Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cette page explique comment configurer Databricks Lakehouse Federation pour exécuter des requêtes fédérées sur Microsoft SQL Server à l’aide de l’authentification Microsoft Entra ID. Les flux OAuth user-to-machine (U2M) et machine-to-machine (M2M) sont pris en charge.
Flux OAuth pris en charge
- U2M : s’authentifier à l’aide d’un compte Microsoft. L’utilisateur est invité à se connecter à l’aide d’un URI de redirection et le jeton d’accès est émis pour l’utilisateur.
- M2M : s’authentifier à l’aide d’un principal de service. Le jeton d’accès est émis pour l’application au lieu d’un utilisateur spécifique.
Dans l’espace de travail Databricks, OAuth fait référence à l’authentification U2M et OAuth Machine à machine fait référence à l’authentification M2M.
Avant de commencer
Avant de pouvoir exécuter des requêtes fédérées sur SQL Server à l’aide de l’ID Entra, vous devez disposer des éléments suivants :
- Accès à un abonnement Azure et autorisations pour inscrire des applications dans Microsoft Entra ID.
- Accès administrateur à votre instance SQL Server pour créer des identités Entra.
Inscrire une application dans Microsoft Entra ID
Pour créer une inscription d’application pour l’authentification, procédez comme suit :
- Connectez-vous au portail Azure.
- Accédez à Microsoft Entra ID>enregistrements d’application>Nouvel enregistrement.
- Entrez un nom pour votre application.
- Pour U2M (OAuth), définissez l’URI de redirection sur ce qui suit :
https://<workspace-url>/login/oauth/azure.html - Pour M2M (principal de service), laissez l’URI de redirection vide.
- Pour U2M (OAuth), définissez l’URI de redirection sur ce qui suit :
- Cliquez sur S'inscrire.
- Copiez l’ID d’application (client) et l’ID de répertoire (locataire).
- Accédez à Certificats et secrets>Nouveau secret client.
- Enregistrez la valeur de secret générée.
Attribuer des autorisations à l’application
Pour autoriser l’application à s’authentifier auprès de SQL Server, attribuez les autorisations d’API requises :
- Accédez aux autorisations> d’APIAjouter une autorisation.
- Sélectionnez Azure SQL Database>user_impersonation (autorisations déléguées).
- Pour M2M, vérifiez que l’application dispose des autorisations requises pour l’authentification du principal de service.
- Pour l’authentification M2M sur Azure SQL Managed Instance, vérifiez que vous avez attribué l’identité d’instance managée au rôle « Lecteurs d’annuaire ».
Créer un principal de service dans SQL Server (M2M uniquement)
Connectez-vous à votre instance SQL Server à l’aide de vos informations d’identification de connexion Entra ID. Vous devez disposer des autorisations nécessaires pour créer un utilisateur.
Créez une connexion et un utilisateur pour l’application Entra.
Accordez des autorisations de lecture à l’utilisateur.
CREATE LOGIN [<app_name>] FROM EXTERNAL PROVIDER; CREATE USER [<app_name>] FROM LOGIN [<app_name>]; ALTER ROLE db_datareader ADD MEMBER [<app_name>];
Pour plus d’informations et des scénarios avancés, consultez les pages suivantes de la documentation Microsoft :
- Créer des identités Microsoft Entra dans SQL
- Vue d’ensemble : Authentification Microsoft Entra pour Azure SQL
- Accorder des rôles et des autorisations à un utilisateur de base de données
Créer une connexion
Dans l’espace de travail Databricks, procédez comme suit :
- Dans la barre latérale, cliquez sur Catalogue>Ajouter>Ajouter une connexion.
- Pour le type de connexion, sélectionnez SQL Server.
- Pour le type d’authentification, sélectionnez OAuth (U2M) ou OAuth Machine to Machine (M2M).
- Entrez les propriétés de connexion suivantes :
- Hôte : nom d’hôte SQL Server.
- Port : Port SQL Server.
- Utilisateur : pour U2M, votre utilisateur de compte Microsoft. Pour M2M, nom du service principal.
- Entrez l’ID client et la clé secrète client à partir de l’inscription de l’application Entra.
- Entrez le point de terminaison d’autorisation :
- U2M :
https://login.microsoftonline.com/<tenant-id>/oauth2/v2.0/authorize - M2M :
https://login.microsoftonline.com/<tenant-id>/oauth2/v2.0/token
- U2M :
- Pour l’étendue OAuth, entrez
https://database.windows.net/.default offline_access(U2M uniquement).
- Pour U2M, cliquez sur Se connecter avec l’ID Azure Entra et terminez le flux d’authentification.
- Cliquez sur Créer une connexion et passez à la création du catalogue.
Étapes suivantes
Maintenant que la connexion à SQL Server a été créée, vous pouvez :
- Créez un catalogue étranger et interrogez vos données. Consultez Exécuter des requêtes fédérées sur Microsoft SQL Server.
- Si vous souhaitez utiliser l’authentification Microsoft Entra pour l’ingestion de SQL Server, accordez les privilèges nécessaires.