Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Gunakan sampel keamanan SQL Microsoft ini untuk membandingkan cara Penyusun API Data (DAB) mengautentikasi ke SQL, memvalidasi pengguna, dan memberlakukan akses per pengguna. Setiap contoh berdiri sendiri, tetapi rangkaian ini berkembang dari kredensial dasar ke akses Azure SQL yang didelegasikan oleh pengguna.
Pilih mulai cepat
Mulailah dengan pertanyaan yang cocok dengan tujuan Anda.
| Jika Anda ingin... | Gunakan panduan memulai cepat ini |
|---|---|
| Pelajari pola koneksi DAB-ke-SQL yang paling sederhana | Username/password |
| Menghapus kata sandi SQL dari konfigurasi Azure | Identitas yang dikelola |
| Tambahkan validasi token Microsoft Entra sebelum mengharuskan pengguna masuk | Microsoft Entra |
| Memfilter baris di DAB dengan menggunakan klaim token | Kebijakan DAB |
| Memfilter baris di SQL dengan menggunakan keamanan tingkat baris yang diberlakukan database | Keamanan tingkat baris SQL |
| Biarkan Azure SQL mengautentikasi pengguna yang masuk secara langsung | Atas nama untuk Azure SQL |
Hierarki keputusan
- Apakah Anda hanya memerlukan sampel kerja dasar?
- Gunakan Nama pengguna/kata sandi.
- Apakah Anda ingin akses DAB-ke-Azure SQL tanpa kata sandi?
- Gunakan Identitas terkelola.
- Apakah Anda memerlukan DAB untuk memvalidasi token Microsoft Entra?
- Gunakan Microsoft Entra.
- Apakah pengguna yang masuk hanya perlu melihat baris mereka sendiri?
- Jika DAB harus menerapkan filter, gunakan kebijakan DAB.
- Jika SQL harus memberlakukan filter, gunakan keamanan tingkat baris SQL.
- Apakah log audit atau kebijakan database memerlukan pengguna masuk aktual sebagai identitas SQL?
- Gunakan Atas nama untuk Azure SQL.
Membandingkan model keamanan
Kolom penyedia autentikasi DAB menunjukkan nilai efektif untuk runtime.host.authentication.provider. Jika konfigurasi menghilangkan pengaturan ini, DAB menggunakan Unauthenticated. Kecuali untuk nama pengguna/kata sandi dan atas nama sampel, eksekusi lokal menggunakan info masuk SQL dan penyebaran Azure menggunakan identitas terkelola. Sampel on-behalf-of juga menetapkan data-source.user-delegated-auth.provider ke EntraId.
| Quickstart | Pengguna ke aplikasi web | Aplikasi web ke DAB | Penyedia autentikasi DAB | DAB ke SQL |
|---|---|---|---|---|
| Username/password | Anonim | Anonim | Unauthenticated |
Kredensial SQL |
| Identitas yang dikelola | Anonim | Anonim | Unauthenticated |
Identitas terkelola di Azure |
| Microsoft Entra | Anonim | Anonim | EntraId |
Identitas terkelola di Azure |
| Kebijakan DAB | Masuk ke Microsoft Entra | Token pembawa | EntraId |
Identitas terkelola di Azure |
| Keamanan tingkat baris SQL | Masuk ke Microsoft Entra | Token pembawa | EntraId |
Identitas terkelola di Azure |
| Atas nama untuk Azure SQL | Masuk ke Microsoft Entra | Token pembawa | EntraId |
Token yang didelegasikan pengguna ke Azure SQL |