de DAB pour valider les jetons Microsoft Entra ?
- Utilisez Microsoft Entra.
- Les utilisateurs connectés doivent-ils voir uniquement leurs propres lignes ?
- Si DAB doit appliquer le filtre, utilisez des stratégies DAB.
- Si SQL doit appliquer le filtre, utilisez la sécurité au niveau des lignes SQL.
- Les journaux d’audit ou les stratégies de base de données ont-ils besoin de l’utilisateur connecté réel en tant qu’identité SQL ?
- Utilisez On-behalf-of pour Azure SQL.
Comparer le modèle de sécurité
La colonne du fournisseur d’authentification DAB affiche la valeur effective pour runtime.host.authentication.provider. Si la configuration omet ce paramètre, DAB utilise Unauthenticated. À l’exception des exemples avec nom d’utilisateur/mot de passe et des exemples « on-behalf-of », les exécutions locales utilisent des identifiants SQL et les déploiements Azure utilisent l’identité managée. L’exemple on-behalf-of définit data-source.user-delegated-auth.provider également sur EntraId.
| Démarrage rapide | De l’utilisateur vers l’application web | Application web sur DAB | Fournisseur d’authentification DAB | DAB vers SQL |
|---|---|---|---|---|
| Nom d’utilisateur/mot de passe | Anonyme | Anonyme | Unauthenticated |
Informations d’identification SQL |
| Identité managée | Anonyme | Anonyme | Unauthenticated |
Identité managée dans Azure |
| Microsoft Entra | Anonyme | Anonyme | EntraId |
Identité managée dans Azure |
| Stratégies DAB | Connexion à Microsoft Entra | Jeton porteur | EntraId |
Identité managée dans Azure |
| Sécurité au niveau des lignes SQL | Connexion à Microsoft Entra | Jeton porteur | EntraId |
Identité managée dans Azure |
| Au nom de pour Azure SQL | Connexion à Microsoft Entra | Jeton porteur | EntraId |
Jeton délégué par l’utilisateur à Azure SQL |