Felügyelt identitások használata az Azure SQL Database vagy az Azure Synapse Analytics eléréséhez egy Azure Stream Analytics-feladatból
Az Azure Stream Analytics támogatja az Azure SQL Database és az Azure Synapse Analytics kimeneti fogadóinak felügyelt identitás-hitelesítését . A felügyelt identitások kiküszöbölik a felhasználóalapú hitelesítési módszerek korlátait, például a jelszómódosítások vagy a felhasználói jogkivonatok 90 naponta történő lejárata miatti újrahitelesítés szükségességét. Ha eltávolítja a manuális hitelesítés szükségességét, a Stream Analytics üzembe helyezései teljesen automatizálhatók.
A felügyelt identitás egy Microsoft Entra-azonosítóban regisztrált felügyelt alkalmazás, amely egy adott Stream Analytics-feladatot jelöl. A felügyelt alkalmazás egy célzott erőforrás hitelesítésére szolgál. Ez a cikk bemutatja, hogyan engedélyezheti a felügyelt identitást egy Azure SQL Database-hez vagy egy Stream Analytics-feladat Azure Synapse Analytics-kimenetéhez az Azure Portalon keresztül.
Áttekintés
Ez a cikk bemutatja a Stream Analytics-feladat Azure SQL Database-hez vagy Azure Synapse Analytics SQL-készlethez felügyelt identitás hitelesítési móddal való csatlakoztatásához szükséges lépéseket.
Először létrehoz egy rendszer által hozzárendelt felügyelt identitást a Stream Analytics-feladathoz. Ez a feladat identitása a Microsoft Entra-azonosítóban.
Adjon hozzá egy Active Directory-rendszergazdát az SQL Serverhez vagy a Synapse-munkaterülethez, amely lehetővé teszi a Microsoft Entra ID (Managed Identity) hitelesítését az adott erőforráshoz.
Ezután hozzon létre egy tartalmazott felhasználót, amely a Stream Analytics-feladat identitását jelöli az adatbázisban. Amikor a Stream Analytics-feladat együttműködik az SQL DB- vagy Synapse SQL DB-erőforrással, ez az identitás, amelyre a Stream Analytics-feladat engedélyeinek ellenőrzéséhez fog hivatkozni.
Adjon engedélyeket a Stream Analytics-feladatnak az SQL Database- vagy Synapse SQL-készletek eléréséhez.
Végül adja hozzá az Azure SQL Database/Azure Synapse Analytics-et kimenetként a Stream Analytics-feladathoz.
Előfeltételek
A funkció használatához a következők szükségesek:
Azure Stream Analytics-feladat.
Egy Azure SQL Database-erőforrás.
Felügyelt identitás létrehozása
Először létrehoz egy felügyelt identitást az Azure Stream Analytics-feladathoz.
Az Azure Portalon nyissa meg az Azure Stream Analytics-feladatot.
A bal oldali navigációs menüben válassza a Konfigurálás területen található Felügyelt identitás lehetőséget. Ezután jelölje be a Rendszer által hozzárendelt felügyelt identitás használata melletti jelölőnégyzetet, és válassza a Mentés lehetőséget.
A Stream Analytics-feladat identitásához tartozó szolgáltatásnév a Microsoft Entra-azonosítóban jön létre. Az újonnan létrehozott identitás életciklusát az Azure kezeli. A Stream Analytics-feladat törlésekor a társított identitást (azaz a szolgáltatásnevet) az Azure automatikusan törli.
A felhasználó által hozzárendelt felügyelt identitásra is válthat.
A konfiguráció mentésekor a szolgáltatásnév objektumazonosítója (OID) az alábbiak szerint egyszerű azonosítóként jelenik meg:
A szolgáltatásnév neve megegyezik a Stream Analytics-feladat nevével. Ha például a feladat neve MyASAJob, akkor a szolgáltatásnév neve is MyASAJob.
Active Directory-rendszergazda kiválasztása
Miután létrehozott egy felügyelt identitást, ki kell választania egy Active Directory-rendszergazdát.
Lépjen az Azure SQL Database vagy az Azure Synapse Analytics SQL-készlet erőforrására, és válassza ki azt az SQL Servert vagy Synapse-munkaterületet, amely alatt az erőforrás található. Ezekre mutató hivatkozást az erőforrás áttekintési lapján találja a Kiszolgáló neve vagy a Munkaterület neve mellett.
Válassza az Active Directory Rendszergazda vagy az SQL Active Directory Rendszergazda lehetőséget az Gépház alatt az SQL Serverhez és a Synapse-munkaterülethez. Ezután válassza a Rendszergazda beállítása lehetőséget.
Az Active Directory felügyeleti lapján keressen rá egy felhasználóra vagy csoportra az SQL Server rendszergazdájaként, és kattintson a Kiválasztás gombra. Ez lesz az a felhasználó, aki a következő szakaszban létrehozhatja a tartalmazott adatbázis felhasználóját .
Az Active Directory felügyeleti lapja az Active Directory összes tagját és csoportját megjeleníti. A kiszürkített felhasználók vagy csoportok nem jelölhetők ki, mivel a Microsoft Entra rendszergazdái nem támogatják őket. Tekintse meg a támogatott rendszergazdák listáját a Microsoft Entra-hitelesítés HASZNÁLATA AZ SQL Database-lel vagy az Azure Synapse-val való hitelesítéshez című Microsoft Entra-szolgáltatások és korlátozások című szakaszában.
Válassza a Mentés lehetőséget az Active Directory felügyeleti lapján. A rendszergazda módosításának folyamata néhány percet vesz igénybe.
Tartalmazott adatbázis-felhasználó létrehozása
Ezután létrehoz egy tartalmazott adatbázis-felhasználót az Azure SQL-ben vagy az Azure Synapse-adatbázisban, amely a Microsoft Entra-identitásra van leképezve. A tartalmazott adatbázis-felhasználó nem rendelkezik bejelentkezéssel az elsődleges adatbázishoz, de az adatbázishoz társított címtárban lévő identitáshoz van leképezve. A Microsoft Entra-identitás lehet egyéni felhasználói fiók vagy csoport. Ebben az esetben egy tartalmazott adatbázis-felhasználót szeretne létrehozni a Stream Analytics-feladathoz.
További információkért tekintse át a következő cikket a Microsoft Entra-integráció hátteréről: Univerzális hitelesítés az SQL Database-sel és az Azure Synapse Analytics szolgáltatással (SSMS-támogatás az MFA-hoz)
Csatlakozás az Azure SQL-hez vagy az Azure Synapse-adatbázishoz az SQL Server Management Studióval. A felhasználónév egy Microsoft Entra-felhasználó, aki az ALTER ANY U Standard kiadás R engedéllyel rendelkezik. Példa erre az SQL Serveren beállított rendszergazda. A Microsoft Entra ID használata – Univerzális MFA-hitelesítéssel .
A kiszolgáló neve
<SQL Server name>.database.windows.net
különböző régiókban eltérő lehet. Például a kínai régiónak kell használnia<SQL Server name>.database.chinacloudapi.cn
.Megadhat egy adott Azure SQL- vagy Azure Synapse-adatbázist a Beállítások Csatlakozás ion properties Csatlakozás to Database (Beállítások > Csatlakozás ion properties > Csatlakozás to Database) elemre kattintva.
Amikor első alkalommal csatlakozik, a következő ablak jelenhet meg:
- Ha igen, nyissa meg az SQL Server/Synapse Workspace-erőforrást az Azure Portalon. A Biztonság szakaszban nyissa meg a Tűzfalak és a virtuális hálózat/Tűzfalak lapot.
- Adjon hozzá egy új szabályt bármilyen szabálynévvel.
- Használja a Feladó IP-címet az Új tűzfalszabály ablakból a Kezdő IP-címhez.
- Használja a Címzett IP-címet a Záró IP-cím új tűzfalszabály ablakából.
- Válassza a Mentés lehetőséget, és próbáljon meg újra csatlakozni az SQL Server Management Studióból.
Miután csatlakozott, hozza létre a tartalmazott adatbázis-felhasználót. A következő SQL-parancs létrehoz egy tartalmazott adatbázis-felhasználót, amelynek neve megegyezik a Stream Analytics-feladat nevével. Ügyeljen arra, hogy a zárójelek a ASA_JOB_NAME köré legyenek foglalva. Használja a következő T-SQL-szintaxist, és futtassa a lekérdezést.
CREATE USER [ASA_JOB_NAME] FROM EXTERNAL PROVIDER;
Annak ellenőrzéséhez, hogy helyesen adta-e hozzá a tartalmazott adatbázis felhasználóját, futtassa a következő parancsot az SSMS-ben a kapcsolódó adatbázis alatt, és ellenőrizze, hogy a ASA_JOB_NAME a "név" oszlop alatt van-e.
SELECT * FROM <SQL_DB_NAME>.sys.database_principals WHERE type_desc = 'EXTERNAL_USER'
Ahhoz, hogy a Microsoft Microsoft Entra-azonosítója ellenőrizze, hogy a Stream Analytics-feladat rendelkezik-e hozzáféréssel az SQL Database-hez, engedélyt kell adnunk a Microsoft Entra-nak az adatbázissal való kommunikációhoz. Ehhez lépjen ismét a "Tűzfalak és virtuális hálózat"/"Tűzfalak" lapra az Azure Portalon, és engedélyezze az "Azure-szolgáltatások és erőforrások hozzáférésének engedélyezése ehhez a kiszolgálóhoz/munkaterülethez".
Stream Analytics-feladatok engedélyeinek megadása
Miután létrehozott egy tartalmazott adatbázis-felhasználót, és hozzáférést adott az Azure-szolgáltatásokhoz a portálon az előző szakaszban leírtak szerint, a Stream Analytics-feladat rendelkezik engedéllyel a felügyelt identitástól, hogy felügyelt identitáson keresztül csatlakozzon az Azure SQL-adatbázis-erőforráshoz. Javasoljuk, hogy adja meg a Standard kiadás LECT és az IN Standard kiadás RT engedélyeket a Stream Analytics-feladathoz, mivel ezekre a Stream Analytics-munkafolyamat későbbi részében lesz szükség. A Standard kiadás LECT-engedély lehetővé teszi a feladat számára, hogy tesztelje a kapcsolatot az Azure SQL-adatbázis táblájával. Az IN Standard kiadás RT-engedély lehetővé teszi a teljes körű Stream Analytics-lekérdezések tesztelését, miután konfigurált egy bemenetet és az Azure SQL-adatbázis kimenetét.
Ezeket az engedélyeket az SQL Server Management Studióval adhatja meg a Stream Analytics-feladathoz. További információt a GRANT (Transact-SQL) referenciában talál.
Ha csak egy adott táblára vagy objektumra szeretne engedélyt adni az adatbázisban, használja az alábbi T-SQL-szintaxist, és futtassa a lekérdezést.
GRANT CONNECT TO ASA_JOB_NAME;
GRANT SELECT, INSERT ON OBJECT::TABLE_NAME TO ASA_JOB_NAME;
Másik lehetőségként kattintson a jobb gombbal az Azure SQL- vagy Az Azure Synapse-adatbázisra az SQL Server Management Studióban, és válassza a Tulajdonságok > engedélyek lehetőséget. Az engedélyek menüben láthatja a korábban hozzáadott Stream Analytics-feladatot, és manuálisan adhat meg vagy tagadhat meg engedélyeket, ahogy ön látja.
A ASA_JOB_NAME felhasználóhoz hozzáadott összes engedély megtekintéséhez futtassa a következő parancsot az SSMS-ben a vonatkozó adatbázis alatt:
SELECT dbprin.name, dbprin.type_desc, dbperm.permission_name, dbperm.state_desc, dbperm.class_desc, object_name(dbperm.major_id)
FROM sys.database_principals dbprin
LEFT JOIN sys.database_permissions dbperm
ON dbperm.grantee_principal_id = dbprin.principal_id
WHERE dbprin.name = '<ASA_JOB_NAME>'
Azure SQL Database- vagy Azure Synapse-kimenet létrehozása
Megjegyzés:
Ha a felügyelt SQL-példányt (MI) használja referenciabemenetként, konfigurálnia kell egy nyilvános végpontot a felügyelt SQL-példányban. Az adatbázistulajdonság konfigurálásakor meg kell adnia a teljes tartománynevet a porttal együtt. Például: sampleserver.public.database.windows.net,3342.
Most, hogy konfigurálta a felügyelt identitást, készen áll egy Azure SQL Database- vagy Azure Synapse-kimenet hozzáadására a Stream Analytics-feladathoz.
Győződjön meg arról, hogy létrehozott egy táblát az SQL Database-ben a megfelelő kimeneti sémával. A tábla neve az egyik kötelező tulajdonság, amelyet ki kell tölteni, amikor hozzáadja az SQL Database kimenetét a Stream Analytics-feladathoz. Győződjön meg arról is, hogy a feladat rendelkezik Standard kiadás LECT és IN Standard kiadás RT engedélyekkel a kapcsolat teszteléséhez és Stream Analytics-lekérdezések futtatásához. Ha még nem tette meg, tekintse meg a Stream Analytics-feladatok engedélyeinek megadására vonatkozó szakaszt.
Lépjen vissza a Stream Analytics-feladathoz, és lépjen a Feladattopológia alatti Kimenetek lapra.
Válassza az SQL Database hozzáadása > lehetőséget. Az SQL Database kimeneti fogadójának kimeneti tulajdonságok ablakában válassza a Felügyelt identitás lehetőséget a Hitelesítési mód legördülő menüből.
Töltse ki a többi tulajdonságot. Az SQL Database-kimenetek létrehozásával kapcsolatos további információkért lásd : SQL Database-kimenet létrehozása a Stream Analytics használatával. Ha végzett, válassza a Mentés lehetőséget.
A Mentés gombra kattintás után az erőforráshoz való kapcsolódási tesztnek automatikusan aktiválnia kell. A sikeres befejezés után sikeresen konfigurálta a Stream Analytics-feladatot, hogy felügyelt identitáshitelesítési móddal csatlakozzon Önhöz az Azure SQL Database-hez vagy a Synapse SQL Database-hez.
További lépések az SQL-referenciaadatokhoz
Az Azure Stream Analytics megköveteli a feladat tárfiókjának konfigurálását sql-referenciaadatok használatakor. Ez a tárfiók a Stream Analytics-feladathoz kapcsolódó tartalmak, például sql-referenciaadat-pillanatképek tárolására szolgál.
A társított tárfiók beállításához kövesse az alábbi lépéseket:
A Stream Analytics feladatlapján válassza a Storage-fiók beállításait a Bal oldali menü Konfigurálás területén.
A Tárfiók beállításai lapon válassza a Tárfiók hozzáadása lehetőséget.
Kövesse az utasításokat a tárfiók beállításainak konfigurálásához.
Fontos
- A kapcsolati sztring való hitelesítéshez le kell tiltania a tárfiók tűzfalbeállítását.
- A felügyelt identitással való hitelesítéshez fel kell vennie a Stream Analytics-feladatot a tárfiók hozzáférés-vezérlési listájára a Storage Blob-adatszolgáltatói szerepkörhöz és a Storage Table Data Közreműködői szerepkörhöz. Ha nem ad hozzáférést a feladathoz, a feladat nem fog tudni műveleteket végrehajtani. A hozzáférés biztosításáról további információt az Azure RBAC használata felügyelt identitáshoz való hozzáférés másik erőforráshoz való hozzárendelésével kapcsolatban talál.
További lépések a felhasználó által hozzárendelt felügyelt identitással
Ismételje meg a lépéseket, ha a felhasználó által hozzárendelt felügyelt identitást választotta az ASA és a Synapse összekapcsolásához:
- Hozzon létre egy tartalmazott adatbázis-felhasználót. Cserélje le ASA_Job_Name felhasználó által hozzárendelt felügyelt identitásra. Lásd az alábbi példát.
CREATE USER [User-Assigned Managed Identit] FROM EXTERNAL PROVIDER;
- Adjon engedélyeket a felhasználó által hozzárendelt felügyelt identitásnak. Cserélje le ASA_Job_Name felhasználó által hozzárendelt felügyelt identitásra.
További részletekért tekintse meg a fenti szakaszokat.
Felügyelt identitás eltávolítása
A Stream Analytics-feladathoz létrehozott felügyelt identitás csak a feladat törlésekor törlődik. A felügyelt identitás nem törölhető a feladat törlése nélkül. Ha már nem szeretné használni a felügyelt identitást, módosíthatja a kimenet hitelesítési módját. A felügyelt identitás a feladat törléséig továbbra is létezik, és akkor lesz használatban, ha úgy dönt, hogy ismét a felügyelt identitás hitelesítését használja.
Következő lépések
- Az Azure Stream Analytics kimeneteinek ismertetése
- Azure Stream Analytics-kimenet az Azure SQL Database-be
- Az Azure Stream Analyticsből az Azure SQL Database-be irányuló átviteli teljesítmény növelése
- Referenciaadatok használata SQL Database-ből azure Stream Analytics-feladathoz
- Rekordok frissítése vagy egyesítése az Azure SQL Database-ben az Azure Functions használatával
- Rövid útmutató: Stream Analytics-feladat létrehozása az Azure Portal használatával
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: