Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questa pagina descrive come configurare la federazione di Databricks Lakehouse per eseguire query federate in Microsoft SQL Server usando l'autenticazione microsoft Entra ID. Sono supportati sia i flussi OAuth da utente a computer (U2M) che da computer a computer (M2M).
Flussi OAuth supportati
- U2M: eseguire l'autenticazione con un account Microsoft. All'utente viene richiesto di accedere usando un URI di reindirizzamento e viene rilasciato il token di accesso per l'utente.
- M2M: eseguire l'autenticazione con un'entità servizio. Il token di accesso viene rilasciato per l'applicazione anziché per un utente specifico.
Nell'area di lavoro Databricks, OAuth fa riferimento all'autenticazione U2M e OAuth Machine to Machine fa riferimento all'autenticazione M2M.
Prima di iniziare
Prima di poter eseguire query federate in SQL Server usando Entra ID, è necessario disporre degli elementi seguenti:
- Accesso a una sottoscrizione di Azure e autorizzazioni per registrare le applicazioni in Microsoft Entra ID.
- Accesso amministratore all'istanza di SQL Server per creare oggetti principali Entra.
Registrare un'applicazione in Microsoft Entra ID
Per creare una registrazione dell'applicazione per l'autenticazione, eseguire le operazioni seguenti:
- Accedi al portale di Azure.
- Passare a Microsoft Entra ID>Registrazioni app>Nuova registrazione.
- Immettere un nome per l'app.
- Per U2M (OAuth) impostare l'URI di reindirizzamento su quanto segue:
https://<workspace-url>/login/oauth/azure.html - Per M2M (Service Principal), lasciare vuoto l'URI di reindirizzamento.
- Per U2M (OAuth) impostare l'URI di reindirizzamento su quanto segue:
- Fare clic su Registra.
- Copiare l'ID dell'applicazione (client) e l'ID della directory (tenant).
- Passare a Certificati e segreti>Nuovo segreto client.
- Salvare il valore del segreto generato.
Assegnare autorizzazioni all'applicazione
Per consentire all'applicazione di eseguire l'autenticazione in SQL Server, assegnare le autorizzazioni API necessarie:
- Passare a Autorizzazioni> APIAggiungere un'autorizzazione.
- Selezionare Azure SQL Database>user_impersonation (autorizzazioni delegate).
- Per M2M, garantire che l'applicazione abbia le autorizzazioni necessarie per l'autenticazione del principale del servizio.
- Per l'autenticazione M2M in Istanza SQL gestita di Azure, assicurarsi di aver assegnato al ruolo "Lettori directory" l'identità dell'istanza gestita.
Creare un'entità servizio in SQL Server (solo M2M)
Connettersi all'istanza di SQL Server usando le credenziali di accesso dell'ID Entra. È necessario disporre delle autorizzazioni per creare un nuovo utente.
Creare un nuovo account di accesso e un nuovo utente per l'app Entra.
Concedere le autorizzazioni di lettura all'utente.
CREATE LOGIN [<app_name>] FROM EXTERNAL PROVIDER; CREATE USER [<app_name>] FROM LOGIN [<app_name>]; ALTER ROLE db_datareader ADD MEMBER [<app_name>];
Per informazioni dettagliate e scenari avanzati, vedere le pagine seguenti nella documentazione di Microsoft:
- Creare entità Di sicurezza Di Microsoft Entra in SQL
- Panoramica: Autenticazione Microsoft Entra per Azure SQL
- Concedere ruoli e autorizzazioni a un utente del database
Creare una connessione
Nell'area di lavoro Databricks eseguire le operazioni seguenti:
- Nella barra laterale fare clic su Catalogo>Aggiungi>una connessione.
- In Tipo di connessione selezionare SQL Server.
- Per Tipo di autenticazione selezionare OAuth (U2M) o OAuth Machine to Machine (M2M).
- Immettere le proprietà di connessione seguenti:
- Host: nome host di SQL Server.
- Porta: porta di SQL Server.
- Utente: per U2M, l'utente dell'account Microsoft. Per M2M, nome principale del servizio.
- Immettere l'ID client e il segreto client dalla registrazione dell'app Entra.
- Immettere l'endpoint di autorizzazione:
- U2M:
https://login.microsoftonline.com/<tenant-id>/oauth2/v2.0/authorize - M2M:
https://login.microsoftonline.com/<tenant-id>/oauth2/v2.0/token
- U2M:
- Per ambito OAuth, inserire
https://database.windows.net/.default offline_access(solo U2M).
- Per U2M, fare clic su Accedi con l'ID Entra di Azure e completare il flusso di autenticazione.
- Fare clic su Crea connessione e passare alla creazione del catalogo.
Passaggi successivi
Ora che la connessione a SQL Server è stata creata, è possibile:
- Creare un catalogo esterno e interrogare i dati. Vedere Esegui query federate su Microsoft SQL Server.
- Se si vuole usare l'autenticazione Microsoft Entra per l'inserimento di SQL Server, concedere i privilegi necessari.