Megosztás a következőn keresztül:

Microsoft Entra-hitelesítés az SQL-hitelesítés alternatívaként

  • Cikk

A következőkre vonatkozik:✅ SQL Analytics-végpont és Warehouse a Microsoft Fabricben

Ez a cikk azokat a technikai módszereket ismerteti, amelyekkel a felhasználók és az ügyfelek áttérhetnek az SQL-hitelesítésről a Microsoft Entra-hitelesítésre a Microsoft Fabricen belül. A Microsoft Entra-hitelesítés a felhasználónevek és jelszavak alternatíva az SQL-hitelesítésen keresztül a lakehouse vagy a Microsoft Fabric-adattárház SQL Analytics-végpontjára való bejelentkezéshez. A Microsoft Entra-hitelesítés ajánlott és létfontosságú a biztonságos adatplatform létrehozásához.

Ez a cikk a Microsoft Entra-hitelesítésre összpontosít, mint az SQL-hitelesítés alternatívaként a Microsoft Fabric-elemekben, például a Warehouse vagy a Lakehouse SQL Analytics-végpontokban.

A Microsoft Entra-hitelesítés előnyei a Fabricben

A Microsoft Fabric egyik alapelve a biztonságos tervezés. A Microsoft Entra a Microsoft Fabric biztonságának szerves részét képezi az erős adatvédelem, szabályozás és megfelelőség biztosításával.

A Microsoft Entra számos okból fontos szerepet játszik a Microsoft Fabric biztonságában:

  • Hitelesítés: Felhasználók és szolgáltatásnevek ellenőrzése a Microsoft Entra ID használatával, amely hozzáférési jogkivonatokat biztosít a Fabricen belüli műveletekhez.
  • Biztonságos hozzáférés: Csatlakozzon biztonságosan a felhőalkalmazásokhoz bármilyen eszközről vagy hálózatról, védve a Fabricnek küldött kéréseket.
  • Feltételes hozzáférés: A rendszergazdák olyan házirendeket állíthatnak be, amelyek értékelik a felhasználói bejelentkezési környezetet, szabályozhatják a hozzáférést, vagy további ellenőrzési lépéseket hajthatnak végre.
  • Integráció: A Microsoft Entra ID zökkenőmentesen működik az összes Microsoft SaaS-ajánlattal, beleértve a Fabricet is, így könnyen elérheti az eszközöket és a hálózatokat.
  • Széles platform: Hozzáférés a Microsoft Fabrichez a Microsoft Entra-azonosítóval bármilyen módszerrel, akár a Fabric portálon, az SQL kapcsolati sztring, a REST API-on vagy az XMLA-végponton keresztül.

A Microsoft Entra teljes Teljes felügyelet szabályzatot vezet be, amely kiváló alternatívát kínál a hagyományos SQL-hitelesítés helyett, amely a felhasználónevekre és jelszavakra korlátozódik. Ez a megközelítés:

  • Megakadályozza a felhasználók megszemélyesítését.
  • Lehetővé teszi a részletes hozzáférés-vezérlést a felhasználói identitás, a környezet, az eszközök stb. figyelembevételével.
  • Támogatja a fejlett biztonságot, például a Microsoft Entra többtényezős hitelesítést.

Hálókonfiguráció

A Warehouse vagy a Lakehouse SQL Analytics-végponttal való használathoz a Microsoft Entra-hitelesítéshez a bérlői és a munkaterületi beállításokban is konfigurálnia kell.

Bérlői beállítás

A bérlő fabric-rendszergazdájának engedélyeznie kell az SPN-hozzáférést a Fabric API-khoz, ami ahhoz szükséges, hogy az SPN hozzáférhessen az SQL-kapcsolati sztring a Fabric Warehouse-hoz vagy az SQL Analytics-végpontelemekhez.

Ez a beállítás a Fejlesztői beállítások szakaszban található, és az ios címkével ellátott szolgáltatásnevek használhatják a Fabric API-kat. Győződjön meg arról, hogy engedélyezve van.

Képernyőkép a Bérlői beállítások lapon található Fejlesztői beállítások lap Fabric portáljáról.

Munkaterület beállítása

A munkaterület háló rendszergazdájának hozzáférést kell adnia egy felhasználónak/spN-nek a Fabric-elemek eléréséhez.

A felhasználó/SPN kétféleképpen biztosítható:

  • Adjon felhasználói/SPN-tagságot a munkaterület-közreműködői szerepkörnek: A munkaterület-közreműködői szerepkör lehetővé teszi, hogy a felhasználó/SPN-identitás sql-kapcsolati sztring keresztül férhessen hozzá az összes Fabric-elemhez.

    1. A Munkaterület hozzáférés-kezelés lehetőségében rendelje hozzá a közreműködői szerepkört. További információ: Szolgáltatásszerepkörök.

    Képernyőkép a Háló portálról, amelyen egy felhasználóhoz rendelt közreműködői szerepkör látható a munkaterület Hozzáférés kezelése lehetőségében.

  • Felhasználó/SPN hozzárendelése egy adott elemhez: Hozzáférés biztosítása egy adott Warehouse- vagy SQL Analytics-végponthoz. A hálógazdák különböző jogosultsági szintek közül választhatnak.

    1. Lépjen a megfelelő Warehouse- vagy SQL Analytics-végpontelemre.
    2. Válassza a További beállítások lehetőséget, majd az Engedélyek kezelése lehetőséget. Válassza a Felhasználó hozzáadása lehetőséget.
    3. Adja hozzá a felhasználót/egyszerű felhasználónevet a Személyek hozzáférésének engedélyezése lapon.
    4. Rendelje hozzá a szükséges engedélyeket egy felhasználóhoz/egyszerű szolgáltatásnévhez. Ha nem szeretne további engedélyeket megadni, csak a kapcsolódási engedélyeket adja meg.

    Képernyőkép a Személyek hozzáférésének engedélyezése lap Háló portáljáról.

Módosíthatja a rendszer által a Felhasználónak/SPN-nek adott alapértelmezett engedélyeket. A T-SQL GRANT és a DENY parancsokkal szükség szerint módosíthatja az engedélyeket, vagy az ALTER ROLE-t a szerepkörökhöz való tagság hozzáadásához.

Az SPN-k jelenleg nem rendelkeznek a felhasználói fiókokkal a részletes engedélykonfigurációhoz GRANT/DENY.

Felhasználói identitások és egyszerű szolgáltatásnevek (SPN-ek) támogatása

A Fabric natív módon támogatja a Microsoft Entra-felhasználók és szolgáltatásnevek (SPN) hitelesítését és engedélyezését a raktári és SQL Analytics-végpontelemekhez kapcsolódó SQL-kapcsolatokban.

  • A felhasználói identitások a szervezet minden felhasználójának egyedi hitelesítő adatai.
  • Az SPN-k a bérlőn belüli alkalmazásobjektumokat jelölik, és identitásként szolgálnak az alkalmazások példányai számára, figyelembe véve az alkalmazások hitelesítésének és engedélyezésének szerepét.

Táblázatos adatfolyam (TDS) támogatása

A Fabric natív módon támogatja a Tabular Data Stream (TDS) protokollt, más néven SQL kapcsolati sztring. A Fabric ezért kompatibilis minden olyan alkalmazással vagy eszközzel, amely képes csatlakozni egy termékhez az SQL Database Engine-rel. Az SQL Server-példánykapcsolathoz hasonlóan a TDS az 1433-at futtató TCP-porton működik. A Fabric SQL-kapcsolatról további információt a Kapcsolat című témakörben talál.

A kapcsolati sztring beszerzéséhez válassza a Hálóraktár vagy az SQL Analytics végpontelem további beállításait.

Képernyőkép a Háló portálról a További beállítások helyi menüből. Az SQL kapcsolati sztring másolása lehetőség ki van emelve.

A minta SQL-kapcsolati sztring a következőképpen néz ki: <guid_unique_your_item>.datawarehouse.fabric.microsoft.com.

Az alkalmazások és az ügyféleszközök beállíthatják a Authentication kapcsolati tulajdonságot a kapcsolati sztring a Microsoft Entra hitelesítési mód kiválasztásához. Az alábbi táblázat részletesen ismerteti a különböző Entra hitelesítési módokat, beleértve a Microsoft Entra többtényezős hitelesítés (MFA) támogatását is.

Hitelesítési mód Forgatókönyvek Megjegyzések
Microsoft Entra Interactive Az alkalmazások vagy eszközök olyan helyzetekben használják, amikor a felhasználói hitelesítés interaktív módon történhet, vagy ha elfogadható, hogy manuális beavatkozást alkalmazzon a hitelesítő adatok ellenőrzéséhez. Az MFA és a Microsoft Entra feltételes hozzáférési szabályzatok aktiválása a szervezeti szabályok kényszerítéséhez.
Microsoft Entra szolgáltatásnév Az alkalmazások az alkalmazásintegrációhoz leginkább megfelelő, emberi beavatkozás nélküli biztonságos hitelesítéshez használják. Ajánlott engedélyezni a Microsoft Entra feltételes hozzáférési szabályzatokat.
Microsoft Entra jelszó Ha az alkalmazások nem tudják használni az SPN-alapú hitelesítést kompatibilitás miatt, vagy általános felhasználónevet és jelszót igényelnek sok felhasználó számára, vagy ha más módszerek nem érhetők el. Az MFA-nak ki kell kapcsolnia, és nem állíthatók be feltételes hozzáférési szabályzatok. Javasoljuk, hogy a megoldás használata előtt ellenőrizze az ügyfél biztonsági csapatával.

A Microsoft Entra hitelesítési módokat és döntési pontokat bemutató folyamatábra.

A Microsoft Entra-hitelesítés illesztőprogram-támogatása

Bár az SQL-illesztőprogramok többsége kezdetben a Microsoft Entra-hitelesítés támogatását kapta, a legutóbbi frissítések kiterjesztették a kompatibilitást az SPN-alapú hitelesítésre. Ez a fejlesztés leegyszerűsíti a Microsoft Entra-hitelesítésre való áttérést a különböző alkalmazások és eszközök esetében az illesztőprogramok frissítésével és a Microsoft Entra-hitelesítés támogatásának hozzáadásával.

Néha azonban további beállításokat is módosítani kell, például engedélyezni kell bizonyos portokat vagy tűzfalakat a Microsoft Entra hitelesítésének megkönnyítéséhez a gazdaszámítógépen.

Az alkalmazásoknak és eszközöknek frissíteniük kell az illesztőprogramokat az Entra-hitelesítést támogató verziókra, és hozzá kell adniuk egy hitelesítési mód kulcsszóját az SQL-kapcsolati sztring, például ActiveDirectoryInteractive, ActiveDirectoryServicePrincipalvagy ActiveDirectoryPassword.

A Fabric kompatibilis a Microsoft natív illesztőprogramjaival, köztük az OLE DB-vel, valamint az olyan általános illesztőprogramokkal, Microsoft.Data.SqlClientmint az ODBC és a JDBC. A Hálóval való együttműködésre való áttérés a Microsoft Entra ID-alapú hitelesítés használatával történő újrakonfigurálással kezelhető.

További információ: Kapcsolat az adattárházhoz a Microsoft Fabricben.

Microsoft OLE DB

Az SQL Serverhez készült OLE DB-illesztő egy önálló adatelérési API, amelyet az OLE DB-hez terveztek, és először az SQL Server 2005-ben (9.x) jelent meg. Mivel a bővített funkciók közé tartozik az SPN-alapú hitelesítés a 18.5.0-s verzióval, hozzáadva a korábbi verziókból származó meglévő hitelesítési módszereket.

Hitelesítési mód SQL-kapcsolati sztring
Microsoft Entra Interactive Microsoft Entra interaktív hitelesítés
Microsoft Entra szolgáltatásnév Microsoft Entra szolgáltatásnév hitelesítése
Microsoft Entra jelszó Microsoft Entra felhasználónév és jelszó-hitelesítés

Az SPN-alapú hitelesítéssel rendelkező OLE DB-t használó C#-kódrészleteket lásd: System.Data.OLEDB.Connect.cs.

Microsoft ODBC-illesztőprogram

Az SQL ServerHez készült Microsoft ODBC-illesztőprogram egyetlen dinamikus csatolású kódtár (DLL), amely futtatási idejű támogatást tartalmaz natív kód api-kat használó alkalmazásokhoz az SQL Serverhez való csatlakozáshoz. Javasoljuk, hogy a fabricbe integrálható alkalmazások legújabb verzióját használja.

További információ a Microsoft Entra ODBC-vel történő hitelesítéséről: A Microsoft Entra ID használata az ODBC-illesztő mintakódjával.

Hitelesítési mód SQL-kapcsolati sztring
Microsoft Entra Interactive DRIVER={ODBC Driver 18 for SQL Server};SERVER=<SQL Connection String>;DATABASE=<DB Name>;UID=<Client_ID@domain>;PWD=<Secret>;Authentication=ActiveDirectoryInteractive
Microsoft Entra szolgáltatásnév DRIVER={ODBC Driver 18 for SQL Server};SERVER=<SQL Connection String>;DATABASE=<DBName>;UID=<Client_ID@domain>;PWD=<Secret>;Authentication=ActiveDirectoryServicePrincipal
Microsoft Entra jelszó DRIVER={ODBC Driver 18 for SQL Server};SERVER=<SQL Connection String>;DATABASE=<DBName>;UID=<Client_ID@domain>;PWD=<Secret>;Authentication=ActiveDirectoryPassword

Ha az ODBC-t spn-alapú hitelesítéssel használó Python-kódrészletet keres, tekintse meg pyodbc-dw-connectivity.py.

Microsoft JDBC-illesztőprogram

Az SQL ServerHez készült Microsoft JDBC-illesztő egy 4-es típusú JDBC-illesztő, amely a Java-platformon elérhető szabványos JDBC-alkalmazásprogramozási felületeken (API-kon) keresztül biztosítja az adatbázis-kapcsolatot.

A 9.2-es mssql-jdbc verziótól kezdődően a 12.2-es és újabb verziók támogatják ActiveDirectoryInteractive ActiveDirectoryServicePrincipalActiveDirectoryPassword és támogatják. Ehhez az illesztőprogramhoz további jarok szükségesek függőségként, amelyeknek kompatibilisnek kell lenniük az mssql-driver alkalmazásban használt verzióval. További információ: A JDBC-illesztő funkciófüggőségei és az ügyfélbeállítási követelmény.

Hitelesítési mód További információ
Microsoft Entra Interactive Csatlakozás ActiveDirectoryInteractive hitelesítési móddal
Microsoft Entra szolgáltatásnév Csatlakozás ActiveDirectoryServicePrincipal hitelesítési móddal
Microsoft Entra jelszó Csatlakozás ActiveDirectoryPassword hitelesítési móddal

Az SPN-alapú hitelesítéssel rendelkező JDBC-t használó Java-kódrészleteket lásd: fabrictoolbox/dw_connect.java és pom-mintafájl pom.xml.

Microsoft.Data.SqlClient a .NET Core-ban (C#)

A Microsoft.Data.SqlClient a Microsoft SQL Server és az Azure SQL Database adatszolgáltatója. Ez a két System.Data.SqlClient összetevő egysége, amelyek egymástól függetlenül élnek a .NET-keretrendszer és a .NET Core-ban, és osztályok készletét biztosítják a Microsoft SQL Server-adatbázisok eléréséhez. Microsoft.Data.SqlClient minden új és jövőbeli fejlesztéshez ajánlott.

Hitelesítési mód További információ
Microsoft Entra Interactive Interaktív hitelesítés használata
Microsoft Entra szolgáltatásnév Egyszerű szolgáltatáshitelesítés használata
Microsoft Entra jelszó Jelszó-hitelesítés használata

Kódrészletek SPN-ek használatával:

Kapcsolódó tartalom