Felügyelt identitások használata az Azure SQL Database vagy az Azure Synapse Analytics eléréséhez egy Azure Stream Analytics-feladatból

Az Azure Stream Analytics támogatja az Azure SQL Database és az Azure Synapse Analytics kimeneti fogadóinak felügyelt identitás-hitelesítését . A felügyelt identitások kiküszöbölik a felhasználóalapú hitelesítési módszerek korlátait, például a jelszómódosítások vagy a felhasználói jogkivonatok 90 naponta történő lejárata miatti újrahitelesítés szükségességét. Ha eltávolítja a manuális hitelesítés szükségességét, a Stream Analytics üzembe helyezései teljesen automatizálhatók.

A felügyelt identitás egy Microsoft Entra-azonosítóban regisztrált felügyelt alkalmazás, amely egy adott Stream Analytics-feladatot jelöl. A felügyelt alkalmazás egy célzott erőforrás hitelesítésére szolgál. Ez a cikk bemutatja, hogyan engedélyezheti a felügyelt identitást egy Azure SQL Database-hez vagy egy Stream Analytics-feladat Azure Synapse Analytics-kimenetéhez az Azure Portalon keresztül.

Áttekintés

Ez a cikk bemutatja a Stream Analytics-feladat Azure SQL Database-hez vagy Azure Synapse Analytics SQL-készlethez felügyelt identitás hitelesítési móddal való csatlakoztatásához szükséges lépéseket.

• Először létrehoz egy rendszer által hozzárendelt felügyelt identitást a Stream Analytics-feladathoz. Ez a feladat identitása a Microsoft Entra-azonosítóban.

• Adjon hozzá egy Active Directory-rendszergazdát az SQL Serverhez vagy a Synapse-munkaterülethez, amely lehetővé teszi a Microsoft Entra ID (Managed Identity) hitelesítését az adott erőforráshoz.

• Ezután hozzon létre egy tartalmazott felhasználót, amely a Stream Analytics-feladat identitását jelöli az adatbázisban. Amikor a Stream Analytics-feladat együttműködik az SQL DB- vagy Synapse SQL DB-erőforrással, ez az identitás, amelyre a Stream Analytics-feladat engedélyeinek ellenőrzéséhez fog hivatkozni.

• Adjon engedélyeket a Stream Analytics-feladatnak az SQL Database- vagy Synapse SQL-készletek eléréséhez.

• Végül adja hozzá az Azure SQL Database/Azure Synapse Analytics-et kimenetként a Stream Analytics-feladathoz.

Előfeltételek

Azure SQL Database

A funkció használatához a következők szükségesek:

• Azure Stream Analytics-feladat.

• Egy Azure SQL Database-erőforrás.

Azure Synapse Analytics

A funkció használatához a következők szükségesek:

• Azure Stream Analytics-feladat.

• Azure Synapse Analytics SQL-készlet.

• A Stream Analytics-feladathoz konfigurált Azure Storage-fiók.

• Megjegyzés: A Synapse SQL MSI-vel integrált Stream Analytics-fióktároló MSI jelenleg nem érhető el.

Felügyelt identitás létrehozása

Először létrehoz egy felügyelt identitást az Azure Stream Analytics-feladathoz.

1. Az Azure Portalon nyissa meg az Azure Stream Analytics-feladatot.

2. A bal oldali navigációs menüben válassza a Konfigurálás területen található Felügyelt identitás lehetőséget. Ezután jelölje be a Rendszer által hozzárendelt felügyelt identitás használata melletti jelölőnégyzetet, és válassza a Mentés lehetőséget.

   

   A Stream Analytics-feladat identitásához tartozó szolgáltatásnév a Microsoft Entra-azonosítóban jön létre. Az újonnan létrehozott identitás életciklusát az Azure kezeli. A Stream Analytics-feladat törlésekor a társított identitást (azaz a szolgáltatásnevet) az Azure automatikusan törli.

3. A felhasználó által hozzárendelt felügyelt identitásra is válthat.

4. A konfiguráció mentésekor a szolgáltatásnév objektumazonosítója (OID) az alábbiak szerint egyszerű azonosítóként jelenik meg:

   

   A szolgáltatásnév neve megegyezik a Stream Analytics-feladat nevével. Ha például a feladat neve MyASAJob, akkor a szolgáltatásnév neve is MyASAJob.

Active Directory-rendszergazda kiválasztása

Miután létrehozott egy felügyelt identitást, ki kell választania egy Active Directory-rendszergazdát.

1. Lépjen az Azure SQL Database vagy az Azure Synapse Analytics SQL-készlet erőforrására, és válassza ki azt az SQL Servert vagy Synapse-munkaterületet, amely alatt az erőforrás található. Ezekre mutató hivatkozást az erőforrás áttekintési lapján találja a Kiszolgáló neve vagy a Munkaterület neve mellett.

2. Válassza az Active Directory Rendszergazda vagy az SQL Active Directory Rendszergazda lehetőséget az Gépház alatt az SQL Serverhez és a Synapse-munkaterülethez. Ezután válassza a Rendszergazda beállítása lehetőséget.

   

3. Az Active Directory felügyeleti lapján keressen rá egy felhasználóra vagy csoportra az SQL Server rendszergazdájaként, és kattintson a Kiválasztás gombra. Ez lesz az a felhasználó, aki a következő szakaszban létrehozhatja a tartalmazott adatbázis felhasználóját .

   

   Az Active Directory felügyeleti lapja az Active Directory összes tagját és csoportját megjeleníti. A kiszürkített felhasználók vagy csoportok nem jelölhetők ki, mivel a Microsoft Entra rendszergazdái nem támogatják őket. Tekintse meg a támogatott rendszergazdák listáját a Microsoft Entra-hitelesítés HASZNÁLATA AZ SQL Database-lel vagy az Azure Synapse-val való hitelesítéshez című Microsoft Entra-szolgáltatások és korlátozások című szakaszában.

4. Válassza a Mentés lehetőséget az Active Directory felügyeleti lapján. A rendszergazda módosításának folyamata néhány percet vesz igénybe.

Tartalmazott adatbázis-felhasználó létrehozása

Ezután létrehoz egy tartalmazott adatbázis-felhasználót az Azure SQL-ben vagy az Azure Synapse-adatbázisban, amely a Microsoft Entra-identitásra van leképezve. A tartalmazott adatbázis-felhasználó nem rendelkezik bejelentkezéssel az elsődleges adatbázishoz, de az adatbázishoz társított címtárban lévő identitáshoz van leképezve. A Microsoft Entra-identitás lehet egyéni felhasználói fiók vagy csoport. Ebben az esetben egy tartalmazott adatbázis-felhasználót szeretne létrehozni a Stream Analytics-feladathoz.

További információkért tekintse át a következő cikket a Microsoft Entra-integráció hátteréről: Univerzális hitelesítés az SQL Database-sel és az Azure Synapse Analytics szolgáltatással (SSMS-támogatás az MFA-hoz)

1. Csatlakozás az Azure SQL-hez vagy az Azure Synapse-adatbázishoz az SQL Server Management Studióval. A felhasználónév egy Microsoft Entra-felhasználó, aki az ALTER ANY U Standard kiadás R engedéllyel rendelkezik. Példa erre az SQL Serveren beállított rendszergazda. A Microsoft Entra ID használata – Univerzális MFA-hitelesítéssel .

   

   A kiszolgáló neve <SQL Server name>.database.windows.net különböző régiókban eltérő lehet. Például a kínai régiónak kell használnia <SQL Server name>.database.chinacloudapi.cn.

   Megadhat egy adott Azure SQL- vagy Azure Synapse-adatbázist a Beállítások Csatlakozás ion properties Csatlakozás to Database (Beállítások > Csatlakozás ion properties > Csatlakozás to Database) elemre kattintva.

   

2. Amikor első alkalommal csatlakozik, a következő ablak jelenhet meg:

   

   1. Ha igen, nyissa meg az SQL Server/Synapse Workspace-erőforrást az Azure Portalon. A Biztonság szakaszban nyissa meg a Tűzfalak és a virtuális hálózat/Tűzfalak lapot.
   2. Adjon hozzá egy új szabályt bármilyen szabálynévvel.
   3. Használja a Feladó IP-címet az Új tűzfalszabály ablakból a Kezdő IP-címhez.
   4. Használja a Címzett IP-címet a Záró IP-cím új tűzfalszabály ablakából.
   5. Válassza a Mentés lehetőséget, és próbáljon meg újra csatlakozni az SQL Server Management Studióból.

3. Miután csatlakozott, hozza létre a tartalmazott adatbázis-felhasználót. A következő SQL-parancs létrehoz egy tartalmazott adatbázis-felhasználót, amelynek neve megegyezik a Stream Analytics-feladat nevével. Ügyeljen arra, hogy a zárójelek a ASA_JOB_NAME köré legyenek foglalva. Használja a következő T-SQL-szintaxist, és futtassa a lekérdezést.

   CREATE USER [ASA_JOB_NAME] FROM EXTERNAL PROVIDER;
   

   Annak ellenőrzéséhez, hogy helyesen adta-e hozzá a tartalmazott adatbázis felhasználóját, futtassa a következő parancsot az SSMS-ben a kapcsolódó adatbázis alatt, és ellenőrizze, hogy a ASA_JOB_NAME a "név" oszlop alatt van-e.

   SELECT * FROM <SQL_DB_NAME>.sys.database_principals
   WHERE type_desc = 'EXTERNAL_USER'
   

4. Ahhoz, hogy a Microsoft Microsoft Entra-azonosítója ellenőrizze, hogy a Stream Analytics-feladat rendelkezik-e hozzáféréssel az SQL Database-hez, engedélyt kell adnunk a Microsoft Entra-nak az adatbázissal való kommunikációhoz. Ehhez lépjen ismét a "Tűzfalak és virtuális hálózat"/"Tűzfalak" lapra az Azure Portalon, és engedélyezze az "Azure-szolgáltatások és erőforrások hozzáférésének engedélyezése ehhez a kiszolgálóhoz/munkaterülethez".

   

Stream Analytics-feladatok engedélyeinek megadása

Azure SQL Database

Miután létrehozott egy tartalmazott adatbázis-felhasználót, és hozzáférést adott az Azure-szolgáltatásokhoz a portálon az előző szakaszban leírtak szerint, a Stream Analytics-feladat rendelkezik engedéllyel a felügyelt identitástól, hogy felügyelt identitáson keresztül csatlakozzon az Azure SQL-adatbázis-erőforráshoz. Javasoljuk, hogy adja meg a Standard kiadás LECT és az IN Standard kiadás RT engedélyeket a Stream Analytics-feladathoz, mivel ezekre a Stream Analytics-munkafolyamat későbbi részében lesz szükség. A Standard kiadás LECT-engedély lehetővé teszi a feladat számára, hogy tesztelje a kapcsolatot az Azure SQL-adatbázis táblájával. Az IN Standard kiadás RT-engedély lehetővé teszi a teljes körű Stream Analytics-lekérdezések tesztelését, miután konfigurált egy bemenetet és az Azure SQL-adatbázis kimenetét.

Azure Synapse Analytics

Miután létrehozott egy tartalmazott adatbázis-felhasználót, és hozzáférést adott az Azure-szolgáltatásokhoz a portálon az előző szakaszban leírtak szerint, a Stream Analytics-feladat rendelkezik engedéllyel a felügyelt identitástól, hogy felügyelt identitáson keresztül csatlakozzon az Azure Synapse-adatbázis-erőforráshoz. Javasoljuk, hogy a Standard kiadás LECT, az IN Standard kiadás RT és a ADMIN DATABA Standard kiadás TÖMEGES MŰVELETEK engedélyt adjon a Stream Analytics-feladatnak, mivel ezekre a Stream Analytics-munkafolyamat későbbi részében lesz szükség. A Standard kiadás LECT-engedély lehetővé teszi a feladat számára, hogy tesztelje a kapcsolatot az Azure Synapse-adatbázisban lévő táblával. Az IN Standard kiadás RT és AZ ADMIN DATABA Standard kiadás TÖMEGES MŰVELETEK engedélyek lehetővé teszik a teljes körű Stream Analytics-lekérdezések tesztelését, miután konfigurált egy bemenetet és az Azure Synapse-adatbázis kimenetét.

Az ADMIN DATABA Standard kiadás TÖMEGES MŰVELETEK engedély megadásához minden olyan engedélyt meg kell adnia, amely control (CONTROL) címkével van ellátva az adatbázis engedélye alatt a Stream Analytics-feladathoz. Erre az engedélyre azért van szüksége, mert a Stream Analytics-feladat végrehajtja a COPY utasítást, amelyhez a DATABA Standard kiadás TÖMEGES MŰVELETEK és az IN Standard kiadás RT szükséges.

Ezeket az engedélyeket az SQL Server Management Studióval adhatja meg a Stream Analytics-feladathoz. További információt a GRANT (Transact-SQL) referenciában talál.

Ha csak egy adott táblára vagy objektumra szeretne engedélyt adni az adatbázisban, használja az alábbi T-SQL-szintaxist, és futtassa a lekérdezést.

Azure SQL Database

GRANT CONNECT TO ASA_JOB_NAME;
GRANT SELECT, INSERT ON OBJECT::TABLE_NAME TO ASA_JOB_NAME;

Azure Synapse Analytics

GRANT CONNECT, CONTROL, ADMINISTER DATABASE BULK OPERATIONS TO ASA_JOB_NAME;
GRANT SELECT, INSERT ON OBJECT::TABLE_NAME TO ASA_JOB_NAME;

Másik lehetőségként kattintson a jobb gombbal az Azure SQL- vagy Az Azure Synapse-adatbázisra az SQL Server Management Studióban, és válassza a Tulajdonságok > engedélyek lehetőséget. Az engedélyek menüben láthatja a korábban hozzáadott Stream Analytics-feladatot, és manuálisan adhat meg vagy tagadhat meg engedélyeket, ahogy ön látja.

A ASA_JOB_NAME felhasználóhoz hozzáadott összes engedély megtekintéséhez futtassa a következő parancsot az SSMS-ben a vonatkozó adatbázis alatt:

SELECT dbprin.name, dbprin.type_desc, dbperm.permission_name, dbperm.state_desc, dbperm.class_desc, object_name(dbperm.major_id)
FROM sys.database_principals dbprin
LEFT JOIN sys.database_permissions dbperm
ON dbperm.grantee_principal_id = dbprin.principal_id
WHERE dbprin.name = '<ASA_JOB_NAME>'

Azure SQL Database- vagy Azure Synapse-kimenet létrehozása

Azure SQL Database

Megjegyzés:

Ha a felügyelt SQL-példányt (MI) használja referenciabemenetként, konfigurálnia kell egy nyilvános végpontot a felügyelt SQL-példányban. Az adatbázistulajdonság konfigurálásakor meg kell adnia a teljes tartománynevet a porttal együtt. Például: sampleserver.public.database.windows.net,3342.

Most, hogy konfigurálta a felügyelt identitást, készen áll egy Azure SQL Database- vagy Azure Synapse-kimenet hozzáadására a Stream Analytics-feladathoz.

Győződjön meg arról, hogy létrehozott egy táblát az SQL Database-ben a megfelelő kimeneti sémával. A tábla neve az egyik kötelező tulajdonság, amelyet ki kell tölteni, amikor hozzáadja az SQL Database kimenetét a Stream Analytics-feladathoz. Győződjön meg arról is, hogy a feladat rendelkezik Standard kiadás LECT és IN Standard kiadás RT engedélyekkel a kapcsolat teszteléséhez és Stream Analytics-lekérdezések futtatásához. Ha még nem tette meg, tekintse meg a Stream Analytics-feladatok engedélyeinek megadására vonatkozó szakaszt.

1. Lépjen vissza a Stream Analytics-feladathoz, és lépjen a Feladattopológia alatti Kimenetek lapra.

2. Válassza az SQL Database hozzáadása > lehetőséget. Az SQL Database kimeneti fogadójának kimeneti tulajdonságok ablakában válassza a Felügyelt identitás lehetőséget a Hitelesítési mód legördülő menüből.

3. Töltse ki a többi tulajdonságot. Az SQL Database-kimenetek létrehozásával kapcsolatos további információkért lásd : SQL Database-kimenet létrehozása a Stream Analytics használatával. Ha végzett, válassza a Mentés lehetőséget.

4. A Mentés gombra kattintás után az erőforráshoz való kapcsolódási tesztnek automatikusan aktiválnia kell. A sikeres befejezés után sikeresen konfigurálta a Stream Analytics-feladatot, hogy felügyelt identitáshitelesítési móddal csatlakozzon Önhöz az Azure SQL Database-hez vagy a Synapse SQL Database-hez.

Azure Synapse Analytics

Most, hogy konfigurálta a felügyelt identitást és a tárfiókot, hozzáadhat egy Azure SQL Database- vagy Azure Synapse-kimenetet a Stream Analytics-feladathoz.

Győződjön meg arról, hogy létrehozott egy táblát az Azure Synapse-adatbázisban a megfelelő kimeneti sémával. A tábla neve az egyik kötelező tulajdonság, amelyet ki kell tölteni, amikor hozzáadja az Azure Synapse-kimenetet a Stream Analytics-feladathoz. Győződjön meg arról is, hogy a feladat rendelkezik Standard kiadás LECT és IN Standard kiadás RT engedélyekkel a kapcsolat teszteléséhez és Stream Analytics-lekérdezések futtatásához. Ha még nem tette meg, tekintse meg a Stream Analytics-feladatok engedélyeinek megadására vonatkozó szakaszt.

1. Lépjen vissza a Stream Analytics-feladathoz, és lépjen a Feladattopológia alatti Kimenetek lapra.

2. Válassza az Azure Synapse Analytics hozzáadása > lehetőséget. Az SQL Database kimeneti fogadójának kimeneti tulajdonságok ablakában válassza a Felügyelt identitás lehetőséget a Hitelesítési mód legördülő menüből.

3. Töltse ki a többi tulajdonságot. Az Azure Synapse-kimenet létrehozásáról további információt az Azure Stream Analytics Azure Synapse Analytics-kimenetében talál. Ha végzett, válassza a Mentés lehetőséget.

4. A Mentés gombra kattintás után az erőforráshoz való kapcsolódási tesztnek automatikusan aktiválnia kell. A sikeres befejezés után készen áll arra, hogy folytassa a Felügyelt identitás használatát az Azure Synapse Analytics-erőforráshoz a Stream Analytics használatával.

További lépések az SQL-referenciaadatokhoz

Az Azure Stream Analytics megköveteli a feladat tárfiókjának konfigurálását sql-referenciaadatok használatakor. Ez a tárfiók a Stream Analytics-feladathoz kapcsolódó tartalmak, például sql-referenciaadat-pillanatképek tárolására szolgál.

A társított tárfiók beállításához kövesse az alábbi lépéseket:

1. A Stream Analytics feladatlapján válassza a Storage-fiók beállításait a Bal oldali menü Konfigurálás területén.

2. A Tárfiók beállításai lapon válassza a Tárfiók hozzáadása lehetőséget.

3. Kövesse az utasításokat a tárfiók beállításainak konfigurálásához.

   

Fontos

• A kapcsolati sztring való hitelesítéshez le kell tiltania a tárfiók tűzfalbeállítását.
• A felügyelt identitással való hitelesítéshez fel kell vennie a Stream Analytics-feladatot a tárfiók hozzáférés-vezérlési listájára a Storage Blob-adatszolgáltatói szerepkörhöz és a Storage Table Data Közreműködői szerepkörhöz. Ha nem ad hozzáférést a feladathoz, a feladat nem fog tudni műveleteket végrehajtani. A hozzáférés biztosításáról további információt az Azure RBAC használata felügyelt identitáshoz való hozzáférés másik erőforráshoz való hozzárendelésével kapcsolatban talál.

További lépések a felhasználó által hozzárendelt felügyelt identitással

Ismételje meg a lépéseket, ha a felhasználó által hozzárendelt felügyelt identitást választotta az ASA és a Synapse összekapcsolásához:

1. Hozzon létre egy tartalmazott adatbázis-felhasználót. Cserélje le ASA_Job_Name felhasználó által hozzárendelt felügyelt identitásra. Lásd az alábbi példát.

   CREATE USER [User-Assigned Managed Identit] FROM EXTERNAL PROVIDER;
   

2. Adjon engedélyeket a felhasználó által hozzárendelt felügyelt identitásnak. Cserélje le ASA_Job_Name felhasználó által hozzárendelt felügyelt identitásra.

További részletekért tekintse meg a fenti szakaszokat.

Felügyelt identitás eltávolítása

A Stream Analytics-feladathoz létrehozott felügyelt identitás csak a feladat törlésekor törlődik. A felügyelt identitás nem törölhető a feladat törlése nélkül. Ha már nem szeretné használni a felügyelt identitást, módosíthatja a kimenet hitelesítési módját. A felügyelt identitás a feladat törléséig továbbra is létezik, és akkor lesz használatban, ha úgy dönt, hogy ismét a felügyelt identitás hitelesítését használja.

Következő lépések

• Az Azure Stream Analytics kimeneteinek ismertetése
• Azure Stream Analytics-kimenet az Azure SQL Database-be
• Az Azure Stream Analyticsből az Azure SQL Database-be irányuló átviteli teljesítmény növelése
• Referenciaadatok használata SQL Database-ből azure Stream Analytics-feladathoz
• Rekordok frissítése vagy egyesítése az Azure SQL Database-ben az Azure Functions használatával
• Rövid útmutató: Stream Analytics-feladat létrehozása az Azure Portal használatával