Menggunakan identitas terkelola untuk mengakses Azure SQL Database atau Azure Synapse Analytics dari pekerjaan Azure Stream Analytics

Azure Stream Analytics mendukung autentikasi identitas Managed Identity untuk sink output Azure SQL Database dan Azure Synapse Analytics. Identitas terkelola menghilangkan batasan metode autentikasi berbasis pengguna, seperti kebutuhan untuk mengautentikasi ulang karena perubahan kata sandi atau kedaluwarsa token pengguna yang terjadi setiap 90 hari. Saat Anda menghapus kebutuhan untuk mengautentikasi secara manual, penerapan Analisis Aliran dapat sepenuhnya otomatis.

Identitas terkelola adalah aplikasi terkelola yang terdaftar di Microsoft Entra ID yang mewakili pekerjaan Stream Analytics tertentu. Aplikasi terkelola digunakan untuk mengautentikasi ke sumber daya yang ditargetkan. Artikel ini memperlihatkan kepada Anda cara mengaktifkan Identitas Terkelola untuk Azure SQL Database atau output Azure Synapse Analytics dari pekerjaan Azure Stream Analytics melalui portal Azure.

Overview

Artikel ini menunjukkan langkah-langkah yang diperlukan untuk menyambungkan pekerjaan Azure Stream Analytics ke kumpulan SQL Azure SQL Database atau Azure Synapse Analytics menggunakan mode autentikasi Identitas Terkelola.

  • Anda terlebih dahulu membuat identitas terkelola yang ditetapkan sistem untuk pekerjaan Azure Stream Analytics Anda. Ini adalah identitas pekerjaan Anda di Microsoft Entra ID.

  • Tambahkan admin Direktori Aktif ke server SQL atau ruang kerja Synapse Anda, yang memungkinkan autentikasi Microsoft Entra ID (Identitas Terkelola) untuk sumber daya tersebut.

  • Selanjutnya, buat pengguna mandiri yang mewakili identitas pekerjaan Azure Stream Analytics dalam database. Setiap kali pekerjaan Azure Stream Analytics berinteraksi dengan sumber daya SQL DB atau Synapse SQL DB Anda, ini adalah identitas yang akan dirujuk untuk memeriksa izin apa yang dimiliki pekerjaan Azure Stream Analytics Anda.

  • Berikan izin ke pekerjaan Azure Stream Analytics Anda untuk mengakses kumpulan SQL Database atau Synapse SQL Anda.

  • Terakhir, tambahkan Azure SQL Database/Azure Synapse Analytics Anda sebagai output dalam pekerjaan Azure Stream Analytics.

Prasyarat

Untuk menggunakan fitur ini, Anda memerlukan:

  • Pekerjaan Azure Stream Analytics.

  • Sumber daya Azure SQL Database.

Buat identitas terkelola

Pertama, buat identitas terkelola untuk pekerjaan Azure Stream Analytics Anda.

  1. Di portal Azure, buka pekerjaan Azure Stream Analytics Anda.

  2. Dari menu navigasi kiri, pilih Identitas Terkelola yang terletak di bawah Konfigurasikan. Lalu, centang kotak di samping Gunakan Identitas Terkelola yang ditetapkan sistem dan pilih Simpan.

    Pilih identitas terkelola yang ditetapkan sistem

    Microsoft Entra ID membuat prinsipal layanan untuk identitas pekerjaan Stream Analytics. Azure mengelola siklus hidup identitas yang baru dibuat. Saat Anda menghapus pekerjaan Azure Stream Analytics, Azure secara otomatis menghapus identitas terkait (yaitu, perwakilan layanan).

  3. Anda juga dapat beralih ke identitas terkelola yang ditetapkan pengguna.

  4. Saat Anda menyimpan konfigurasi, ID Objek (OID) perwakilan layanan muncul sebagai ID Utama seperti yang ditunjukkan di bagian berikut:

    ID Objek ditampilkan sebagai ID Utama

    Prinsipal layanan memiliki nama yang sama dengan pekerjaan Stream Analytics. Misalnya, jika nama pekerjaan Anda adalah MyASAJob, nama perwakilan layanan juga MyASAJob.

Pilih admin Direktori Aktif

Setelah Anda membuat identitas terkelola, pilih admin Direktori Aktif.

  1. Buka sumber daya kumpulan SQL Azure SQL Database atau Azure Synapse Analytics Anda. Pilih SQL Server atau Ruang Kerja Synapse tempat sumber daya berada. Anda dapat menemukan tautan ke sumber daya ini di halaman gambaran umum sumber daya di samping Nama server atau Nama ruang kerja.

  2. Pilih Admin Direktori Aktif atau SQL Direktori Aktif Admin di bawah Settings, untuk ruang kerja SQL Server dan Synapse. Lalu, pilih Atur admin.

    halaman admin Direktori Aktif

  3. Pada halaman admin Direktori Aktif, cari pengguna atau grup untuk menjadi administrator untuk SQL Server dan pilih Pilih. Pengguna ini dapat membuat Pengguna Basis Data Terkandung di bagian berikutnya.

    Tambahkan admin Direktori Aktif

    Halaman admin Direktori Aktif memperlihatkan semua anggota dan grup Direktori Aktif Anda. Pengguna atau grup yang dicoret abu-abu tidak dapat dipilih karena mereka tidak didukung sebagai administrator Microsoft Entra. Lihat daftar admin yang didukung di bagian Microsoft Entra dan BatasanGunakan autentikasi Microsoft Entra untuk autentikasi dengan SQL Database atau Azure Synapse.

  4. Pilih Simpan pada halaman admin Direktori Aktif. Proses untuk mengubah admin membutuhkan waktu beberapa menit.

Membuat pengguna database mandiri

Selanjutnya, buat pengguna database mandiri di database Azure SQL atau Azure Synapse Anda yang dipetakan ke identitas Microsoft Entra. Pengguna database yang terkandung tidak memiliki login untuk database utama, namun terhubung dengan identitas di direktori yang berasosiasi dengan database. Identitas Microsoft Entra dapat berupa akun pengguna individual atau grup. Dalam hal ini, Anda ingin membuat pengguna database mandiri untuk pekerjaan Azure Stream Analytics Anda.

Untuk informasi selengkapnya, lihat Autentikasi Universal dengan SQL Database dan Azure Synapse Analytics (dukungan SSMS untuk MFA).

  1. Sambungkan ke database Azure SQL atau Azure Synapse Anda dengan menggunakan SQL Server Management Studio. Nama Pengguna adalah pengguna Microsoft Entra dengan izin UBAH PENGGUNA MANAPUN. Admin yang Anda tetapkan pada SQL Server adalah contohnya. Gunakan Microsoft Entra ID – Universal dengan autentikasi MFA.

    Hubungkan ke SQL Server

    Nama server <SQL Server name>.database.windows.net mungkin berbeda di wilayah yang berbeda. Misalnya, wilayah Tiongkok harus menggunakan <SQL Server name>.database.chinacloudapi.cn.

    Anda dapat menentukan database Azure SQL atau Azure Synapse tertentu dengan masuk ke Options > Properti Koneksi > Sambungkan ke Database.

    Properti koneksi SQL Server

  2. Saat Anda tersambung untuk pertama kalinya, Anda mungkin menemukan jendela berikut:

    Jendela aturan firewall baru

    1. Jika demikian, buka sumber daya SQL Server atau Ruang Kerja Synapse Anda di portal Azure. Di bawah bagian Keamanan , buka halaman Firewall dan jaringan virtual atau Firewall .
    2. Tambahkan aturan baru dengan nama aturan apa pun.
    3. Gunakan alamat Dari IP dari jendela Aturan Firewall Baru untuk IP Mulai.
    4. Gunakan alamat IP Tujuan dari jendela Aturan Firewall Baru untuk IP Akhir.
    5. Pilih Simpan dan coba sambungkan dari SQL Server Management Studio lagi.

  3. Setelah Anda terhubung, buat pengguna database terkontain. Perintah SQL berikut membuat pengguna database mandiri yang memiliki nama yang sama dengan pekerjaan Azure Stream Analytics Anda. Pastikan untuk menyertakan tanda kurung di sekitar ASA_JOB_NAME. Gunakan sintaks T-SQL berikut dan jalankan kueri.

    CREATE USER [ASA_JOB_NAME] FROM EXTERNAL PROVIDER;

    Untuk memverifikasi apakah Anda menambahkan pengguna database yang terkandung dengan benar, jalankan perintah berikut ini di SQL Server Management (SSMS) di bawah database yang berkaitan dan periksa apakah ASA_JOB_NAME Anda berada di bawah kolom "nama".

    SELECT * FROM <SQL_DB_NAME>.sys.database_principals
WHERE type_desc = 'EXTERNAL_USER'

  4. Agar Microsoft Entra ID dari Microsoft dapat memverifikasi apakah pekerjaan Azure Stream Analytics memiliki akses ke SQL Database, Anda perlu memberikan izin kepada Microsoft Entra untuk berkomunikasi dengan database. Untuk melakukan ini, buka halaman Firewalls dan jaringan virtual atau Firewalls di portal Azure lagi, dan aktifkan layanan dan sumber daya Allow Azure untuk mengakses server ini atau workspace.

    Firewall dan jaringan virtual

Memberikan izin pekerjaan Azure Stream Analytics

Setelah Anda membuat pengguna database tertutup dan memberikan akses ke layanan Azure di portal, seperti yang dijelaskan di bagian sebelumnya, pekerjaan Stream Analytics Anda memiliki izin dari Identitas Terkelola untuk CONNECT ke sumber daya database Azure SQL Anda dengan menggunakan identitas terkelola. Berikan izin SELECT dan INSERT ke pekerjaan Azure Stream Analytics, karena pekerjaan memerlukan izin ini nanti di alur kerja Azure Stream Analytics. Izin SELECT memungkinkan pekerjaan menguji koneksinya ke tabel dalam database Azure SQL. Izin INSERT memungkinkan pengujian kueri Stream Analytics end-to-end setelah Anda mengonfigurasi input dan output database Azure SQL.

Anda dapat memberikan izin tersebut ke pekerjaan Azure Stream Analytics dengan menggunakan SQL Server Management Studio. Untuk informasi selengkapnya, lihat referensi GRANT (Transact-SQL).

Untuk memberikan izin hanya ke tabel atau objek tertentu dalam database, gunakan sintaks T-SQL berikut dan jalankan kueri.

GRANT CONNECT TO ASA_JOB_NAME;
GRANT SELECT, INSERT ON OBJECT::TABLE_NAME TO ASA_JOB_NAME;

Atau, Anda dapat mengklik kanan database Azure SQL atau Azure Synapse anda di SQL Server Management Studio dan memilih Properti > Izin. Dari menu izin, Anda dapat melihat pekerjaan Azure Stream Analytics yang Anda tambahkan sebelumnya, dan Anda dapat memberikan atau menolak izin secara manual sesuai keinginan Anda.

Untuk melihat semua izin yang Anda tambahkan ke pengguna ASA_JOB_NAME Anda, jalankan perintah berikut di SSMS di bawah DB yang berkaitan:

SELECT dbprin.name, dbprin.type_desc, dbperm.permission_name, dbperm.state_desc, dbperm.class_desc, object_name(dbperm.major_id)
FROM sys.database_principals dbprin
LEFT JOIN sys.database_permissions dbperm
ON dbperm.grantee_principal_id = dbprin.principal_id
WHERE dbprin.name = '<ASA_JOB_NAME>'

Buat output Azure SQL Database atau Azure Synapse

Nota

Saat Anda menggunakan SQL Managed Instance (MI) sebagai input referensi, Anda harus mengonfigurasi titik akhir publik di SQL Managed Instance Anda. Anda harus menentukan nama domain yang sepenuhnya memenuhi syarat dengan port saat mengonfigurasi properti database . Misalnya: sampleserver.public.database.windows.net,3342.

Setelah mengonfigurasi identitas terkelola, Anda siap untuk menambahkan output Azure SQL Database atau Azure Synapse ke pekerjaan Azure Stream Analytics Anda.

Pastikan Anda membuat tabel di SQL Database Anda dengan skema output yang sesuai. Anda perlu memberikan nama tabel ini saat menambahkan output SQL Database ke pekerjaan Azure Stream Analytics. Selain itu, pastikan bahwa pekerjaan memiliki izin SELECT dan INSERT untuk menguji koneksi dan menjalankan kueri Azure Stream Analytics. Jika Anda belum melakukannya, lihat bagian Izin pekerjaan Grant Stream Analytics .

  1. Kembali ke tugas Stream Analytics Anda, dan buka halaman Keluaran di bawah Topologi Tugas.

  2. Pilih Tambahkan > SQL Database. Di jendela properti output tujuan SQL Database, pilih Identitas Terkelola dari menu drop-down Mode autentikasi.

  3. Isi properti lainnya. Untuk mempelajari selengkapnya tentang membuat output SQL Database, lihat Membuat output SQL Database dengan Azure Stream Analytics. Setelah selesai, pilih Simpan.

  4. Setelah Anda memilih Simpan, pengujian koneksi ke sumber daya Anda akan dipicu secara otomatis. Setelah pengujian berhasil diselesaikan, Anda mengonfigurasi pekerjaan Azure Stream Analytics untuk menyambungkan ke Azure SQL Database atau Synapse SQL Database dengan menggunakan mode autentikasi identitas terkelola.

Langkah tambahan untuk data referensi SQL

Saat Anda menggunakan data referensi SQL, Azure Stream Analytics mengharuskan Anda mengonfigurasi akun penyimpanan pekerjaan Anda. Pekerjaan ini menggunakan akun penyimpanan ini untuk menyimpan konten yang terkait dengan pekerjaan Azure Stream Analytics Anda, seperti rekam jepret data referensi SQL.
Ikuti langkah-langkah ini untuk menyiapkan akun penyimpanan terkait:

  1. Pada halaman pekerjaan Azure Stream Analytics , di bawah Konfigurasikan di menu sebelah kiri, pilih Pengaturan akun penyimpanan.

  2. Pada halaman pekerjaan Azure Stream Analytics , pilih Pengaturan akun penyimpanan di bawah Konfigurasikan di menu sebelah kiri.

  3. Pada halaman Pengaturan akun penyimpanan , pilih Tambahkan akun penyimpanan.

  4. Ikuti instruksi untuk mengonfigurasi pengaturan akun penyimpanan Anda.

    Cuplikan layar halaman Pengaturan akun penyimpanan dari pekerjaan Azure Stream Analytics.

Penting

  • Untuk mengautentikasi dengan menggunakan string koneksi, Anda harus menonaktifkan pengaturan firewall akun penyimpanan.
  • Untuk mengautentikasi dengan menggunakan Identitas Terkelola, Anda harus menambahkan pekerjaan Stream Analytics ke dalam daftar kontrol akses akun penyimpanan untuk peran Kontributor Data Blob Penyimpanan dan Kontributor Data Tabel Penyimpanan. Jika Anda tidak memberikan akses tugas, tugas tersebut tidak dapat menjalankan operasi apa pun. Untuk informasi selengkapnya tentang cara memberikan akses, lihat Menggunakan Azure RBAC untuk menetapkan akses identitas terkelola ke sumber daya lain.

Langkah tambahan dengan identitas terkelola yang ditetapkan pengguna

Ulangi langkah-langkah jika Anda memilih identitas terkelola yang ditetapkan pengguna untuk menyambungkan ASA ke Synapse:

  1. Buat pengguna database terisolasi. Ganti ASA_Job_Name dengan Identitas Terkelola yang Dialokasikan oleh Pengguna. Lihat contoh berikut. 
    CREATE USER [User-Assigned Managed Identity] FROM EXTERNAL PROVIDER;
  2. Berikan izin kepada Identitas Terkelola dengan Penugasan Pengguna. Ganti ASA_Job_Name dengan Identitas Terkelola yang Ditetapkan Pengguna.

Untuk detail selengkapnya, lihat bagian sebelumnya.

Menghapus identitas terkelola

Anda hanya menghapus identitas terkelola yang Anda buat untuk Azure Stream Analytics job ketika menghapus job tersebut. Anda tidak dapat menghapus identitas terkelola tanpa menghapus pekerjaan. Jika Anda tidak lagi ingin menggunakan identitas terkelola, ubah metode autentikasi untuk output. Identitas terkelola terus ada sampai Anda menghapus pekerjaan, dan digunakan jika Anda memutuskan untuk menggunakan autentikasi identitas terkelola lagi.

Langkah berikutnya

  • Last updated on