Microsoft Entra hitelesítés használata a Synapse SQL-lel való hitelesítéshez

Tip

Microsoft Fabric Data Warehouse egy nagyvállalati szintű relációs raktár egy Data Lake-alaprendszeren, jövőre kész architektúrával, beépített AI-vel és új funkciókkal. Ha még nem ismerkedik adattárházzal, kezdje a Fabric Data Warehouse. A meglévő dedikált SQL-készlet számítási feladatai frissíthetők Fabric az adatelemzés, a valós idejű elemzés és a jelentéskészítés új képességeinek eléréséhez.

A Microsoft Entra hitelesítés egy mechanizmus, amely a Microsoft Entra ID-ben lévő identitások használatával kapcsolódik az Azure Synapse Analytics-hez.

Microsoft Entra hitelesítéssel központilag kezelheti a Azure Synapse hozzáféréssel rendelkező felhasználói identitásokat az engedélykezelés egyszerűsítése érdekében. Az előnyök közé tartoznak a következők:

  • Alternatívát kínál a rendszeres felhasználónév és jelszó-hitelesítés helyett.
  • Segít megállítani a felhasználói identitások terjedését a kiszolgálókon.
  • Lehetővé teszi a jelszóváltást egyetlen helyen.
  • Az ügyfelek külső (Microsoft Entra ID) csoportokkal kezelhetik az engedélyeket.
  • Kiküszöbölheti a jelszavak tárolását azáltal, hogy engedélyezi az integrált Windows authentication és a Microsoft Entra ID által támogatott egyéb hitelesítési formákat.
  • Microsoft Entra ID támogatja a jogkivonatalapú hitelesítést a Azure Synapse csatlakozó alkalmazásokhoz.
  • Microsoft Entra hitelesítés támogatja az ADFS -t (tartomány-összevonás) vagy natív felhasználó-/jelszó-hitelesítést egy helyi Microsoft Entra ID tartományszinkronizálás nélkül.
  • Microsoft Entra ID támogatja a Active Directory univerzális hitelesítést használó SQL Server Management Studio kapcsolatait, amelyek többtényezős hitelesítést (MFA) is tartalmaznak. Az MFA számos egyszerű ellenőrzési lehetőséggel rendelkezik, például telefonhívással, szöveges üzenettel, pin-kóddal ellátott intelligens kártyákkal vagy mobilalkalmazás-értesítésekkel. További információ: SSMS-támogatás Microsoft Entra Synapse SQL-sel való többtényezős hitelesítéshez.
  • Microsoft Entra ID támogatja a Active Directory interaktív hitelesítést használó SQL Server Data Tools (SSDT) hasonló kapcsolatait. További információ: Microsoft Entra ID-támogatás az SQL Server Data Tools (SSDT)-ben.

A konfigurációs lépések a következő eljárásokat tartalmazzák Microsoft Entra hitelesítés konfigurálásához és használatához.

  1. Microsoft Entra ID létrehozása és feltöltése.
  2. Microsoft Entra identitás létrehozása
  3. Szerepkör hozzárendelése létrehozott Microsoft Entra identitáshoz a Synapse-munkaterületen
  4. Csatlakozzon a Synapse Studiohoz a Microsoft Entra azonosítók használatával.

Microsoft Entra áthaladás az Azure Synapse Analytics rendszerben

Azure Synapse Analytics lehetővé teszi a data lake-beli adatok elérését a Microsoft Entra identitásával.

A különböző adatmotorokban tiszteletben álló fájlok és adatok hozzáférési jogosultságainak meghatározása lehetővé teszi a Data Lake-megoldások egyszerűsítését azáltal, hogy egyetlen helyen definiálja az engedélyeket ahelyett, hogy több helyen kellene definiálnia őket.

Az architektúra megbízhatósága

Az alábbi magas szintű diagram a Microsoft Entra-hitelesítés Synapse SQL-sel való használatának megoldásarchitektúráját foglalja össze. A Microsoft Entra natív felhasználói jelszó támogatásához csak a felhőrészt és az Azure AD/Synapse SQL-t kell figyelembe venni. Az összevont hitelesítés (vagy Windows hitelesítő adataihoz tartozó felhasználó/jelszó) támogatásához az ADFS-blokktal való kommunikációra van szükség. A nyilak kommunikációs útvonalakat jelölnek.

Microsoft Entra hitelesítési diagram

Az alábbi ábra azokat az összevonási, megbízhatósági és üzemeltetési kapcsolatokat mutatja be, amelyek lehetővé teszik az ügyfél számára, hogy jogkivonat elküldésével csatlakozzon egy adatbázishoz. A tokent egy Microsoft Entra ID hitelesíti, és az adatbázis megbízhatónak minősíti.

Az 1. ügyfél natív felhasználókkal vagy federált felhasználókkal rendelkező Microsoft Entra ID-t képviselhet. A 2. ügyfél egy lehetséges megoldást képvisel, amely tartalmazza az importált felhasználókat; ebben a példában egy összekapcsolt Microsoft Entra ID-ról van szó, ahol az ADFS szinkronizálva van a Microsoft Entra ID-vel.

Fontos tisztában lenni azzal, hogy a Microsoft Entra-hitelesítést használó adatbázisokhoz való hozzáféréshez az üzemeltetési előfizetés a Microsoft Entra-azonosítóhoz van társítva. Ugyanazt az előfizetést kell használni a Azure SQL Database vagy dedikált SQL-készletet üzemeltető SQL Server létrehozásához.

előfizetési kapcsolat

Rendszergazdai struktúra

Microsoft Entra hitelesítés használatakor a Synapse SQL két rendszergazdai fiókból áll: az eredeti SQL-rendszergazda (SQL-hitelesítéssel) és a Microsoft Entra rendszergazdai fiókból. Csak a Microsoft Entra-fiókon alapuló rendszergazda hozhatja létre az első Microsoft Entra-azonosítót tartalmazó adatbázis-felhasználót egy felhasználói adatbázisban.

A Microsoft Entra rendszergazdai bejelentkezés lehet Microsoft Entra felhasználó vagy Microsoft Entra csoport. Amikor a rendszergazda egy csoportfiók, azt bármelyik csoporttag használhatja, lehetővé téve több Microsoft Entra rendszergazda hozzáférését a Synapse SQL-példányhoz.

A csoportfiók rendszergazdaként való használata javítja a kezelhetőséget azáltal, hogy lehetővé teszi a csoporttagok központi hozzáadását és eltávolítását Microsoft Entra ID anélkül, hogy módosítaná Azure Synapse Analytics munkaterület felhasználóit vagy engedélyeit. Egyszerre csak egy Microsoft Entra rendszergazda (felhasználó vagy csoport) konfigurálható.

rendszergazdai struktúra

Engedélyek

Új felhasználók létrehozásához rendelkeznie kell az ALTER ANY USER adatbázis engedélyével. Az ALTER ANY USER engedély bármely adatbázis-felhasználónak adható. A ALTER ANY USER engedéllyel rendelkeznek az SQL-rendszergazda és a Microsoft Entra rendszergazda fiókok, valamint azok az adatbázis-felhasználók, akik a CONTROL ON DATABASE vagy ALTER ON DATABASE engedéllyel rendelkeznek, továbbá a db_owner adatbázis-szerepkör tagjai is.

Ha helyi adatbázis-felhasználót szeretne létrehozni a Synapse SQL-ben, Microsoft Entra identitás használatával kell csatlakoznia az adatbázishoz vagy az instance-hez. Az első elkülönített adatbázis-felhasználó létrehozásához csatlakoznia kell az adatbázishoz egy Microsoft Entra-adminisztrátorral (aki az adatbázis tulajdonosa).

Minden Microsoft Entra hitelesítés csak akkor lehetséges, ha a Microsoft Entra rendszergazda a Synapse SQL-hez lett létrehozva. Ha a Microsoft Entra rendszergazdát eltávolították a kiszolgálóról, a Synapse SQL-ben korábban létrehozott meglévő Microsoft Entra felhasználók már nem tudnak csatlakozni az adatbázishoz Microsoft Entra hitelesítő adataikkal.

Helyi hitelesítés letiltása

Ha csak Microsoft Entra hitelesítést engedélyez, központilag kezelheti az Azure Synapse erőforrásokhoz, például az SQL-készletekhez való hozzáférést. Ha le szeretné tiltani a helyi hitelesítést a Synapse-ban a munkaterület létrehozása során, válassza a Csak Microsoft Entra hitelesítés hitelesítési módszerként. Az SQL-rendszergazdai bejelentkezés továbbra is létrejön, de le lesz tiltva. A helyi hitelesítést később a Synapse-munkaterület Azure tulajdonosa vagy közreműködője engedélyezheti.

Microsoft Entra-alapú hitelesítési konfiguráció a munkaterület létrehozása során

A helyi hitelesítést a munkaterület Azure portálon való létrehozása után is letilthatja. A helyi hitelesítés csak akkor tiltható le, ha Microsoft Entra rendszergazda jön létre a Azure Synapse munkaterülethez.

Microsoft Entra kizárólag hitelesítési konfiguráció a munkaterület létrehozása után

Microsoft Entra funkciók és korlátozások

  • A Microsoft Entra ID következő tagjai építhetők ki a Synapse SQL-ben:

  • Microsoft Entra db_owner kiszolgálói szerepkörrel rendelkező csoport tagjai nem használhatják a CREATE DATABASE SCOPED CREDENTIAL szintaxist a Synapse SQL-ben. A következő hibaüzenet jelenik meg:

    SQL Error [2760] [S0001]: The specified schema name 'user@mydomain.com' either does not exist or you do not have permission to use it.

    Adja meg a db_owner szerepkört közvetlenül az egyes Microsoft Entra felhasználónak, hogy elhárítsa a CREATE DATABASE SCOPED CREDENTIAL problémát.

  • Ezek a rendszerfüggvények NULL értékeket adnak vissza, amikor Microsoft Entra főnevek alatt hajtják végre:

    • SUSER_ID()
    • SUSER_NAME(<admin ID>)
    • SUSER_SNAME(<admin SID>)
    • SUSER_ID(<admin name>)
    • SUSER_SID(<admin name>)

Csatlakozás Microsoft Entra-identitásokkal

A Microsoft Entra-hitelesítés az alábbi módszereket támogatja az adatbázishoz való csatlakozáshoz a Microsoft Entra-identitások használatával:

  • Microsoft Entra jelszó
  • A Microsoft Entra már integrálásra került
  • Microsoft Entra Universal többtényezős hitelesítéssel
  • Alkalmazásjogkivonat-hitelesítés használata

A következő hitelesítési módszerek támogatottak Microsoft Entra kiszolgálónevek (bejelentkezések) esetében:

  • Microsoft Entra jelszó
  • A Microsoft Entra már integrálásra került
  • Microsoft Entra Universal többtényezős hitelesítéssel

További szempontok

  • A kezelhetőség javítása érdekében javasoljuk, hogy rendszergazdaként kiépítsen egy dedikált Microsoft Entra csoportot.
  • A Synapse SQL-készletekhez bármikor csak egy Microsoft Entra rendszergazda (felhasználó vagy csoport) konfigurálható.
    • A Synapse SQL-hez Microsoft Entra kiszolgálónevek (bejelentkezések) hozzáadása lehetővé teszi több Microsoft Entra kiszolgálónév (bejelentkezés) létrehozását, amelyek hozzáadhatók a sysadmin szerepkörhöz.
  • Csak a Synapse SQL Microsoft Entra rendszergazdája tud először csatlakozni a Synapse SQL-hez egy Microsoft Entra-fiókkal. Az Active Directory rendszergazda konfigurálhatja a későbbi Microsoft Entra adatbázis-felhasználókat.
  • Javasoljuk, hogy állítsa be a kapcsolat időtúllépését 30 másodpercre.
  • SQL Server 2016 Management Studio és SQL Server Data Tools Visual Studio 2015 (14.0.60311.1, 2016 áprilisi vagy újabb verzió) támogatja a Microsoft Entra hitelesítést. (Microsoft Entra hitelesítést az SqlServerhez készült .NET Keretrendszer Data Provider támogatja; legalább .NET Framework 4.6-os verziója). Tehát ezeknek az eszközöknek és adatrétegű alkalmazásoknak a legújabb verziói (DAC és . A BACPAC) Microsoft Entra hitelesítést használhat.
  • A 15.0.1-es verziótól kezdve sqlcmd segédprogram és bcp segédprogram támogatja Active Directory MFA-val való interaktív hitelesítést.
  • SQL Server Data Tools a 2015-ös Visual Studio számára a Data Tools legalább 2016. áprilisi verzióját igényli (verzió: 14.0.60311.1). A Microsoft Entra-felhasználók jelenleg nem jelennek meg az SSDT Object Explorerben. Alternatív megoldásként tekintse meg a felhasználókat a sys.database_principals-ban.
  • Az SQL Serverhez készült Microsoft JDBC Driver 6.0 támogatja a Microsoft Entra-hitelesítést. Lásd még a Kapcsolat tulajdonságainak beállítását.
  • A Microsoft Entra rendszergazdai fiók szabályozza a dedikált készletekhez való hozzáférést, míg a Synapse RBAC-szerepkörök a kiszolgáló nélküli készletekhez való hozzáférés szabályozására szolgálnak, például a Synapse rendszergazda és Synapse SQL-rendszergazda szerepkörrel. Synapse RBAC-szerepkörök konfigurálása Synapse Studio keresztül. További információ: A Synapse RBAC-szerepkör-hozzárendelések kezelése Synapse Studio.
  • Ha egy felhasználó Microsoft Entra rendszergazdaként és Synapse-rendszergazdaként van konfigurálva, majd eltávolítja a Microsoft Entra rendszergazdai szerepkörből, akkor a felhasználó elveszíti a hozzáférést a Synapse dedikált SQL-készleteihez. Ezeket el kell távolítani, majd hozzá kell adni a Synapse-rendszergazdai szerepkörhöz a dedikált SQL-készletekhez való hozzáférés visszanyeréséhez.

Következő lépések

  • Last updated on