Mengaktifkan autentikasi Microsoft Entra untuk runtime integrasi Azure-SSIS
BERLAKU UNTUK: 
Azure Data Factory Azure Synapse Analytics (Pratinjau)
Tip
Cobalah Data Factory di Microsoft Fabric, solusi analitik all-in-one untuk perusahaan. Microsoft Fabric mencakup semuanya mulai dari pergerakan data hingga ilmu data, analitik real time, kecerdasan bisnis, dan pelaporan. Pelajari cara memulai uji coba baru secara gratis!
Artikel ini memperlihatkan kepada Anda cara mengaktifkan autentikasi Microsoft Entra dengan sistem tertentu/identitas terkelola yang ditetapkan pengguna untuk Azure Data Factory (ADF) atau Azure Synapse dan menggunakannya alih-alih metode autentikasi konvensional (seperti autentikasi SQL) untuk:
Buat waktu proses integrasi Azure-SSIS (IR) yang pada gilirannya akan menyediakan database katalog SSIS (SSISDB) di server Azure SQL Database/Instans Terkelola atas nama Anda.
Menyambungkan ke berbagai sumber daya Azure saat menjalankan paket SSIS di runtime integrasi Azure-SSIS.
Terkait info selengkapnya tentang identitas terkelola untuk ADF Anda, lihat Identitas terkelola untuk Data Factory dan Azure Synapse.
Catatan
Dalam skenario ini, autentikasi Microsoft Entra dengan sistem tertentu/identitas terkelola yang ditetapkan pengguna untuk ADF Anda hanya digunakan dalam provisi dan operasi awal berikutnya dari runtime integrasi Azure-SSIS Anda yang pada gilirannya akan menyediakan dan atau terhubung ke SSISDB. Untuk eksekusi paket SSIS, IR Azure-SSIS Anda akan tetap terhubung ke SSISDB untuk mengambil paket menggunakan autentikasi SQL dengan akun yang dikelola sepenuhnya (AzureIntegrationServiceDbo dan AzureIntegrationServiceWorker) yang dibuat selama provisi SSISDB.
Untuk menggunakan fitur identitas terkelola yang ditetapkan pengguna pengelola koneksi, manajer koneksi OLEDB misalnya, runtime integrasi SSIS perlu disediakan dengan identitas terkelola yang ditetapkan pengguna yang sama yang digunakan di pengelola koneksi.
Jika Anda telah membuat runtime integrasi Azure-SSIS menggunakan autentikasi SQL, Anda tidak dapat mengonfigurasi ulang untuk menggunakan autentikasi Microsoft Entra melalui PowerShell saat ini, tetapi Anda dapat melakukannya melalui aplikasi portal Azure/ADF.
Catatan
Sebaiknya Anda menggunakan modul Azure Az PowerShell untuk berinteraksi dengan Azure. Untuk memulai, lihat Menginstal Azure PowerShell. Untuk mempelajari cara bermigrasi ke modul Az PowerShell, lihat Memigrasikan Azure PowerShell dari AzureRM ke Az.
Mengaktifkan autentikasi Microsoft Entra di Azure SQL Database
Azure SQL Database mendukung pembuatan database dengan pengguna Microsoft Entra. Pertama, Anda perlu membuat grup Microsoft Entra dengan sistem yang ditentukan/identitas terkelola yang ditetapkan pengguna untuk ADF Anda sebagai anggota. Selanjutnya, Anda perlu mengatur pengguna Microsoft Entra sebagai admin Direktori Aktif untuk server Azure SQL Database Anda lalu menyambungkannya di SQL Server Management Studio (SSMS) menggunakan pengguna tersebut. Terakhir, Anda perlu membuat pengguna mandiri yang mewakili grup Microsoft Entra, sehingga identitas terkelola yang ditetapkan sistem/pengguna yang ditentukan untuk ADF Anda dapat digunakan oleh Runtime integrasi Azure-SSIS untuk membuat SSISDB atas nama Anda.
Membuat grup Microsoft Entra dengan sistem yang ditentukan/identitas terkelola yang ditetapkan pengguna untuk ADF Anda sebagai anggota
Anda dapat menggunakan grup Microsoft Entra yang sudah ada atau membuat yang baru menggunakan Azure AD PowerShell.
Instal modul Azure Active Directory PowerShell.
Masuk menggunakan
Connect-AzureAD, jalankan cmdlet berikut untuk membuat grup, dan simpan dalam variabel:$Group = New-AzureADGroup -DisplayName "SSISIrGroup" ` -MailEnabled $false ` -SecurityEnabled $true ` -MailNickName "NotSet"Catatan
Modul Azure ACTIVE Directory dan MSOnline PowerShell tidak digunakan lagi per 30 Maret 2024. Untuk mempelajari lebih lanjut, baca pembaruan penghentian. Setelah tanggal ini, dukungan untuk modul ini terbatas pada bantuan migrasi ke Microsoft Graph PowerShell SDK dan perbaikan keamanan. Modul yang tidak digunakan lagi akan terus berfungsi hingga Maret, 30 2025.
Sebaiknya migrasi ke Microsoft Graph PowerShell untuk berinteraksi dengan ID Microsoft Entra (sebelumnya Microsoft Azure AD). Untuk pertanyaan umum tentang migrasi, lihat Tanya Jawab Umum Migrasi. Catatan: MSOnline versi 1.0.x mungkin mengalami gangguan setelah 30 Juni 2024.
Hasilnya terlihat seperti contoh berikut, yang juga menampilkan nilai variabel:
$Group ObjectId DisplayName Description -------- ----------- ----------- 6de75f3c-8b2f-4bf4-b9f8-78cc60a18050 SSISIrGroupTambahkan sistem tertentu/identitas terkelola yang ditetapkan pengguna untuk ADF Anda ke grup. Anda dapat mengikuti artikel Identitas terkelola untuk Pabrik Data atau Azure Synapse untuk mendapatkan ID Objek dari sistem tertentu/identitas terkelola yang ditetapkan pengguna untuk ADF Anda (misalnya, 765ad4ab-XXXX-XXXX-XXXX-51ed985819dc, tetapi jangan gunakan ID Aplikasi untuk tujuan ini).
Add-AzureAdGroupMember -ObjectId $Group.ObjectId -RefObjectId 765ad4ab-XXXX-XXXX-XXXX-51ed985819dcAnda juga dapat memeriksa keanggotaan grup setelahnya.
Get-AzureAdGroupMember -ObjectId $Group.ObjectId
Mengonfigurasi autentikasi Microsoft Entra untuk Azure SQL Database
Anda dapat Mengonfigurasi dan mengelola autentikasi Microsoft Entra untuk Azure SQL Database menggunakan langkah-langkah berikut:
Di portal Microsoft Azure, pilih Semua layanan ->server SQL dari navigasi sebelah kiri.
Pilih server Azure SQL Database Anda untuk dikonfigurasi dengan autentikasi Microsoft Entra.
Di bagian Pengaturan bilah, pilih Admin Direktori Aktif.
Di bilah perintah, pilih Tetapkan admin.
Pilih akun pengguna Microsoft Entra untuk dijadikan administrator server, lalu pilih Pilih.
Di bilah perintah, pilih Simpan.
Membuat pengguna mandiri di Azure SQL Database yang mewakili grup Microsoft Entra
Untuk langkah selanjutnya, Anda memerlukan SSMS.
Mulai SQL Server Management Studio.
Dalam dialog Sambungkan ke Server, masukkan nama server Anda di bidang Nama server.
Di bidang Autentikasi, pilih Direktori Aktif - Universal dengan dukungan MFA (Anda juga dapat menggunakan dua jenis autentikasi Direktori Aktif lainnya, lihat Mengonfigurasi dan mengelola autentikasi Microsoft Entra untuk Azure SQL Database).
Di bidang Nama pengguna, masukkan nama akun Microsoft Entra yang Anda tetapkan sebagai administrator server, misalnya testuser@xxxonline.com.
Pilih Sambungkan dan selesaikan proses masuk.
Di Object Explorer, perluas folder Databases ->Database Sistem.
Klik kanan pada database master, dan pilih Kueri baru.
Di jendela kueri, masukkan perintah T-SQL berikut ini, dan pilih Jalankan pada toolbar.
CREATE USER [SSISIrGroup] FROM EXTERNAL PROVIDERPerintah selesai jika berhasil membuat pengguna terkandung untuk mewakili grup.
Bersihkan jendela kueri, lalu masukkan perintah T-SQL berikut ini, dan pilih Jalankan pada toolbar.
ALTER ROLE dbmanager ADD MEMBER [SSISIrGroup]Perintah selesai jika berhasil memberikan pengguna terkandung kemampuan untuk membuat database (SSISDB).
Jika SSISDB Anda dibuat menggunakan autentikasi SQL dan Anda ingin beralih menggunakan autentikasi Microsoft Entra untuk runtime integrasi Azure-SSIS Anda untuk mengaksesnya, pertama-tama pastikan bahwa langkah-langkah di atas untuk memberikan izin ke database master telah berhasil diselesaikan. Kemudian, klik kanan pada database SSISDB dan pilih Kueri baru.
Di jendela kueri, masukkan perintah T-SQL berikut ini, dan pilih Jalankan pada toolbar.
CREATE USER [SSISIrGroup] FROM EXTERNAL PROVIDERPerintah selesai jika berhasil membuat pengguna terkandung untuk mewakili grup.
Bersihkan jendela kueri, lalu masukkan perintah T-SQL berikut ini, dan pilih Jalankan pada toolbar.
ALTER ROLE db_owner ADD MEMBER [SSISIrGroup]Perintah selesai jika berhasil memberikan pengguna terkandung kemampuan untuk mengakses (SSISDB).
Mengaktifkan autentikasi Microsoft Entra di Azure SQL Managed Instance
Azure SQL Managed Instance mendukung pembuatan database dengan sistem tertentu/identitas terkelola yang ditetapkan pengguna untuk ADF Anda secara langsung. Anda tidak perlu menggabungkan identitas terkelola yang ditetapkan sistem/pengguna yang ditentukan untuk ADF Anda ke grup Microsoft Entra atau membuat pengguna mandiri yang mewakili grup tersebut di Azure SQL Managed Instance.
Mengonfigurasi autentikasi Microsoft Entra untuk Azure SQL Managed Instance
Ikuti langkah-langkah dalam Menyediakan administrator Microsoft Entra untuk Azure SQL Managed Instance.
Tambahkan sistem tertentu/identitas terkelola yang ditetapkan pengguna untuk ADF atau Azure Synapse Anda sebagai pengguna di Azure SQL Managed Instance
Untuk langkah selanjutnya, Anda memerlukan SSMS.
Mulai SQL Server Management Studio.
Sambungkan ke Azure SQL Managed Instance menggunakan akun SQL Server yang merupakan sysadmin. Ini adalah batasan sementara yang akan dihapus setelah dukungan untuk perwakilan server Microsoft Entra (login) pada Azure SQL Managed Instance tersedia secara umum. Anda akan melihat kesalahan berikut jika Mencoba menggunakan akun admin Microsoft Entra untuk membuat login: Msg 15247, Level 16, State 1, Line 1 User tidak memiliki izin untuk melakukan tindakan ini.
Di Object Explorer, perluas folder Databases ->Database Sistem.
Klik kanan pada database master, dan pilih Kueri baru.
Di jendela kueri, jalankan skrip T-SQL berikut untuk menambahkan sistem tertentu/identitas terkelola yang ditetapkan pengguna untuk ADF Anda sebagai pengguna.
CREATE LOGIN [{your managed identity name}] FROM EXTERNAL PROVIDER ALTER SERVER ROLE [dbcreator] ADD MEMBER [{your managed identity name}] ALTER SERVER ROLE [securityadmin] ADD MEMBER [{your managed identity name}]Jika Anda menggunakan identitas terkelola sistem untuk ADF Anda, maka nama identitas terkelola Anda harus menjadi nama ADF Anda. Jika Anda menggunakan identitas terkelola yang ditetapkan pengguna untuk ADF Anda, maka nama identitas terkelola Anda harus menjadi nama identitas terkelola yang ditetapkan pengguna yang ditentukan.
Perintah harus berhasil diselesaikan, memberikan sistem/identitas terkelola yang ditetapkan pengguna untuk ADF Anda kemampuan untuk membuat database (SSISDB).
Jika SSISDB Anda dibuat menggunakan autentikasi SQL dan Anda ingin beralih menggunakan autentikasi Microsoft Entra untuk runtime integrasi Azure-SSIS Anda untuk mengaksesnya, pertama-tama pastikan bahwa langkah-langkah di atas untuk memberikan izin ke database master telah berhasil diselesaikan. Kemudian, klik kanan pada database SSISDB dan pilih Kueri baru.
Di jendela kueri, masukkan perintah T-SQL berikut ini, dan pilih Jalankan pada toolbar.
CREATE USER [{your managed identity name}] FOR LOGIN [{your managed identity name}] WITH DEFAULT_SCHEMA = dbo ALTER ROLE db_owner ADD MEMBER [{your managed identity name}]Perintah harus berhasil diselesaikan, memberikan sistem/identitas terkelola yang ditetapkan pengguna untuk ADF Anda kemampuan untuk mengakses SSISDB.
Memprovisikan runtime integrasi Azure-SSIS di aplikasi portal Microsoft Azure/Azure Data Factory
Saat Anda memprovisikan runtime integrasi Azure-SSIS di aplikasi portal Azure/ADF, pada halaman Pengaturan penyebaran, pilih kotak centang Buat katalog SSIS (SSISDB) yang dihosting oleh server Azure SQL Database/Instans Terkelola untuk menyimpan proyek/paket/lingkungan/log eksekusi Anda dan pilih gunakan autentikasi Microsoft Entra dengan identitas terkelola sistem untuk Data Factory atau Gunakan kotak centang autentikasi Microsoft Entra dengan identitas terkelola yang ditetapkan pengguna untuk Data Factory untuk memilih metode autentikasi Microsoft Entra untuk Runtime integrasi Azure-SSIS untuk mengakses server database Anda yang menghosting SSISDB.
Untuk informasi selengkapnya, lihat Membuat IR Azure-SSIS di ADF.
Memprovisikan runtime integrasi Azure-SSIS dengan PowerShell
Untuk memprovisikan runtime integrasi Azure-SSIS Anda dengan PowerShell, lakukan langkah-langkah berikut:
Instal modul Azure PowerShell.
Di skrip Anda, jangan tetapkan parameter
CatalogAdminCredential. Contohnya:Set-AzDataFactoryV2IntegrationRuntime -ResourceGroupName $ResourceGroupName ` -DataFactoryName $DataFactoryName ` -Name $AzureSSISName ` -Description $AzureSSISDescription ` -Type Managed ` -Location $AzureSSISLocation ` -NodeSize $AzureSSISNodeSize ` -NodeCount $AzureSSISNodeNumber ` -Edition $AzureSSISEdition ` -MaxParallelExecutionsPerNode $AzureSSISMaxParallelExecutionsPerNode ` -CatalogServerEndpoint $SSISDBServerEndpoint ` -CatalogPricingTier $SSISDBPricingTier Start-AzDataFactoryV2IntegrationRuntime -ResourceGroupName $ResourceGroupName ` -DataFactoryName $DataFactoryName ` -Name $AzureSSISName
Menjalankan paket SSIS menggunakan autentikasi Microsoft Entra dengan sistem yang ditentukan/identitas terkelola yang ditetapkan pengguna untuk ADF Anda
Saat menjalankan paket SSIS di Runtime integrasi Azure-SSIS, Anda dapat menggunakan autentikasi Microsoft Entra dengan sistem tertentu/identitas terkelola yang ditetapkan pengguna untuk ADF Anda untuk menyambungkan ke berbagai sumber daya Azure. Saat ini kami mendukung autentikasi Microsoft Entra dengan sistem yang ditentukan/identitas terkelola yang ditetapkan pengguna untuk ADF Anda pada manajer koneksi berikut.
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk