Menggunakan autentikasi Microsoft Entra untuk autentikasi dengan Synapse SQL

Autentikasi Microsoft Entra adalah mekanisme yang terhubung ke Azure Synapse Analytics dengan menggunakan identitas di ID Microsoft Entra.

Dengan autentikasi Microsoft Entra, Anda dapat mengelola identitas pengguna secara terpusat yang memiliki akses ke Azure Synapse untuk menyederhanakan manajemen izin. Manfaatnya meliputi:

• Menyediakan alternatif untuk autentikasi kata sandi dan nama pengguna reguler.
• Membantu menghentikan proliferasi identitas pengguna di seluruh server.
• Mengizinkan rotasi kata sandi di satu tempat.
• Pelanggan dapat mengelola izin menggunakan grup eksternal (MICROSOFT Entra ID).
• Ini dapat menghilangkan penyimpanan kata sandi dengan mengaktifkan autentikasi Windows terintegrasi dan bentuk autentikasi lain yang didukung oleh ID Microsoft Entra.
• MICROSOFT Entra ID mendukung autentikasi berbasis token untuk aplikasi yang terhubung ke Azure Synapse.
• Autentikasi Microsoft Entra mendukung ADFS (federasi domain) atau autentikasi pengguna/kata sandi asli untuk ID Microsoft Entra lokal tanpa sinkronisasi domain.
• MICROSOFT Entra ID mendukung koneksi dari SQL Server Management Studio yang menggunakan Active Directory Universal Authentication, yang mencakup autentikasi multifaktor (MFA). MFA menyertakan autentikasi yang kuat dengan berbagai opsi verifikasi yang mudah — panggilan telepon, pesan teks, kartu pintar dengan pin, atau pemberitahuan aplikasi ponsel. Untuk informasi selengkapnya, lihat Dukungan SSMS untuk autentikasi multifaktor Microsoft Entra dengan Synapse SQL.
• MICROSOFT Entra ID mendukung koneksi serupa dari SQL Server Data Tools (SSDT) yang menggunakan Active Directory Interactive Authentication. Untuk informasi selengkapnya, lihat Dukungan ID Microsoft Entra di SQL Server Data Tools (SSDT).

Langkah-langkah konfigurasi mencakup prosedur berikut untuk mengonfigurasi dan menggunakan autentikasi Microsoft Entra.

1. Buat dan isi ID Microsoft Entra.
2. Membuat identitas Microsoft Entra
3. Menetapkan peran untuk membuat identitas Microsoft Entra di ruang kerja Synapse
4. Koneksi ke Synapse Studio dengan menggunakan identitas Microsoft Entra.

Pass-through Microsoft Entra di Azure Synapse Analytics

Azure Synapse Analytics memungkinkan Anda mengakses data di data lake menggunakan identitas Microsoft Entra Anda.

Dengan menentukan hak akses pada file dan data yang dipatuhi di berbagai mesin data, Anda dapat menyederhanakan solusi data lake dengan memiliki satu tempat untuk menentukan izin, alih-alih harus menentukannya di beberapa tempat.

Arsitektur kepercayaan

Diagram tingkat tinggi berikut ini meringkas arsitektur solusi penggunaan autentikasi Microsoft Entra dengan Synapse SQL. Untuk mendukung kata sandi pengguna asli Microsoft Entra, hanya bagian Cloud dan Azure AD/Synapse Synapse SQL yang dipertimbangkan. Untuk mendukung autentikasi Federasi (atau pengguna/kata sandi untuk info masuk Windows), diperlukan komunikasi dengan blok ADFS. Tanda panah menunjukkan jalur komunikasi.

Diagram berikut menunjukkan hubungan federasi, kepercayaan, dan hosting yang memungkinkan klien menyambungkan ke database dengan mengirimkan token. Token diautentikasi oleh ID Microsoft Entra, dan dipercaya oleh database.

Pelanggan 1 dapat mewakili ID Microsoft Entra dengan pengguna asli atau ID Microsoft Entra dengan pengguna federasi. Pelanggan 2 mewakili solusi yang mungkin termasuk pengguna yang diimpor; dalam contoh ini berasal dari ID Microsoft Entra federasi dengan ADFS yang disinkronkan dengan ID Microsoft Entra.

Penting untuk dipahami bahwa akses ke database menggunakan autentikasi Microsoft Entra mengharuskan langganan hosting dikaitkan dengan ID Microsoft Entra. Langganan yang sama harus digunakan untuk membuat SQL Server yang menghosting Azure SQL Database atau kumpulan SQL khusus.

Struktur admin

Saat menggunakan autentikasi Microsoft Entra, ada dua akun Administrator untuk Synapse SQL; administrator SQL asli (menggunakan autentikasi SQL) dan administrator Microsoft Entra. Hanya administrator berdasarkan akun Microsoft Entra yang dapat membuat pengguna database berisi ID Microsoft Entra pertama dalam database pengguna.

Login administrator Microsoft Entra dapat menjadi pengguna Microsoft Entra atau grup Microsoft Entra. Ketika administrator adalah akun grup, administrator dapat digunakan oleh anggota grup mana pun, memungkinkan beberapa administrator Microsoft Entra untuk instans Synapse SQL.

Menggunakan akun grup sebagai administrator meningkatkan pengelolaan dengan memungkinkan Anda menambahkan dan menghapus anggota grup secara terpusat di ID Microsoft Entra tanpa mengubah pengguna atau izin di ruang kerja Azure Synapse Analytics. Hanya satu administrator Microsoft Entra (pengguna atau grup) yang dapat dikonfigurasi kapan saja.

Izin

Untuk membuat pengguna baru, Anda harus memiliki izin ALTER ANY USER dalam database. Izin ALTER ANY USER dapat diberikan kepada pengguna database mana pun. Izin ALTER ANY USER juga dipegang oleh administrator SQL dan akun administrator Microsoft Entra, dan pengguna database dengan izin atau ALTER ON DATABASE untuk database tersebut CONTROL ON DATABASEdb_owner, dan oleh anggota peran database.

Untuk membuat pengguna database mandiri di Synapse SQL, Anda harus tersambung ke database atau instans menggunakan identitas Microsoft Entra. Untuk membuat pengguna database mandiri pertama, Anda harus menyambungkan ke database dengan menggunakan administrator Microsoft Entra (yang merupakan pemilik database).

Autentikasi Microsoft Entra apa pun hanya dimungkinkan jika admin Microsoft Entra dibuat untuk Synapse SQL. Jika admin Microsoft Entra dihapus dari server, pengguna Microsoft Entra yang sudah ada yang dibuat sebelumnya di dalam Synapse SQL tidak dapat lagi tersambung ke database menggunakan kredensial Microsoft Entra mereka.

Nonaktifkan autentikasi lokal

Dengan hanya mengizinkan autentikasi Microsoft Entra, kelola akses ke sumber daya Azure Synapse secara terpusat, seperti kumpulan SQL. Untuk menonaktifkan autentikasi lokal di Synapse selama pembuatan ruang kerja, pilih Gunakan hanya autentikasi Microsoft Entra sebagai metode autentikasi. Data masuk Administrator SQL masih akan dibuat tetapi akan dinonaktifkan. Autentikasi lokal dapat diaktifkan nanti oleh Pemilik atau Kontributor Azure di ruang kerja Synapse.

Anda juga dapat menonaktifkan autentikasi lokal setelah ruang kerja dibuat melalui portal Azure. Autentikasi lokal tidak dapat dinonaktifkan hingga admin Microsoft Entra dibuat untuk ruang kerja Azure Synapse.

Fitur dan batasan Microsoft Entra

• Anggota ID Microsoft Entra berikut dapat disediakan di Synapse SQL:

  • Anggota asli: Anggota yang dibuat di ID Microsoft Entra di domain terkelola atau di domain pelanggan. Untuk informasi selengkapnya, lihat Menambahkan nama domain Anda sendiri ke ID Microsoft Entra.
  • Anggota domain gabungan: Anggota yang dibuat di MICROSOFT Entra ID dengan domain federasi. Untuk informasi selengkapnya, lihat Menyebarkan Layanan Federasi Direktori Aktif di Azure.
  • Anggota yang diimpor dari Microsoft Azure AD lain yang merupakan anggota domain asli atau terfederasi.
  • Grup Direktori Aktif dibuat sebagai grup keamanan.

• Pengguna Microsoft Entra yang merupakan bagian dari grup yang memiliki db_owner peran server tidak dapat menggunakan sintaksIS CREATE DATABASE SCOPED CREDENTIAL di Synapse SQL. Anda akan melihat kesalahan berikut:

  SQL Error [2760] [S0001]: The specified schema name 'user@mydomain.com' either does not exist or you do not have permission to use it.

  db_owner Berikan peran langsung kepada pengguna Microsoft Entra individual untuk mengurangi masalah CREATE DATABASE SCOPED CREDENTIAL.

• Fungsi sistem ini mengembalikan nilai NULL saat dijalankan di bawah prinsipal Microsoft Entra:

  • SUSER_ID()
  • SUSER_NAME(<admin ID>)
  • SUSER_SNAME(<admin SID>)
  • SUSER_ID(<admin name>)
  • SUSER_SID(<admin name>)

Koneksi menggunakan identitas Microsoft Entra

Autentikasi Microsoft Entra mendukung metode menyambungkan ke database berikut menggunakan identitas Microsoft Entra:

• Kata Sandi Microsoft Entra
• Microsoft Entra terintegrasi
• Microsoft Entra Universal dengan MFA
• Menggunakan autentikasi token aplikasi

Metode autentikasi berikut didukung untuk prinsipal server Microsoft Entra (masuk):

• Kata Sandi Microsoft Entra
• Microsoft Entra terintegrasi
• Microsoft Entra Universal dengan MFA

Pertimbangan tambahan

• Untuk meningkatkan pengelolaan, kami sarankan Anda menyediakan grup Microsoft Entra khusus sebagai administrator.
• Hanya satu administrator Microsoft Entra (pengguna atau grup) yang dapat dikonfigurasi untuk kumpulan Synapse SQL kapan saja.
  • Penambahan prinsipal server Microsoft Entra (login) untuk Synapse SQL memungkinkan kemungkinan membuat beberapa prinsipal server Microsoft Entra (login) yang dapat ditambahkan ke peran tersebut sysadmin .
• Hanya administrator Microsoft Entra untuk Synapse SQL yang awalnya dapat tersambung ke Synapse SQL menggunakan akun Microsoft Entra. Administrator Direktori Aktif dapat mengonfigurasi pengguna database Microsoft Entra berikutnya.
• Sebaiknya atur batas waktu koneksi ke 30 detik.
• SQL Server 2016 Management Studio dan SQL Server Data Tools for Visual Studio 2015 (versi 14.0.60311.1April 2016 atau yang lebih baru) mendukung autentikasi Microsoft Entra. (Autentikasi Microsoft Entra didukung oleh Penyedia Data .NET Framework untuk SqlServer; setidaknya versi .NET Framework 4.6). Jadi, versi terbaru dari alat dan aplikasi tingkat data ini (DAC dan . BACPAC) dapat menggunakan autentikasi Microsoft Entra.
• Dimulai dengan versi 15.0.1, utilitas sqlcmd dan utilitas bcp mendukung autentikasi Interaktif Direktori Aktif dengan MFA.
• SQL Server Data Tools fo Visual Studio 2015 memerlukan setidaknya Data Tools versi April 2016 (versi 14.0.60311.1). Saat ini, pengguna Microsoft Entra tidak ditampilkan di SSDT Object Explorer. Sebagai solusinya, lihat pengguna di sys.database_principals.
• Microsoft JDBC Driver 6.0 untuk SQL Server mendukung autentikasi Microsoft Entra. Lihat juga, Mengatur Properti Koneksi.
• Akun admin Microsoft Entra mengontrol akses ke kumpulan khusus, sementara peran RBAC Synapse digunakan untuk mengontrol akses ke kumpulan tanpa server, misalnya, dengan peran Administrator Synapse dan Administrator Synapse SQL. Konfigurasikan peran Synapse RBAC melalui Synapse Studio, untuk informasi selengkapnya, lihat Cara mengelola penetapan peran Synapse RBAC di Synapse Studio.
• Jika pengguna dikonfigurasi sebagai administrator Microsoft Entra dan Administrator Synapse, lalu dihapus dari peran administrator Microsoft Entra, maka pengguna akan kehilangan akses ke kumpulan SQL khusus di Synapse. Mereka harus dihapus dan kemudian ditambahkan ke peran Administrator Synapse untuk mendapatkan kembali akses ke kumpulan SQL khusus.

Langkah berikutnya

• Untuk ringkasan akses dan kontrol di Synapse SQL, lihat Kontrol akses Synapse SQL.
• Untuk informasi selengkapnya tentang prinsipal database, lihat Prinsipal.
• Untuk informasi lengkap peran database, lihat Peran database.