Pilih metode autentikasi di kumpulan SQL tanpa server Azure Synapse
Autentikasi kumpulan SQL tanpa server mengacu pada bagaimana pengguna membuktikan identitas mereka saat terhubung ke titik akhir. Dua jenis autentikasi yang didukung:
Autentikasi SQL
Metode autentikasi ini menggunakan nama pengguna dan kata sandi.
Autentikasi Microsoft Entra
Metode autentikasi ini menggunakan identitas yang dikelola oleh MICROSOFT Entra ID. Untuk pengguna Microsoft Entra, autentikasi multifaktor dapat diaktifkan. Gunakan autentikasi Direktori Aktif (keamanan terintegrasi) bila memungkinkan.
Otorisasi
Otorisasi mengacu pada apa yang dapat dilakukan pengguna dalam database di Azure SQL Managed Instance, dan dikontrol oleh keanggotaan peran database akun pengguna Anda dan izin tingkat objek.
Jika Autentikasi SQL digunakan, pengguna SQL hanya ada di kumpulan SQL tanpa server dan izin dicakup ke objek di kumpulan SQL tanpa server. Akses ke objek yang dapat diamankan di layanan lain (seperti Azure Storage) tidak dapat diberikan kepada pengguna SQL secara langsung karena hanya ada dalam lingkup kumpulan SQL tanpa server. Pengguna SQL perlu mendapatkan otorisasi untuk mengakses file pada akun penyimpanan.
Jika autentikasi Microsoft Entra digunakan, pengguna dapat masuk ke kumpulan SQL tanpa server dan layanan lain, seperti Azure Storage, dan dapat memberikan izin kepada pengguna Microsoft Entra.
Akses ke akun penyimpanan
Pengguna yang masuk ke layanan kumpulan SQL tanpa server harus diizinkan untuk mengakses dan meminta file di Azure Storage. Kumpulan SQL tanpa server mendukung tipe otorisasi berikut ini:
Akses Anonim
Untuk mengakses file yang tersedia untuk umum yang ditempatkan pada akun penyimpanan Azure yang memungkinkan akses anonim.
Tanda Tangan Akses Bersama (SAS)
Menyediakan akses yang didelegasikan ke sumber daya di akun penyimpanan. Anda dapat memberi klien akses ke sumber daya pada akun penyimpanan Anda tanpa membagikan kunci akun Anda. Sebuah SAS memberi Anda kontrol terperinci atas jenis akses yang Anda berikan kepada klien yang memiliki SAS, termasuk interval validitas, izin yang diberikan, rentang alamat IP yang dapat diterima, dan protokol yang dapat diterima (https/http).
Identitas terkelola.
Adalah fitur ID Microsoft Entra yang menyediakan layanan Azure untuk kumpulan SQL tanpa server. Selain itu, ini menyebarkan identitas yang dikelola secara otomatis di MICROSOFT Entra ID. Identitas ini dapat digunakan untuk mengotorisasi permintaan akses data di Azure Storage. Sebelum mengakses data, administrator Azure Storage harus memberikan izin kepada Identitas Terkelola untuk mengakses data. Memberikan izin kepada Identitas Terkelola dilakukan dengan cara yang sama seperti memberikan izin kepada pengguna Microsoft Entra lainnya.
Identitas Pengguna
Juga dikenal sebagai "pass-through", adalah jenis otorisasi di mana identitas pengguna Microsoft Entra yang masuk ke kumpulan SQL tanpa server digunakan untuk mengotorisasi akses ke data. Sebelum mengakses data, administrator Azure Storage harus memberikan izin kepada pengguna Microsoft Entra untuk mengakses data. Jenis otorisasi ini menggunakan pengguna Microsoft Entra yang masuk ke kumpulan SQL tanpa server, oleh karena itu tidak didukung untuk jenis pengguna SQL.
Jenis otorisasi yang didukung untuk pengguna database dapat ditemukan dalam tabel di bawah ini:
| Tipe otorisasi | Pengguna SQL | Pengguna Microsoft Entra |
|---|---|---|
| Identitas Pengguna | Tidak didukung | Didukung |
| SAS | Didukung | Didukung |
| Identitas Terkelola | Tidak didukung | Didukung |
Jenis penyimpanan dan otorisasi yang didukung dapat ditemukan dalam tabel di bawah ini:
| Tipe otorisasi | Blob Storage | ADLS Gen1 | ADLS Gen2 |
|---|---|---|---|
| Identitas Pengguna | Didukung - Token SAS dapat digunakan untuk mengakses penyimpanan yang tidak dilindungi dengan firewall | Tidak didukung | Didukung - Token SAS dapat digunakan untuk mengakses penyimpanan yang tidak dilindungi dengan firewall |
| SAS | Didukung | Didukung | Didukung |
| Identitas Terkelola | Didukung | Didukung | Didukung |