choisir une méthode d’authentification dans les pools SQL serverless Azure Synapse ;
L’authentification du pool SQL serverless fait référence à la façon dont les utilisateurs prouvent leur identité quand ils se connectent au point de terminaison. Deux types d’authentifications sont pris en charge :
Authentification SQL
Cette méthode d’authentification utilise un nom d’utilisateur et un mot de passe.
Authentification Microsoft Entra
Cette méthode d’authentification utilise des identités gérées par Microsoft Entra ID. Pour les utilisateurs de Microsoft Entra, l’authentification multifacteur peut être activée. Utilisez autant que possible l’authentification Active Directory (sécurité intégrée).
Autorisation
Le terme « autorisation » fait référence aux actions qu’un utilisateur peut exécuter dans une base de données du pool SQL serverless ; elle est contrôlée par les appartenances aux rôles et par les autorisations au niveau objet de la base de données de votre compte d’utilisateur.
Si l’authentification SQL est utilisée, l’utilisateur SQL existe seulement dans le pool SQL serverless et les autorisations sont limitées aux objets présents dans le pool SQL serverless. L’accès aux objets sécurisables d’autres services (comme le stockage Azure) ne peut pas être accordé directement à un utilisateur SQL, car il n’existe que dans l’étendue du pool SQL serverless. L’utilisateur SQL doit être autorisé à accéder aux fichiers dans le compte de stockage.
Si l’authentification Microsoft Entra est utilisée, un utilisateur peut se connecter à un pool SQL serverless et à d’autres services, comme Stockage Azure, et accorder des autorisations à l’utilisateur Microsoft Entra.
Accès aux comptes de stockage
Un utilisateur connecté au service de pool SQL serverless doit être autorisé à accéder aux fichiers présents dans Stockage Azure et à les interroger. Le pool SQL serverless prend en charge les types d’autorisation suivants :
Anonymous access
Permet d’accéder à des fichiers accessibles publiquement, placés sur des comptes de stockage Azure qui autorisent l’accès anonyme.
Signature d’accès partagé (SAP)
Fournit un accès délégué aux ressources du compte de stockage. Avec une signature d’accès partagé, vous pouvez accorder aux clients l’accès aux ressources d’un compte de stockage sans partager les clés du compte. Une signature d’accès partagé vous fournit un contrôle précis sur le type d’accès que vous accordez aux clients qui disposent de la signature SAS : intervalle de validité, autorisations accordées, plage d’adresses IP acceptée, protocole accepté (https/http).
Identité managée.
Fonctionnalité de Microsoft Entra ID qui fournit des services Azure pour le pool SQL serverless. En outre, cela déploie une identité managée automatiquement dans Microsoft Entra ID. Cette identité peut être utilisée pour autoriser les demandes d’accès aux données dans le stockage Azure. Avant d’accéder aux données, l’administrateur du stockage Azure doit accorder des autorisations à l’identité managée pour accéder aux données. L’octroi d’autorisations à une identité managée s’effectue de la même façon que l’octroi d’une autorisation à un autre utilisateur Microsoft Entra.
Identité de l’utilisateur
Également appelée « pass-through ». Il s’agit d’un type d’autorisation où l’identité de l’utilisateur Microsoft Entra qui s’est connecté au pool SQL serverless est utilisée pour autoriser l’accès aux données. Avant d’accéder aux données, l’administrateur de Stockage Azure doit accorder des autorisations à l’utilisateur Microsoft Entra pour accéder aux données. Ce type d’autorisation emploie l’utilisateur Microsoft Entra qui s’est connecté au pool SQL serverless : il n’est donc pas pris en charge pour les types d’utilisateurs SQL.
Le tableau ci-dessous décrit les types d’autorisation pris en charge pour les utilisateurs de bases de données :
| Type d’autorisation | Utilisateur SQL | Utilisateur Microsoft Entra |
|---|---|---|
| Identité de l’utilisateur | Non pris en charge | Prise en charge |
| SAS | Prise en charge | Prise en charge |
| Identité managée | Non pris en charge | Prise en charge |
Le tableau ci-dessous décrit les types d’autorisation et de stockage pris en charge :
| Type d’autorisation | Stockage Blob | ADLS Gen1 | ADLS Gen2 |
|---|---|---|---|
| Identité de l’utilisateur | Prise en charge - Le jeton SAP peut être utilisé pour accéder à un stockage qui n’est pas protégé par un pare-feu | Non pris en charge | Prise en charge - Le jeton SAP peut être utilisé pour accéder à un stockage qui n’est pas protégé par un pare-feu |
| SAS | Prise en charge | Prise en charge | Prise en charge |
| Identité managée | Prise en charge | Prise en charge | Pris en charge |