Felügyelt identitások használata Azure SQL Database vagy Azure Synapse Analytics elérésére egy Azure Stream Analytics feladatból

Azure Stream Analytics támogatja Managed Identity authentication Azure SQL Database és Azure Synapse Analytics kimeneti fogadók esetében. A felügyelt identitások kiküszöbölik a felhasználóalapú hitelesítési módszerek korlátait, például a jelszómódosítások vagy a felhasználói jogkivonatok 90 naponta történő lejárata miatti újrahitelesítés szükségességét. Ha eltávolítja a manuális hitelesítés szükségességét, a Stream Analytics üzembe helyezései teljesen automatizálhatók.

A felügyelt identitás egy Microsoft Entra-azonosítóban regisztrált felügyelt alkalmazás, amely egy adott Stream Analytics-feladatot jelöl. A felügyelt alkalmazás egy célzott erőforrás hitelesítésére szolgál. Ez a cikk bemutatja, hogyan engedélyezheti a felügyelt identitást egy Azure SQL Database vagy egy Stream Analytics-feladat Azure Synapse Analytics kimenetéhez a Azure portálon keresztül.

Overview

Ez a cikk bemutatja a Stream Analytics-feladat Azure SQL Database vagy Azure Synapse Analytics SQL-készlethez felügyelt identitás hitelesítési móddal való csatlakoztatásához szükséges lépéseket.

• Először létrehoz egy rendszer által hozzárendelt felügyelt identitást a Stream Analytics-feladathoz. Ez a munka azonosítója a Microsoft Entra ID-ben.

• Adjon hozzá egy Active Directory rendszergazdát az SQL Serverhez vagy a Synapse-munkaterülethez, amely lehetővé teszi az erőforrás Microsoft Entra ID (felügyelt identitás) hitelesítését.

• Ezután hozzon létre egy tartalmazott felhasználót, amely a Stream Analytics-feladat identitását jelöli az adatbázisban. Amikor a Stream Analytics-feladat együttműködik az SQL DB- vagy Synapse SQL DB-erőforrással, ez az identitás, amelyre a Stream Analytics-feladat engedélyeinek ellenőrzéséhez fog hivatkozni.

• Adjon engedélyeket a Stream Analytics-feladatnak az SQL Database- vagy Synapse SQL-készletek eléréséhez.

• Végül adja hozzá az Azure SQL Database/Azure Synapse Analytics szolgáltatást a Stream Analytics feladat kimeneteként.

Prerequisites

Azure SQL Database

A szolgáltatás használatához a következőkre lesz szüksége:

• Egy Azure Stream Analytics feladat.

• Egy Azure SQL Database erőforrás.

Azure Synapse Analytics

A funkció használatához a következők szükségesek:

• Egy Azure Stream Analytics feladat.

• Egy Azure Synapse Analytics SQL-készlet.

• Egy Azure Storage fiók, amely konfigurálva van a Stream Analytics-feladathoz.

• Megjegyzés: A Synapse SQL MSI-vel integrált Stream Analytics-fióktároló MSI jelenleg nem érhető el.

Felügyelt identitás létrehozása

Először hozzon létre egy felügyelt identitást a Azure Stream Analytics feladathoz.

1. A Azure portálon nyissa meg a Azure Stream Analytics feladatot.

2. A bal oldali navigációs menüben válassza a Konfigurálás területen található Felügyelt identitás lehetőséget. Ezután jelölje be a Rendszer által hozzárendelt felügyelt identitás használata melletti jelölőnégyzetet, és válassza a Mentés lehetőséget.

   

   Microsoft Entra ID létrehoz egy szolgáltatásnevet a Stream Analytics-feladat identitásához. Azure kezeli az újonnan létrehozott identitás életciklusát. A Stream Analytics-feladat törlésekor Azure automatikusan törli a társított identitást (azaz a szolgáltatásnevet).

3. A felhasználó által hozzárendelt felügyelt identitásra is válthat.

4. A konfiguráció mentésekor a szolgáltatás főösszetevő objektumazonosítója (OID) a következő szakaszban a főösszetevő azonosítójaként jelenik meg.

   

   A szolgáltatásnév neve megegyezik a Stream Analytics-feladat nevével. Ha például a feladat neve MyASAJob, akkor a szolgáltatásnév neve is MyASAJob.

Válasszon ki egy Active Directory rendszergazdát

A felügyelt identitás létrehozása után válasszon ki egy Active Directory rendszergazdát.

1. Nyissa meg a Azure SQL Database vagy Azure Synapse Analytics SQL-készlet erőforrását. Válassza ki azt a SQL Server vagy Synapse-munkaterületet, amely alatt az erőforrás található. Ezekre az erőforrásokra mutató hivatkozást a Kiszolgáló neve vagy a Munkaterület neve melletti erőforrás-áttekintési lapon találja.

2. Válassza a Active Directory Rendszergazda vagy SQL Active Directory Rendszergazda lehetőséget a Settings területen a SQL Server és a Synapse-munkaterület esetében. Ezután válassza a Rendszergazda beállítása lehetőséget.

   

3. A Active Directory rendszergazdai lapon keressen rá egy felhasználóra vagy csoportra, hogy rendszergazda legyen a SQL Server, és válassza a Select lehetőséget. Ez a felhasználó a következő szakaszban hozhatja létre a tartalmazott adatbázis-felhasználót .

   

   A Active Directory rendszergazdai lapon a Active Directory összes tagja és csoportja látható. A szürkített felhasználók vagy csoportok nem jelölhetők ki, mivel nem támogatottak Microsoft Entra rendszergazdákként. Tekintse meg a támogatott rendszergazdák listáját a Microsoft Entra funkciók és korlátozásokA Microsoft Entra hitelesítés használata AZ SQL Database-lel vagy Azure Synapse.

4. Válassza a Save lehetőséget a Active Directory rendszergazda lapon. A rendszergazda módosításának folyamata néhány percet vesz igénybe.

Tartalmazott adatbázis-felhasználó létrehozása

Ezután hozzon létre egy tartalmazott adatbázis-felhasználót a Azure SQL vagy Azure Synapse adatbázisban, amely az Microsoft Entra identitáshoz van leképezve. A tartalmazott adatbázis-felhasználó nem rendelkezik bejelentkezéssel az elsődleges adatbázishoz, de az adatbázishoz társított címtárban lévő identitáshoz van leképezve. A Microsoft Entra identitás lehet egyéni felhasználói fiók vagy csoport. Ebben az esetben egy tartalmazott adatbázis-felhasználót szeretne létrehozni a Stream Analytics-feladathoz.

Ha további információra van szüksége, olvassa el: Univerzális hitelesítés SQL-adatbázissal és Azure Synapse Analytics-szel (SSMS támogatás az MFA-hoz).

1. Csatlakozzon Azure SQL vagy Azure Synapse adatbázisához SQL Server Management Studio használatával. A Felhasználó neve egy Microsoft Entra felhasználó, aki rendelkezik ALTER ANY USER engedéllyel. A SQL Server beállított rendszergazda egy példa. Microsoft Entra ID használata – Univerzális MFA hitelesítéssel.

   

   A kiszolgáló neve <SQL Server name>.database.windows.net eltérő lehet a különböző régiókban. A kínai régiónak például <SQL Server name>.database.chinacloudapi.cn kell használnia.

   Megadhat egy konkrét Azure SQL vagy Azure Synapse adatbázist, ha a Options > Kapcsolat tulajdonságok > Csatlakozás az adatbázishoz lehetőséget választja.

   

2. Amikor első alkalommal csatlakozik, a következő ablakban találkozhat:

   

   1. Ha igen, nyissa meg a SQL Server vagy a Synapse Workspace-erőforrást a Azure portálon. A Biztonság szakaszban nyissa meg a Tűzfalak és a virtuális hálózat vagy a Tűzfalak lapot.
   2. Adjon hozzá egy új szabályt bármilyen szabálynévvel.
   3. Használja a Feladó IP-címet az Új tűzfalszabály ablakból a Kezdő IP-címhez.
   4. Használja a Cél IP-címet a Új tűzfalszabály ablakában szereplő Vég IP-hez.
   5. Válassza a Save lehetőséget, és próbáljon meg újra csatlakozni SQL Server Management Studio.

3. Miután csatlakozott, hozza létre a beágyazott adatbázis-felhasználót. A következő SQL-parancs létrehoz egy tartalmazott adatbázis-felhasználót, amelynek neve megegyezik a Stream Analytics-feladat nevével. Ügyeljen arra, hogy a zárójelek a ASA_JOB_NAME köré legyenek foglalva. Használja a következő T-SQL-szintaxist, és futtassa a lekérdezést.

   CREATE USER [ASA_JOB_NAME] FROM EXTERNAL PROVIDER;
   

   Annak ellenőrzéséhez, hogy helyesen adta-e hozzá a tartalmazott adatbázis felhasználóját, futtassa a következő parancsot az SSMS-ben a kapcsolódó adatbázis alatt, és ellenőrizze, hogy a ASA_JOB_NAME a "név" oszlop alatt van-e.

   SELECT * FROM <SQL_DB_NAME>.sys.database_principals
   WHERE type_desc = 'EXTERNAL_USER'
   

4. Ahhoz, hogy Microsoft Microsoft Entra ID ellenőrizze, hogy a Stream Analytics-feladat rendelkezik-e hozzáféréssel az SQL Database-hez, Microsoft Entra engedélyt kell adnia az adatbázissal való kommunikációra. Ehhez lépjen ismét a Tűzfalak és virtuális hálózat vagy Tűzfalak lapra az Azure-portálon, és engedélyezze az Azure-szolgáltatásoknak és -erőforrásoknak a kiszolgáló vagy munkatér elérését.

   

Stream Analytics-feladatok engedélyeinek megadása

Azure SQL Database

Miután létrehozott egy belső adatbázis-felhasználót, és hozzáférést adott az Azure-szolgáltatásokhoz a portálon az előző szakaszban leírtak szerint, a Stream Analytics feladatnak joga van a felügyelt identitáson keresztül kapcsolódni az Azure SQL adatbázis-erőforráshoz. Adja meg a SELECT és INSERT engedélyeket a Stream Analytics-feladathoz, mivel a feladatnak ezekre az engedélyekre a Stream Analytics-munkafolyamat későbbi részében van szüksége. A SELECT engedély lehetővé teszi a feladat számára a Azure SQL adatbázis táblához való kapcsolatának tesztelését. A INSERT engedély lehetővé teszi a teljes körű Stream Analytics-lekérdezések tesztelését, miután konfigurálta a bemenetet és a Azure SQL adatbázis kimenetét.

Azure Synapse Analytics

Miután létrehozott egy tartalmazott adatbázis-felhasználót, és hozzáférést adott az Azure szolgáltatásokhoz a portálon, az előző szakasz leírása szerint a Stream Analytics-feladat engedélyt kap a felügyelt identitástól az Azure Synapse adatbázis-erőforráshoz való CSATLAKOZÁS felügyelt identitáson keresztül. Adja meg a SELECT, INSERT és ADMIN DATABASE BULK OPERATIONS engedélyeket a Stream Analytics-feladatnak, mivel a feladatnak szüksége van ezekre az engedélyekre a Stream Analytics-munkafolyamat későbbi részében. A SELECT engedély lehetővé teszi a feladat számára a Azure Synapse adatbázis táblához való kapcsolatának tesztelését. A INSERT és ADMINISTER DATABASE BULK OPERATIONS engedélyek lehetővé teszik a teljes körű Stream Analytics-lekérdezések tesztelését a bemenet és a Azure Synapse adatbázis kimenetének konfigurálása után.

Az ADATBÁZIS TÖMEGES MŰVELETEK VÉGREHAJTÁSA engedélyének megadásához adjon meg minden olyan engedélyt, amely VEZÉRLÉS címkével van ellátva adatbázis engedély által Implied a Stream Analytics feladathoz. Erre az engedélyre azért van szüksége, mert a Stream Analytics-feladat végrehajtja a COPY utasítást , amelyhez az ADATBÁZIS tömeges műveleteinek és az INSERT-nek a felügyelete szükséges.

Ezeket az engedélyeket a Stream Analytics-feladathoz SQL Server Management Studio használatával adhatja meg. További információkért lásd a GRANT (Transact-SQL) hivatkozást.

Ha csak egy adott táblára vagy objektumra szeretne engedélyt adni az adatbázisban, használja a következő T-SQL-szintaxist, és futtassa a lekérdezést.

Azure SQL Database

GRANT CONNECT TO ASA_JOB_NAME;
GRANT SELECT, INSERT ON OBJECT::TABLE_NAME TO ASA_JOB_NAME;

Azure Synapse Analytics

GRANT CONNECT, CONTROL, ADMINISTER DATABASE BULK OPERATIONS TO ASA_JOB_NAME;
GRANT SELECT, INSERT ON OBJECT::TABLE_NAME TO ASA_JOB_NAME;

Másik lehetőségként kattintson a jobb gombbal a Azure SQL vagy Azure Synapse adatbázisra SQL Server Management Studio, és válassza a A jogosultságok > engedélyek lehetőséget. Az engedélyek menüben láthatja a korábban hozzáadott Stream Analytics-feladatot, és manuálisan adhat meg vagy tagadhat meg engedélyeket, ahogy ön látja.

A ASA_JOB_NAME felhasználóhoz hozzáadott összes engedély megtekintéséhez futtassa a következő parancsot az SSMS-ben a vonatkozó adatbázis alatt:

SELECT dbprin.name, dbprin.type_desc, dbperm.permission_name, dbperm.state_desc, dbperm.class_desc, object_name(dbperm.major_id)
FROM sys.database_principals dbprin
LEFT JOIN sys.database_permissions dbperm
ON dbperm.grantee_principal_id = dbprin.principal_id
WHERE dbprin.name = '<ASA_JOB_NAME>'

Azure SQL Database vagy Azure Synapse kimenet létrehozása

Azure SQL Database

Note

Ha a SQL Managed Instance-et (MI) referenciabemenetként használja, konfigurálnia kell egy nyilvános végpontot az SQL Managed Instance-ben. Az adatbázistulajdonság konfigurálásakor meg kell adnia a teljes tartománynevet a porttal együtt. Például: sampleserver.public.database.windows.net,3342.

A felügyelt identitás konfigurálása után készen áll egy Azure SQL Database vagy Azure Synapse kimenet hozzáadására a Stream Analytics-feladathoz.

Mindenképpen hozzon létre egy táblát az SQL Database-ben a megfelelő kimeneti sémával. A tábla nevét akkor kell megadnia, amikor hozzáadja az SQL Database kimenetét a Stream Analytics-feladathoz. Emellett győződjön meg arról, hogy a feladat SELECT és INSERT engedélyekkel rendelkezik a kapcsolat teszteléséhez és a Stream Analytics-lekérdezések futtatásához. Ha még nem tette meg, tekintse meg a Stream Analytics-feladatok engedélyeinek megadására vonatkozó szakaszt.

1. Térjen vissza a Stream Analytics-feladathoz, és lépjen a Feladattopológia alatti Kimenetek lapra.

2. Válassza az SQL Database hozzáadása >lehetőséget. Az SQL-adatbázis kimeneti beállításai ablakban válassza a Felügyelt identitás lehetőséget a hitelesítési mód listájából.

3. Töltse ki a többi tulajdonságot. Az SQL Database-kimenetek létrehozásával kapcsolatos további információkért lásd: SQL Database-kimenet létrehozása a Stream Analytics használatával. Amikor végzett, válassza a Mentés lehetőséget.

4. Miután kiválasztotta a Mentés lehetőséget, automatikusan elindul egy kapcsolati teszt az erőforráshoz. Miután a teszt sikeresen befejeződött, konfigurálta a Stream Analytics-feladatot a Azure SQL Database vagy a Synapse SQL Database-hez való csatlakozásra felügyelt identitás-hitelesítési mód használatával.

Azure Synapse Analytics

A felügyelt identitás és tárfiók konfigurálása után hozzáadhat egy Azure SQL Database vagy Azure Synapse kimenetet a Stream Analytics-feladathoz.

Mindenképpen hozzon létre egy táblát a Azure Synapse-adatbázisban a megfelelő kimeneti sémával. A Azure Synapse kimenet Stream Analytics-feladathoz való hozzáadásakor meg kell adnia a tábla nevét. Emellett győződjön meg arról, hogy a feladat SELECT és INSERT engedélyekkel rendelkezik a kapcsolat teszteléséhez és a Stream Analytics-lekérdezések futtatásához. Ha még nem tette meg, tekintse meg a Stream Analytics-feladatok engedélyeinek megadására vonatkozó szakaszt.

1. Lépjen vissza a Stream Analytics-feladathoz, és lépjen a Feladattopológia alatti Kimenetek lapra.

2. Válassza a Add > Azure Synapse Analytics lehetőséget. Az SQL Database kimeneti tulajdonságok ablakában válassza a Felügyelt identitás lehetőséget a Hitelesítési mód legördülő menüből.

3. Töltse ki a többi tulajdonságot. Az Azure Synapse kimenet létrehozásáról további információt az alábbi forrásban talál: Azure Synapse Analytics kimenet az Azure Stream Analytics-ből. Amikor végzett, válassza a Mentés lehetőséget.

4. Miután kiválasztotta a Mentés lehetőséget, automatikusan elindul egy kapcsolati teszt az erőforráshoz. Miután a teszt sikeresen befejeződött, készen áll a Felügyelt identitás használatára az Azure Synapse Analytics erőforráson a Stream Analytics segítségével.

További lépések az SQL-referenciaadatokhoz

SQL-referenciaadatok használatakor Azure Stream Analytics a feladat tárfiókjának konfigurálását igényli. A feladat ezzel a tárfiókkal tárolja a Stream Analytics-feladathoz kapcsolódó tartalmakat, például az SQL referenciaadat-pillanatképeit.
A társított tárfiók beállításához kövesse az alábbi lépéseket:

1. A Stream Analytics feladatlapján , a bal oldali menü Konfigurálás területén válassza a Tárfiók beállításai lehetőséget.

2. A Stream Analytics feladatlapján válassza a Storage-fiók beállításait a Bal oldali menü Konfigurálás területén.

3. A Tárfiók beállításai lapon válassza a Tárfiók hozzáadása lehetőséget.

4. Kövesse az utasításokat a tárfiók beállításainak konfigurálásához.

   

Important

• A kapcsolati karakterlánc használatával történő hitelesítéshez le kell tiltania a tárfiók tűzfalbeállítását.
• A felügyelt identitással történő hitelesítéshez fel kell vennie a Stream Analytics-feladatot a tárfiók hozzáférés-vezérlési listájára a Storage Blob-adatszolgáltatói szerepkörhöz és a Storage Table Data Közreműködői szerepkörhöz. Ha nem biztosít hozzáférést a feladat számára, a feladat nem fog tudni végrehajtani semmilyen műveletet. További információ a hozzáférés megadásáról: A Azure RBAC használata felügyelt identitáshoz való hozzáférés hozzárendeléséhez egy másik erőforráshoz.

További lépések a felhasználó által hozzárendelt felügyelt identitással

Ismételje meg a lépéseket, ha a felhasználó által hozzárendelt felügyelt identitást választotta az ASA és a Synapse összekapcsolásához:

1. Hozzon létre egy tartalmazott adatbázis-felhasználót. Cserélje le az ASA_Job_Name nevet a felhasználó által hozzárendelt felügyelt identitásra. Tekintse meg a következő példát.

   CREATE USER [User-Assigned Managed Identity] FROM EXTERNAL PROVIDER;
   

2. Adjon engedélyeket a felhasználó által hozzárendelt felügyelt identitásnak. Cserélje le ASA_Job_Name a felhasználó által hozzárendelt felügyelt identitásra.

További részletekért lásd az előző szakaszokat.

Felügyelt identitás eltávolítása

A Stream Analytics-feladatokhoz létrehozott felügyelt identitást csak a feladat törlésekor törli. A felügyelt identitás nem törölhető a feladat törlése nélkül. Ha már nem szeretné használni a felügyelt identitást, módosítsa a kimenet hitelesítési módszerét. A felügyelt identitás továbbra is létezik, amíg el nem törli a feladatot, és a rendszer azt használja, ha úgy dönt, hogy ismét használja a felügyelt identitás hitelesítését.

Következő lépések

• Az Azure Stream Analytics kimeneteinek ismertetése
• Azure Stream Analytics-kimenet az Azure SQL Database-be
• Az Azure Stream Analyticsből az Azure SQL Database-be irányuló átviteli teljesítmény növelése
• Referenciaadatok használata SQL Database-ből azure Stream Analytics-feladathoz
• Rekordok frissítése vagy egyesítése az Azure SQL Database-ben az Azure Functions használatával
• Rövid útmutató: Stream Analytics-feladat létrehozása az Azure Portal használatával