Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Ezekkel a Microsoft SQL-biztonsági mintákkal összehasonlíthatja, hogy a Data API Builder (DAB) hogyan hitelesíti az SQL-t, ellenőrzi a felhasználókat, és kikényszeríti a felhasználónkénti hozzáférést. Minden minta önálló, de a sorozat az alapvető hitelesítő adatoktól a felhasználó által delegált Azure SQL-hozzáférésig jut el.
Gyorsútmutató kiválasztása
Kezdje a célnak megfelelő kérdéssel.
| Ha szeretnéd... | Használja ezt a rövid útmutatót |
|---|---|
| A legegyszerűbb DAB–SQL kapcsolati minta megismerése | Username/password |
| SQL-jelszavak eltávolítása Azure konfigurációból | Menedzselt identitás |
| A Microsoft Entra-token ellenőrzésének hozzáadása a bejelentkezés megkövetelése előtt | Microsoft Entra |
| Sorok szűrése a DAB-ban jogcímek alapján | DAB-szabályzatok |
| Sorok szűrése az SQL-ben az adatbázis által kikényszerített sorszintű biztonság használatával | SQL sorszintű biztonság |
| Hagyja, hogy az Azure SQL közvetlenül hitelesítse a bejelentkezett felhasználót. |
döntési fa
- Csak alapszintű munkamintára van szüksége?
- Felhasználónév /jelszó használata.
- Szeretne jelszó nélküli hozzáférést a DAB-ból az Azure SQL-hez?
- Felügyelt identitás használata.
- Szüksége van a DAB-ra Microsoft Entra jogkivonatok érvényesítéséhez?
- Használja Microsoft Entra.
- A bejelentkezett felhasználóknak csak a saját soraikat kell látniuk?
- Ha a DAB-nak kényszerítenie kell a szűrőt, használjon DAB-szabályzatokat.
- Ha az SQL-nek kényszerítenie kell a szűrőt, használja az SQL sorszintű biztonságát.
- Szükséges-e, hogy az auditnaplók vagy az adatbázis-szabályok a ténylegesen bejelentkezett felhasználót használják SQL-azonosítóként?
- Használja a On-behalf-of lehetőséget az Azure SQL-hez.
A biztonsági modell összehasonlítása
A DAB-hitelesítésszolgáltató oszlop a tényleges értéket jeleníti meg a következőhöz runtime.host.authentication.provider: . Ha a konfiguráció kihagyja ezt a beállítást, a DAB a következőt használja Unauthenticated: . A felhasználónév/jelszó és a meghatalmazotti (on-behalf-of) minták kivételével a helyi futtatások SQL-hitelesítő adatokat használnak, az Azure-beli üzembe helyezések pedig felügyelt identitást. Az on-behalf-of minta szintén data-source.user-delegated-auth.provider értékét EntraId értékre állítja.
| gyorskonfigurálás | Felhasználó–webalkalmazás | Webalkalmazás a DAB-nak | DAB-hitelesítésszolgáltató | DAB–SQL |
|---|---|---|---|---|
| Username/password | Névtelen | Névtelen | Unauthenticated |
SQL-hitelesítő adatok |
| Menedzselt identitás | Névtelen | Névtelen | Unauthenticated |
Felügyelt identitás a Azure |
| Microsoft Entra | Névtelen | Névtelen | EntraId |
Felügyelt identitás a Azure |
| DAB-szabályzatok | Microsoft Entra-bejelentkezés | Tulajdonosi jogkivonat | EntraId |
Felügyelt identitás a Azure |
| SQL sorszintű biztonság | Microsoft Entra-bejelentkezés | Tulajdonosi jogkivonat | EntraId |
Felügyelt identitás a Azure |
| Az Azure SQL nevében | Microsoft Entra-bejelentkezés | Tulajdonosi jogkivonat | EntraId |
Felhasználó által delegált token az Azure SQL-hez |