Autenticazione di Microsoft Entra come alternativa all'autenticazione SQL
Si applica a:✅ Endpoint sql analitica e Warehouse in Microsoft Fabric
Questo articolo illustra i metodi tecnici che gli utenti e i clienti possono usare per passare dall'autenticazione SQL all'autenticazione Microsoft Entra all'interno di Microsoft Fabric. L'autenticazione di Microsoft Entra è un'alternativa ai nomi utente e alle password tramite l'autenticazione SQL per l'accesso all'endpoint di SQL analitica del lakehouse o del warehouse in Microsoft Fabric. L'autenticazione di Microsoft Entra è consigliabile e fondamentale per la creazione di una piattaforma dati sicura.
Questo articolo è incentrato sull'autenticazione di Microsoft Entra come alternativa all'autenticazione SQL negli elementi di Microsoft Fabric, ad esempio un endpoint di data warehouse o Lakehouse SQL analitica.
Vantaggi dell'autenticazione di Microsoft Entra in Fabric
Uno dei principi fondamentali di Microsoft Fabric è protetto dalla progettazione. Microsoft Entra è parte integrante della sicurezza di Microsoft Fabric garantendo una protezione avanzata dei dati, governance e conformità.
Microsoft Entra svolge un ruolo fondamentale nella sicurezza di Microsoft Fabric per diversi motivi:
- Autenticazione: verificare gli utenti e le entità servizio usando Microsoft Entra ID, che concede i token di accesso per le operazioni all'interno di Fabric.
- Accesso sicuro: connettersi in modo sicuro alle app cloud da qualsiasi dispositivo o rete, salvaguardando le richieste effettuate a Fabric.
- Accesso condizionale: gli amministratori possono impostare criteri che valutano il contesto di accesso utente, controllano l'accesso o applicano passaggi di verifica aggiuntivi.
- Integrazione: Microsoft Entra ID funziona perfettamente con tutte le offerte SaaS Microsoft, tra cui Fabric, consentendo un facile accesso tra dispositivi e reti.
- Piattaforma generale: ottenere l'accesso a Microsoft Fabric con Microsoft Entra ID tramite qualsiasi metodo, indipendentemente dal portale di Fabric, dall'stringa di connessione SQL, dall'API REST o dall'endpoint XMLA.
Microsoft Entra adotta un criterio Zero Trust completo, offrendo un'alternativa superiore all'autenticazione SQL tradizionale limitata ai nomi utente e alle password. Questo approccio:
- Impedisce la rappresentazione dell'utente.
- Abilita il controllo di accesso con granularità fine considerando l'identità utente, l'ambiente, i dispositivi e così via.
- Supporta la sicurezza avanzata, ad esempio l'autenticazione a più fattori Di Microsoft Entra.
Configurazione dell'infrastruttura
L'autenticazione di Microsoft Entra per l'uso con un endpoint sql di Warehouse o Lakehouse analitica richiede la configurazione sia nelle impostazioni tenant che nell'area di lavoro.
Impostazione del tenant
Un amministratore dell'infrastruttura nel tenant deve consentire l'accesso SPN alle API di Infrastruttura, necessario per l'interfaccia del nome SPN per gli stringa di connessione SQL a Fabric Warehouse o agli elementi dell'endpoint SQL analitica.
Questa impostazione si trova nella sezione Impostazioni sviluppatore e le entità servizio con etichetta ios possono usare le API fabric. Assicurarsi che sia Abilitato.
Impostazione dell'area di lavoro
Un amministratore di Fabric nell'area di lavoro deve concedere l'accesso a un utente/SPN per accedere agli elementi di Fabric.
È possibile concedere l'accesso a un utente/SPN in due modi:
Concedere un'appartenenza utente/SPN al ruolo Collaboratore area di lavoro: il ruolo Collaboratore area di lavoro consente all'identità Utente/SPN di accedere a tutti gli elementi dell'infrastruttura tramite stringa di connessione SQL.
- Nell'opzione Gestisci accesso nell'area di lavoro assegnare il ruolo Collaboratore . Per altre informazioni, vedere Ruoli del servizio.
Assegnare un utente/SPN a un elemento specifico: concedere l'accesso a un endpoint di analitica warehouse o SQL specifico. Un amministratore di Infrastruttura può scegliere tra diversi livelli di autorizzazione.
- Passare all'elemento dell'endpoint di analitica warehouse o SQL pertinente.
- Selezionare Altre opzioni, quindi Gestisci autorizzazioni. Seleziona Aggiungi utente.
- Aggiungere l'utente/SPN nella pagina Concedi l'accesso agli utenti.
- Assegnare le autorizzazioni necessarie a un utente/SPN. Scegliere nessuna autorizzazione aggiuntiva per concedere solo le autorizzazioni di connessione.
È possibile modificare le autorizzazioni predefinite concesse al nome UTENTE/SPN dal sistema. Usare i comandi T-SQL GRANT e DENY per modificare le autorizzazioni in base alle esigenze o ALTER ROLE per aggiungere l'appartenenza ai ruoli.
Attualmente, i nomi SPN non dispongono della funzionalità come account utente per la configurazione dettagliata delle autorizzazioni con GRANT
/DENY
.
Supporto per le identità utente e i nomi delle entità servizio (SPN)
Fabric supporta in modo nativo l'autenticazione e l'autorizzazione per gli utenti di Microsoft Entra e i nomi delle entità servizio (SPN) nelle connessioni SQL agli elementi dell'endpoint warehouse e SQL analitica.
- Le identità utente sono le credenziali univoche per ogni utente all'interno di un'organizzazione.
- I nomi SPN rappresentano gli oggetti applicazione all'interno di un tenant e fungono da identità per le istanze di applicazioni, prendendo il ruolo di autenticazione e autorizzazione di tali applicazioni.
Supporto per il flusso di dati tabulari (TDS)
Fabric supporta in modo nativo il protocollo TDS (Tabular Data Stream), noto anche come sql stringa di connessione. Fabric è quindi compatibile con qualsiasi applicazione o strumento in grado di connettersi a un prodotto con il motore di database SQL. Analogamente a una connessione all'istanza di SQL Server, TDS opera sulla porta TCP 1433. Per altre informazioni sulla connettività SQL dell'infrastruttura, vedere Connettività.
Per ottenere il stringa di connessione, selezionare Altre opzioni in un'istanza di Fabric Warehouse o sql analitica elemento dell'endpoint.
Un esempio di stringa di connessione SQL è simile al seguente: <guid_unique_your_item>.datawarehouse.fabric.microsoft.com
.
Le applicazioni e gli strumenti client possono impostare la Authentication
proprietà di connessione nel stringa di connessione per scegliere una modalità di autenticazione Di Microsoft Entra. La tabella seguente illustra in dettaglio le diverse modalità di autenticazione entra, incluso il supporto per l'autenticazione a più fattori (MFA) di Microsoft Entra.
Modalità di autenticazione | Scenari | Commenti |
---|---|---|
Microsoft Entra Interactive | Usato da applicazioni o strumenti in situazioni in cui l'autenticazione utente può verificarsi in modo interattivo o quando è accettabile disporre di un intervento manuale per la verifica delle credenziali. | Attivare i criteri di accesso condizionale MFA e Microsoft Entra per applicare le regole organizzative. |
Entità servizio Microsoft Entra | Usato dalle app per l'autenticazione sicura senza intervento umano, più adatto per l'integrazione delle applicazioni. | È consigliabile abilitare i criteri di accesso condizionale di Microsoft Entra. |
Password di Microsoft Entra | Quando le applicazioni non possono usare l'autenticazione basata su SPN a causa di incompatibilità o richiedono un nome utente e una password generici per molti utenti o se altri metodi sono infeasible. | L'autenticazione a più fattori deve essere disattivata e non è possibile impostare criteri di accesso condizionale. È consigliabile convalidare con il team di sicurezza del cliente prima di scegliere questa soluzione. |
Supporto dei driver per l'autenticazione di Microsoft Entra
Anche se la maggior parte dei driver SQL inizialmente è stata supportata per l'autenticazione di Microsoft Entra, gli aggiornamenti recenti hanno ampliato la compatibilità per includere l'autenticazione basata su SPN. Questo miglioramento semplifica il passaggio all'autenticazione di Microsoft Entra per varie applicazioni e strumenti tramite gli aggiornamenti dei driver e l'aggiunta del supporto per l'autenticazione di Microsoft Entra.
Tuttavia, a volte è necessario modificare impostazioni aggiuntive, ad esempio l'abilitazione di determinate porte o firewall per facilitare l'autenticazione di Microsoft Entra nel computer host.
Le applicazioni e gli strumenti devono aggiornare i driver alle versioni che supportano l'autenticazione Entra e aggiungere una parola chiave della modalità di autenticazione nel relativo stringa di connessione SQL, ad esempio ActiveDirectoryInteractive
, ActiveDirectoryServicePrincipal
o ActiveDirectoryPassword
.
Fabric è compatibile con i driver nativi di Microsoft, inclusi i driver OLE DB, Microsoft.Data.SqlClient
e generici, ad esempio ODBC e JDBC. La transizione per le applicazioni da usare con Fabric può essere gestita tramite la riconfigurazione per l'uso dell'autenticazione basata su ID di Microsoft Entra.
Per altre informazioni, vedere Connettività al data warehousing in Microsoft Fabric.
Microsoft OLE DB
Il OLE DB Driver per SQL Server è un'API di accesso ai dati autonoma progettata per OLE DB e rilasciata per la prima volta con SQL Server 2005 (9.x). Poiché, le funzionalità espanse includono l'autenticazione basata su SPN con la versione 18.5.0, aggiungendo ai metodi di autenticazione esistenti delle versioni precedenti.
Modalità di autenticazione | Stringa di connessione SQL |
---|---|
Microsoft Entra Interactive | Autenticazione interattiva di Microsoft Entra |
Entità servizio Microsoft Entra | Autenticazione dell'entità servizio Microsoft Entra |
Password di Microsoft Entra | Autenticazione del nome utente e della password di Microsoft Entra |
Per un frammento di codice C# che usa OLE DB con l'autenticazione basata su SPN, vedere System.Data.OLEDB.Connect.cs.
Driver Microsoft ODBC
Microsoft ODBC Driver per SQL Server è una singola libreria a collegamento dinamico (DLL) contenente il supporto di runtime per le applicazioni che usano API di codice nativo per connettersi a SQL Server. È consigliabile usare la versione più recente per le applicazioni da integrare con Fabric.
Per altre informazioni sull'autenticazione di Microsoft Entra con ODBC, vedere Uso di Microsoft Entra ID con il codice di esempio del driver ODBC.
Modalità di autenticazione | Stringa di connessione SQL |
---|---|
Microsoft Entra Interactive | DRIVER={ODBC Driver 18 for SQL Server};SERVER=<SQL Connection String>;DATABASE=<DB Name>;UID=<Client_ID@domain>;PWD=<Secret>;Authentication=ActiveDirectoryInteractive |
Entità servizio Microsoft Entra | DRIVER={ODBC Driver 18 for SQL Server};SERVER=<SQL Connection String>;DATABASE=<DBName>;UID=<Client_ID@domain>;PWD=<Secret>;Authentication=ActiveDirectoryServicePrincipal |
Password di Microsoft Entra | DRIVER={ODBC Driver 18 for SQL Server};SERVER=<SQL Connection String>;DATABASE=<DBName>;UID=<Client_ID@domain>;PWD=<Secret>;Authentication=ActiveDirectoryPassword |
Per un frammento di codice Python che usa ODBC con l'autenticazione basata su SPN, vedere pyodbc-dw-connectivity.py.
Microsoft JDBC Driver
Microsoft JDBC Driver per SQL Server è un driver JDBC di tipo 4 che fornisce connettività di database tramite le API (Application Program Interface) JDBC standard disponibili nella piattaforma Java.
A partire dalla versione 9.2, mssql-jdbc
introduce il supporto per ActiveDirectoryInteractive
e ActiveDirectoryServicePrincipal
, con ActiveDirectoryPassword
il supporto nelle versioni 12.2 e successive. Questo driver richiede file JAR aggiuntivi come dipendenze, che devono essere compatibili con la versione dell'usata mssql-driver
nell'applicazione. Per altre informazioni, vedere Dipendenze delle funzionalità dei requisiti di configurazione del driver JDBC e del client.
Modalità di autenticazione | Ulteriori informazioni |
---|---|
Microsoft Entra Interactive | Connettersi tramite la modalità di autenticazione ActiveDirectoryInteractive |
Entità servizio Microsoft Entra | Connettersi tramite la modalità di autenticazione ActiveDirectoryServicePrincipal |
Password di Microsoft Entra | Connettersi usando la modalità di autenticazione ActiveDirectoryPassword |
Per un frammento di codice Java che usa JDBC con l'autenticazione basata su SPN, vedere fabrictoolbox/dw_connect.java e file pom di esempio pom.xml.
Microsoft.Data.SqlClient in .NET Core (C#)
Microsoft.Data.SqlClient è un provider di dati per Microsoft SQL Server e database SQL di Azure. Si tratta di un'unione dei due System.Data.SqlClient
componenti che vivono in modo indipendente in .NET Framework e .NET Core, fornendo un set di classi per l'accesso ai database di Microsoft SQL Server. Microsoft.Data.SqlClient
è consigliato per tutti gli sviluppi nuovi e futuri.
Modalità di autenticazione | Ulteriori informazioni |
---|---|
Microsoft Entra Interactive | Uso dell'autenticazione interattiva |
Entità servizio Microsoft Entra | Uso dell'autenticazione basata sull'entità servizio |
Password di Microsoft Entra | Uso dell'autenticazione password |
Frammenti di codice che usano SPN: