SQL Server 페더레이션에 대한 Microsoft Entra ID 구성

이 페이지에서는 Microsoft Entra ID 인증을 사용하여 Microsoft SQL Server에서 페더레이션된 쿼리를 실행하도록 Databricks Lakehouse Federation을 구성하는 방법을 설명합니다. U2M(사용자-컴퓨터) 및 M2M(컴퓨터-컴퓨터) OAuth 흐름이 모두 지원됩니다.

지원되는 OAuth 흐름

• U2M: Microsoft 계정을 사용하여 인증합니다. 사용자에게 리디렉션 URI를 사용하여 로그인하라는 메시지가 표시되고 사용자에 대한 액세스 토큰이 발급됩니다.
• M2M: 서비스 주체를 사용하여 인증합니다. 액세스 토큰은 특정 사용자 대신 애플리케이션에 대해 발급됩니다.

Databricks 작업 영역에서 OAuth 는 U2M 인증을 참조하고 OAuth Machine to Machine 은 M2M 인증을 참조합니다.

시작하기 전 주의 사항:

Entra ID를 사용하여 SQL Server에서 페더레이션 쿼리를 실행하려면 다음이 있어야 합니다.

• Azure 구독에 대한 액세스 및 Microsoft Entra ID에 애플리케이션을 등록할 수 있는 권한
• SQL Server 인스턴스에 Entra 보안 주체를 생성할 수 있도록 관리자 액세스 권한이 필요합니다.

Microsoft Entra ID에 애플리케이션 등록

인증을 위한 애플리케이션 등록을 만들려면 다음을 수행합니다.

1. Azure Portal에 로그인합니다.
2. Microsoft Entra ID>앱 등록 새 등록으로> 이동합니다.
3. 앱의 이름을 입력합니다.
   • U2M(OAuth)의 경우 리디렉션 URI를 다음으로 설정합니다.https://<workspace-url>/login/oauth/azure.html
   • M2M(서비스 주체)의 경우 리디렉션 URI를 비워 둡니다.
4. 등록을 클릭합니다.
5. 애플리케이션(클라이언트) ID 및 디렉터리(테넌트) ID를 복사합니다.
6. 인증서 및 비밀>새 클라이언트 암호로 이동합니다.
7. 생성된 비밀 값을 저장합니다.

애플리케이션에 사용 권한 할당

애플리케이션이 SQL Server에 인증할 수 있도록 하려면 필요한 API 권한을 할당합니다.

1. API 권한으로> 이동하여권한 추가
2. Azure SQL Database>user_impersonation(위임된 권한)를 선택합니다.
3. M2M의 경우 앱에 서비스 주체 인증에 필요한 권한이 있는지 확인합니다.
4. Azure SQL Managed Instance에서 M2M 인증의 경우 관리되는 인스턴스 ID를 "디렉터리 읽기 권한자" 역할에 할당했는지 확인합니다.

SQL Server에서 서비스 주체 만들기(M2M에만 해당)

1. Entra ID 로그인 자격 증명을 사용하여 SQL Server 인스턴스에 연결합니다. 새 사용자를 만들 수 있는 권한이 있어야 합니다.

2. Entra 앱에 대한 새 로그인 및 사용자를 만듭니다.

3. 사용자에게 읽기 권한을 부여합니다.

   CREATE LOGIN [<app_name>] FROM EXTERNAL PROVIDER;
   CREATE USER [<app_name>] FROM LOGIN [<app_name>];
   ALTER ROLE db_datareader ADD MEMBER [<app_name>];
   

자세한 내용 및 고급 시나리오는 Microsoft 설명서의 다음 페이지를 참조하세요.

• SQL에서 Microsoft Entra 사용자 계정 만들기
• 개요: Azure SQL에 대한 Microsoft Entra 인증
• 데이터베이스 사용자에게 역할 및 사용 권한 부여

연결 만들기

Databricks 작업 영역에서 다음을 수행합니다.

1. 사이드바에서 카탈로그>연결 추가>를 클릭합니다.
2. 연결 형식의 경우 SQL Server를 선택합니다.
3. 인증 형식의 경우 OAuth(U2M) 또는 OAuth Machine to Machine(M2M)을 선택합니다.
4. 다음 연결 속성을 입력합니다.
   • 호스트: SQL Server 호스트 이름입니다.
   • 포트: SQL Server 포트.
   • 사용자: U2M의 경우 Microsoft 계정 사용자입니다. M2M의 경우 서비스 주체 이름입니다.
   • Entra 앱 등록에서 클라이언트 ID 및 클라이언트 암호를 입력합니다.
   • 권한 부여 엔드포인트를 입력합니다.
     • U2M: https://login.microsoftonline.com/<tenant-id>/oauth2/v2.0/authorize
     • M2M: https://login.microsoftonline.com/<tenant-id>/oauth2/v2.0/token
   • OAuth 범위의 경우, https://database.windows.net/.default offline_access을(를) 입력합니다(U2M만 해당).
5. U2M의 경우 Azure Entra ID로 로그인 을 클릭하고 인증 흐름을 완료합니다.
6. 연결 만들기를 클릭하고 카탈로그 만들기를 계속합니다.

다음 단계

이제 SQL Server에 대한 연결이 만들어졌으므로 다음을 수행할 수 있습니다.

• 외국 카탈로그를 만들고 데이터를 쿼리합니다. Microsoft SQL Server에서 페더레이션 쿼리 실행을 참조하세요.
• SQL Server 수집에 Microsoft Entra 인증을 사용하려면 필요한 권한을 부여합니다.