Microsoft Entra-verificatie gebruiken voor verificatie met Synapse SQL

Microsoft Entra-verificatie is een mechanisme dat verbinding maakt met Azure Synapse Analytics met behulp van identiteiten in Microsoft Entra-id.

Met Microsoft Entra-verificatie kunt u centraal gebruikersidentiteiten beheren die toegang hebben tot Azure Synapse om het beheer van machtigingen te vereenvoudigen. Dit biedt verschillende voordelen, zoals:

• Het biedt een alternatief voor normale verificatie van gebruikersnaam en wachtwoord.
• Het gaat de verspreiding van gebruikers-id's op servers tegen.
• Maakt rotatie van wachtwoorden op één plek mogelijk.
• Klanten kunnen machtigingen beheren met behulp van externe (Microsoft Entra ID)-groepen.
• Het kan voorkomen dat wachtwoorden worden opgeslagen door geïntegreerde Windows-verificatie en andere vormen van verificatie in te schakelen die worden ondersteund door Microsoft Entra ID.
• Microsoft Entra ID ondersteunt verificatie op basis van tokens voor toepassingen die verbinding maken met Azure Synapse.
• Microsoft Entra-verificatie ondersteunt ADFS (domeinfederatie) of systeemeigen gebruikers-/wachtwoordverificatie voor een lokale Microsoft Entra-id zonder domeinsynchronisatie.
• Microsoft Entra ID ondersteunt verbindingen van SQL Server Management Studio die gebruikmaken van Universele Verificatie van Active Directory, waaronder meervoudige verificatie (MFA). MFA omvat krachtige verificatie met een scala aan eenvoudige verificatie-opties, waaronder telefoonoproepen, sms-berichten, smartcards met pincode of meldingen in mobiele apps. Zie SSMS-ondersteuning voor Meervoudige verificatie van Microsoft Entra met Synapse SQL voor meer informatie.
• Microsoft Entra ID ondersteunt vergelijkbare verbindingen van SQL Server Data Tools (SSDT) die gebruikmaken van Active Directory Interactive Authentication. Zie Microsoft Entra ID-ondersteuning in SQL Server Data Tools (SSDT) voor meer informatie.

De configuratiestappen omvatten de volgende procedures voor het configureren en gebruiken van Microsoft Entra-verificatie.

1. Microsoft Entra-id maken en vullen.
2. Een Microsoft Entra-identiteit maken
3. Rol toewijzen aan gemaakte Microsoft Entra-identiteit in Synapse-werkruimte
4. Verbinding maken naar Synapse Studio met behulp van Microsoft Entra-identiteiten.

Microsoft Entra-doorvoer in Azure Synapse Analytics

Met Azure Synapse Analytics kunt u toegang krijgen tot de gegevens in de data lake met behulp van uw Microsoft Entra-identiteit.

Door toegangsrechten te definiëren voor de bestanden en gegevens die in verschillende gegevensengines worden gerespecteerd, kunt u uw data lake-oplossing vereenvoudigen omdat alle machtigingen op één plaats worden gedefinieerd, in plaats van dat ze op meerdere locaties moeten worden gedefinieerd.

Architectuur van vertrouwensrelatie

In het volgende diagram op hoog niveau ziet u een overzicht van de oplossingsarchitectuur voor het gebruik van Microsoft Entra-verificatie met Synapse SQL. Ter ondersteuning van het systeemeigen gebruikerswachtwoord van Microsoft Entra wordt alleen het cloudgedeelte en Azure AD/Synapse Synapse SQL overwogen. Voor de ondersteuning van federatieve aanmelding (of gebruiker/wachtwoord voor Windows-referenties), is de communicatie met het ADFS-blok vereist. De pijlen geven communicatiepaden aan.

In het volgende diagram worden de federatie-, vertrouwens en hostingrelaties aangegeven waarmee een client verbinding kan maken met een database door een token in te dienen. Het token wordt geverifieerd door een Microsoft Entra-id en wordt vertrouwd door de database.

Klant 1 kan een Microsoft Entra-id vertegenwoordigen met systeemeigen gebruikers of een Microsoft Entra-id met federatieve gebruikers. Klant 2 vertegenwoordigt een mogelijke oplossing, waaronder geïmporteerde gebruikers; in dit voorbeeld afkomstig van een federatieve Microsoft Entra-id met ADFS die wordt gesynchroniseerd met Microsoft Entra-id.

Het is belangrijk om te weten dat toegang tot een database met behulp van Microsoft Entra-verificatie vereist dat het hostingabonnement is gekoppeld aan de Microsoft Entra-id. Hetzelfde abonnement moet worden gebruikt voor het maken van de SQL-server die als host fungeert voor de Azure SQL Database of toegewezen SQL-pool.

Beheerdersstructuur

Wanneer u Microsoft Entra-verificatie gebruikt, zijn er twee Beheer istrator-accounts voor synapse SQL; de oorspronkelijke SQL-beheerder (met behulp van SQL-verificatie) en de Microsoft Entra-beheerder. Alleen de beheerder op basis van een Microsoft Entra-account kan de eerste Microsoft Entra-id in een gebruikersdatabase maken.

De aanmelding van de Microsoft Entra-beheerder kan een Microsoft Entra-gebruiker of een Microsoft Entra-groep zijn. Wanneer de beheerder een groepsaccount is, kan dit worden gebruikt door elk groepslid, waardoor meerdere Microsoft Entra-beheerders voor het Synapse SQL-exemplaar kunnen worden ingeschakeld.

Het gebruik van een groepsaccount als beheerder verbetert de beheerbaarheid doordat u groepsleden centraal kunt toevoegen en verwijderen in Microsoft Entra ID zonder de gebruikers of machtigingen in de Azure Synapse Analytics-werkruimte te wijzigen. Er kan slechts één Microsoft Entra-beheerder (een gebruiker of groep) op elk gewenst moment worden geconfigureerd.

Bevoegdheden

Als u nieuwe gebruikers wilt maken, moet u de machtiging ALTER ANY USER in de database hebben. De machtiging ALTER ANY USER kan aan elke databasegebruiker worden verleend. De ALTER ANY USER machtiging wordt ook bewaard door de SQL-beheerders- en Microsoft Entra-beheerdersaccounts en databasegebruikers met de CONTROL ON DATABASE of ALTER ON DATABASE machtiging voor die database, en door leden van de db_owner databaserol.

Als u een ingesloten databasegebruiker in Synapse SQL wilt maken, moet u verbinding maken met de database of het exemplaar met behulp van een Microsoft Entra-identiteit. Als u de eerste ingesloten databasegebruiker wilt maken, moet u verbinding maken met de database met behulp van een Microsoft Entra-beheerder (die de eigenaar van de database is).

Elke Microsoft Entra-verificatie is alleen mogelijk als de Microsoft Entra-beheerder is gemaakt voor Synapse SQL. Als de Microsoft Entra-beheerder van de server is verwijderd, kunnen bestaande Microsoft Entra-gebruikers die eerder in Synapse SQL zijn gemaakt, geen verbinding meer maken met de database met behulp van hun Microsoft Entra-referenties.

Lokale verificatie uitschakelen

Door alleen Microsoft Entra-verificatie toe te staan, beheert u centraal de toegang tot Azure Synapse-resources, zoals SQL-pools. Als u lokale verificatie in Synapse wilt uitschakelen tijdens het maken van de werkruimte, selecteert u Alleen Microsoft Entra-verificatie gebruiken als verificatiemethode. Er wordt nog steeds een SQL-Beheer istrator-aanmelding gemaakt, maar deze wordt uitgeschakeld. Lokale verificatie kan later worden ingeschakeld door een Azure-eigenaar of -inzender van de Synapse-werkruimte.

U kunt ook lokale verificatie uitschakelen nadat een werkruimte is gemaakt via Azure Portal. Lokale verificatie kan pas worden uitgeschakeld als een Microsoft Entra-beheerder is gemaakt voor de Azure Synapse-werkruimte.

Functies en beperkingen van Microsoft Entra

• De volgende leden van Microsoft Entra-id kunnen worden ingericht in Synapse SQL:

  • Systeemeigen leden: een lid dat is gemaakt in Microsoft Entra ID in het beheerde domein of in een klantdomein. Zie Uw eigen domeinnaam toevoegen aan Microsoft Entra-id voor meer informatie.
  • Leden van federatief domein: een lid dat is gemaakt in Microsoft Entra ID met een federatief domein. Zie Active Directory Federation Services implementeren in Azure voor meer informatie.
  • Geïmporteerde leden van andere Azure AD's die systeemeigen leden of leden van een federatief domein zijn.
  • Active Directory-groepen die zijn gemaakt als beveiligingsgroepen.

• Microsoft Entra-gebruikers die deel uitmaken van een groep die een serverfunctie heeft db_owner , kunnen de syntaxis CREATE DATABASE SCOPED CREDENTIAL niet gebruiken in Synapse SQL. U ziet de volgende fout:

  SQL Error [2760] [S0001]: The specified schema name 'user@mydomain.com' either does not exist or you do not have permission to use it.

  Verdeel de db_owner rol rechtstreeks aan de afzonderlijke Microsoft Entra-gebruiker om het probleem CREATE DATABASE SCOPED CREDENTIAL te beperken.

• Deze systeemfuncties retourneren NULL-waarden wanneer ze worden uitgevoerd onder Microsoft Entra-principals:

  • SUSER_ID()
  • SUSER_NAME(<admin ID>)
  • SUSER_SNAME(<admin SID>)
  • SUSER_ID(<admin name>)
  • SUSER_SID(<admin name>)

Verbinding maken microsoft Entra-identiteiten gebruiken

Microsoft Entra-verificatie ondersteunt de volgende methoden om verbinding te maken met een database met behulp van Microsoft Entra-identiteiten:

• Wachtwoord voor Microsoft Entra
• Microsoft Entra geïntegreerd
• Microsoft Entra Universal met MFA
• Verificatie van toepassingstoken gebruiken

De volgende verificatiemethoden worden ondersteund voor Microsoft Entra-server-principals (aanmeldingen):

• Wachtwoord voor Microsoft Entra
• Microsoft Entra geïntegreerd
• Microsoft Entra Universal met MFA

Aanvullende overwegingen

• Om de beheerbaarheid te verbeteren, raden we u aan een speciale Microsoft Entra-groep in te richten als beheerder.
• Slechts één Microsoft Entra-beheerder (een gebruiker of groep) kan op elk gewenst moment worden geconfigureerd voor Synapse SQL-pools.
  • Met de toevoeging van Microsoft Entra-server-principals (aanmeldingen) voor Synapse SQL kunt u meerdere Microsoft Entra-server-principals (aanmeldingen) maken die aan de sysadmin rol kunnen worden toegevoegd.
• Alleen een Microsoft Entra-beheerder voor Synapse SQL kan in eerste instantie verbinding maken met Synapse SQL met behulp van een Microsoft Entra-account. De Active Directory-beheerder kan volgende Microsoft Entra-databasegebruikers configureren.
• Het is raadzaam om de time-out voor de verbinding in te stellen op 30 seconden.
• SQL Server 2016 Management Studio en SQL Server Data Tools voor Visual Studio 2015 (versie 14.0.60311.1April 2016 of hoger) ondersteunen Microsoft Entra-verificatie. (Microsoft Entra-verificatie wordt ondersteund door de .NET Framework-gegevensprovider voor SqlServer; ten minste versie .NET Framework 4.6). Dus de nieuwste versies van deze hulpprogramma's en gegevenslaagtoepassingen (DAC en . BACPAC) kan Gebruikmaken van Microsoft Entra-verificatie.
• Vanaf versie 15.0.1 ondersteunen de hulpprogramma's sqlcmd en bcp Active Directory interactieve verificatie met MFA.
• SQL Server Data Tools voor Visual Studio 2015 vereist minimaal de versie van april 2016 van de hulpmiddelen voor gegevens (versie 14.0.60311.1). Momenteel worden Microsoft Entra-gebruikers niet weergegeven in SSDT Objectverkenner. Als tijdelijke oplossing kunt u de gebruikers weergeven in sys.database_principals.
• Microsoft JDBC-stuurprogramma 6.0 voor SQL Server ondersteunt Microsoft Entra-verificatie. Zie ook De verbindingseigenschappen instellen.
• Het Microsoft Entra-beheerdersaccount beheert de toegang tot toegewezen pools, terwijl Synapse RBAC-rollen worden gebruikt om de toegang tot serverloze pools te beheren, bijvoorbeeld met de rol Synapse Beheer istrator en Synapse SQL Beheer istrator. Configureer Synapse RBAC-rollen via Synapse Studio voor meer informatie. Zie Synapse RBAC-roltoewijzingen beheren in Synapse Studio.
• Als een gebruiker is geconfigureerd als Microsoft Entra-beheerder en Synapse-Beheer istrator en vervolgens is verwijderd uit de beheerdersrol Microsoft Entra, verliest de gebruiker de toegang tot de toegewezen SQL-pools in Synapse. Ze moeten worden verwijderd en vervolgens worden toegevoegd aan de synapse-Beheer istratorrol om weer toegang te krijgen tot toegewezen SQL-pools.

Volgende stappen

• Zie Synapse SQL-toegangsbeheer voor een overzicht van toegang en beheer in Synapse SQL.
• Zie Principals voor meer informatie over database-principals.
• Zie Databaserollen voor meer informatie over databaserollen.