Mengonfigurasi ID Microsoft Entra untuk federasi SQL Server

Halaman ini menjelaskan cara mengonfigurasi Federasi Databricks Lakehouse untuk menjalankan kueri federasi di Microsoft SQL Server menggunakan autentikasi ID Microsoft Entra. Alur OAuth user-to-machine (U2M) dan machine-to-machine (M2M) didukung.

Alur OAuth yang didukung

• U2M: Mengautentikasi menggunakan akun Microsoft. Pengguna diminta untuk masuk menggunakan URI pengalihan, dan token akses dikeluarkan untuk pengguna.
• M2M: Mengautentikasi menggunakan perwakilan layanan. Token akses dikeluarkan untuk aplikasi alih-alih untuk pengguna tertentu.

Di ruang kerja Databricks, OAuth mengacu pada autentikasi U2M, dan Mesin OAuth ke Mesin mengacu pada autentikasi M2M.

Sebelum Anda mulai

Sebelum Anda dapat menjalankan kueri federasi di SQL Server menggunakan ID Entra, Anda harus memiliki hal berikut:

• Akses ke langganan dan izin Azure untuk mendaftarkan aplikasi di ID Microsoft Entra.
• Akses admin ke instans SQL Server Anda untuk membuat prinsipal Entra.

Mendaftarkan aplikasi di ID Microsoft Entra

Untuk membuat pendaftaran aplikasi untuk autentikasi, lakukan hal berikut:

1. Masuk ke portal Azure.
2. Navigate ke Microsoft Entra ID>Pendaftaran aplikasi>Pendaftaran baru.
3. Masukkan nama untuk aplikasi Anda.
   • Untuk U2M (OAuth), atur URI pengalihan ke yang berikut: https://<workspace-url>/login/oauth/azure.html
   • Untuk M2M (Perwakilan Layanan), biarkan URI pengalihan kosong.
4. Klik Daftar.
5. Salin ID Aplikasi (klien) dan ID Direktori (penyewa).
6. Navigasi ke Sertifikat & rahasia>Rahasia klien baru.
7. Simpan nilai rahasia yang dihasilkan.

Menetapkan izin ke aplikasi

Untuk mengizinkan aplikasi mengautentikasi ke SQL Server, tetapkan izin API yang diperlukan:

1. Navigasi ke izin API>Tambah izin.
2. Pilih Azure SQL Database>user_impersonation (Izin yang didelegasikan).
3. Untuk M2M, pastikan bahwa aplikasi memiliki izin yang diperlukan untuk autentikasi perwakilan layanan.
4. Untuk autentikasi M2M di Azure SQL Managed Instance, pastikan Anda telah menetapkan identitas instans terkelola ke peran "Pembaca Direktori".

Buat prinsipal layanan di SQL Server (M2M saja)

1. Sambungkan ke instans SQL Server Anda menggunakan kredensial masuk Entra ID Anda. Anda harus memiliki izin untuk membuat pengguna baru.

2. Buat login dan pengguna baru untuk aplikasi Entra.

3. Memberikan izin baca kepada pengguna.

   CREATE LOGIN [<app_name>] FROM EXTERNAL PROVIDER;
   CREATE USER [<app_name>] FROM LOGIN [<app_name>];
   ALTER ROLE db_datareader ADD MEMBER [<app_name>];
   

Untuk detail dan skenario tingkat lanjut, lihat halaman berikut ini dalam dokumentasi Microsoft:

• Membuat perwakilan Microsoft Entra di SQL
• Gambaran Umum: Autentikasi Microsoft Entra untuk Azure SQL
• Memberikan peran dan izin kepada pengguna database

Membuat koneksi

Di ruang kerja Databricks, lakukan hal berikut:

1. Di bar samping, klik Tambahkan Katalog>Tambahkan>koneksi.
2. Untuk Jenis koneksi, pilih SQL Server.
3. Untuk Jenis autentikasi, pilih OAuth (U2M) atau OAuth Machine to Machine (M2M).
4. Masukkan properti koneksi berikut:
   • Host: Nama host SQL Server.
   • Port: Port SQL Server.
   • Pengguna: Untuk U2M, pengguna akun Microsoft Anda. Untuk M2M, nama pokok layanan.
   • Masukkan ID Klien dan Rahasia klien dari pendaftaran aplikasi Entra.
   • Masukkan Titik Akhir Otorisasi:
     • U2M: https://login.microsoftonline.com/<tenant-id>/oauth2/v2.0/authorize
     • M2M: https://login.microsoftonline.com/<tenant-id>/oauth2/v2.0/token
   • Untuk cakupan OAuth, masukkan https://database.windows.net/.default offline_access (hanya U2M).
5. Untuk U2M, klik Masuk dengan ID Azure Entra dan selesaikan alur autentikasi.
6. Klik Buat koneksi dan lanjutkan ke pembuatan katalog.

Langkah selanjutnya

Sekarang setelah koneksi ke SQL Server dibuat, Anda dapat:

• Buat katalog asing dan kueri data Anda. Lihat Menjalankan kueri federasi di Microsoft SQL Server.
• Jika Anda ingin menggunakan autentikasi Microsoft Entra untuk penyerapan SQL Server, berikan hak istimewa yang diperlukan.