Użyj uwierzytelniania Microsoft Entra do uwierzytelniania w Synapse SQL

Microsoft Entra authentication is a mechanism that connects to Azure Synapse Analytics by using identities in Microsoft Entra ID.

Dzięki uwierzytelnieniu firmy Microsoft Entra można centralnie zarządzać tożsamościami użytkowników, które mają dostęp do usługi Azure Synapse, aby uprościć zarządzanie uprawnieniami. Oto przykładowe korzyści:

• Zapewnia alternatywę dla zwykłego uwierzytelniania nazwy użytkownika i hasła.
• Pomaga zatrzymać rozprzestrzenianie się tożsamości użytkowników na serwerach.
• Umożliwia rotację haseł w jednym miejscu.
• Klienci mogą zarządzać uprawnieniami przy użyciu grup zewnętrznych (Microsoft Entra ID).
• Może wyeliminować przechowywanie haseł, włączając zintegrowane uwierzytelnianie systemu Windows i inne formy uwierzytelniania obsługiwane przez identyfikator Firmy Microsoft Entra.
• Microsoft Entra ID obsługuje uwierzytelnianie oparte na tokenach dla aplikacji łączących się z usługą Azure Synapse.
• Microsoft Entra authentication supports ADFS (domain federation) or native user/password authentication for a local Microsoft Entra ID without domain synchronization.
• Microsoft Entra ID obsługuje połączenia z programu SQL Server Management Studio, które korzystają z uniwersalnego uwierzytelniania Active Directory, które obejmuje uwierzytelnianie wieloskładnikowe (MFA). Uwierzytelnianie wieloskładnikowe obejmuje silne uwierzytelnianie z szeregiem łatwych opcji weryfikacji, w tym połączenia telefonicznego, wiadomości SMS, kart inteligentnych z numerem PIN lub powiadomieniem aplikacji mobilnej. For more information, see SSMS support for Microsoft Entra multifactor authentication with Synapse SQL.
• Identyfikator Entra firmy Microsoft obsługuje podobne połączenia z narzędzi SQL Server Data Tools (SSDT), które korzystają z uwierzytelniania interakcyjnego usługi Active Directory. Aby uzyskać więcej informacji, zobacz Obsługa identyfikatorów Entra firmy Microsoft w narzędziach SQL Server Data Tools (SSDT).

Kroki konfiguracji obejmują następujące procedury konfigurowania i używania uwierzytelniania firmy Microsoft Entra.

1. Utwórz i wypełnij identyfikator entra firmy Microsoft.
2. Create a Microsoft Entra identity
3. Assign role to created Microsoft Entra identity in Synapse workspace
4. Nawiąż połączenie z programem Synapse Studio za pomocą identyfikatorów Microsoft Entra.

Microsoft Entra pass-through in Azure Synapse Analytics

Usługa Azure Synapse Analytics umożliwia dostęp do danych w usłudze Data Lake przy użyciu tożsamości firmy Microsoft Entra.

Definiowanie praw dostępu do plików i danych, które są przestrzegane w różnych aparatach danych, umożliwia uproszczenie rozwiązań typu data lake przez posiadanie jednego miejsca, w którym zdefiniowano uprawnienia zamiast definiowania ich w wielu miejscach.

Architektura zaufania

Poniższy diagram wysokiego poziomu podsumowuje architekturę rozwiązania korzystania z uwierzytelniania firmy Microsoft Entra w usłudze Synapse SQL. Aby obsługiwać hasło użytkownika natywnego firmy Microsoft Entra, uwzględniana jest tylko część chmury i usługa Azure AD/Synapse Synapse SQL. To support Federated authentication (or user/password for Windows credentials), the communication with ADFS block is required. Strzałki wskazują ścieżki komunikacyjne.

Na poniższym diagramie przedstawiono relacje federacji, zaufania i hostowania, które umożliwiają klientowi łączenie się z bazą danych przez przesłanie tokenu. Token jest uwierzytelniany przez Microsoft Entra ID i jest uznawany za godny zaufania przez bazę danych.

Klient 1 może reprezentować Microsoft Entra ID z natywnymi użytkownikami lub Microsoft Entra ID z federacyjnymi użytkownikami. Customer 2 represents a possible solution including imported users; in this example coming from a federated Microsoft Entra ID with ADFS being synchronized with Microsoft Entra ID.

Należy pamiętać, że dostęp do bazy danych przy użyciu uwierzytelniania firmy Microsoft Entra wymaga, aby subskrypcja hostingu była skojarzona z identyfikatorem Entra firmy Microsoft. Ta sama subskrypcja musi być użyta do utworzenia serwera SQL hostującego usługę Azure SQL Database lub dedykowaną pulę SQL.

Struktura administratora

W przypadku korzystania z uwierzytelniania w usłudze Microsoft Entra istnieją dwa konta administratora dla usługi Synapse SQL; oryginalny administrator SQL (przy użyciu uwierzytelniania SQL) i administrator firmy Microsoft Entra. Only the administrator based on a Microsoft Entra account can create the first Microsoft Entra ID contained database user in a user database.

The Microsoft Entra administrator login can be a Microsoft Entra user or a Microsoft Entra group. When the administrator is a group account, it can be used by any group member, enabling multiple Microsoft Entra administrators for the Synapse SQL instance.

Korzystanie z konta grupy jako administrator zwiększa możliwości zarządzania, umożliwiając centralne dodawanie i usuwanie członków grupy w identyfikatorze Entra firmy Microsoft bez zmieniania użytkowników lub uprawnień w obszarze roboczym usługi Azure Synapse Analytics. W danym momencie można skonfigurować tylko jednego administratora Microsoft Entra (użytkownika lub grupę).

Uprawnienia

Aby utworzyć nowych użytkowników, musisz mieć ALTER ANY USER uprawnienia w bazie danych. Uprawnienie ALTER ANY USER można przyznać dowolnemu użytkownikowi bazy danych. Uprawnienie ALTER ANY USER jest również posiadane przez konta administratorów SQL i Microsoft Entra oraz użytkowników bazy danych z uprawnieniami CONTROL ON DATABASE lub ALTER ON DATABASE dla tej bazy danych oraz przez członków roli bazy danych db_owner.

To create a contained database user in Synapse SQL, you must connect to the database or instance using a Microsoft Entra identity. Aby utworzyć pierwszego użytkownika zawartej bazy danych, musisz nawiązać połączenie z bazą danych przy użyciu administratora firmy Microsoft Entra (który jest właścicielem bazy danych).

Każde uwierzytelnianie firmy Microsoft Entra jest możliwe tylko wtedy, gdy administrator usługi Microsoft Entra został utworzony dla usługi Synapse SQL. Jeśli administrator firmy Microsoft Entra został usunięty z serwera, istniejący użytkownicy firmy Microsoft Entra utworzone wcześniej w usłudze Synapse SQL nie mogą już łączyć się z bazą danych przy użyciu poświadczeń firmy Microsoft Entra.

Wyłączanie uwierzytelniania lokalnego

Zezwalając tylko na uwierzytelnianie firmy Microsoft Entra, centralnie zarządzaj dostępem do zasobów usługi Azure Synapse, takich jak pule SQL. To disable local authentication in Synapse during workspace creation, select Use only Microsoft Entra authentication as the authentication method. Logowanie administratora SQL zostanie utworzone, ale pozostanie wyłączone. Uwierzytelnianie lokalne można włączyć później przez właściciela platformy Azure lub współautora obszaru roboczego usługi Synapse.

Uwierzytelnianie lokalne można również wyłączyć po utworzeniu obszaru roboczego za pośrednictwem witryny Azure Portal. Nie można wyłączyć uwierzytelniania lokalnego, dopóki administrator usługi Microsoft Entra nie zostanie utworzony dla obszaru roboczego usługi Azure Synapse.

Funkcje i ograniczenia firmy Microsoft Entra

• The following members of Microsoft Entra ID can be provisioned in Synapse SQL:

  • Członkowie natywni: członek utworzony w usłudze Microsoft Entra ID w domenie zarządzanej lub w domenie klienta. Aby uzyskać więcej informacji, zobacz Dodawanie własnej nazwy domeny do identyfikatora Entra firmy Microsoft.
  • Członkowie domeny federacyjnej: członek utworzony w usłudze Microsoft Entra ID z domeną federacyjną. Aby uzyskać więcej informacji, zobacz Wdrażanie usług Active Directory Federation Services na platformie Azure.
  • Imported members from other Azure ADs who are native or federated domain members.
  • Grupy usługi Active Directory utworzone jako grupy zabezpieczeń.

• Użytkownicy firmy Microsoft Entra, którzy są częścią grupy, która ma db_owner rolę serwera, nie mogą używać składni CREATE DATABASE SCOPED CREDENTIAL w usłudze Synapse SQL. Zostanie wyświetlony następujący błąd:

  SQL Error [2760] [S0001]: The specified schema name 'user@mydomain.com' either does not exist or you do not have permission to use it.

  Grant the db_owner role directly to the individual Microsoft Entra user to mitigate the CREATE DATABASE SCOPED CREDENTIAL issue.

• These system functions return NULL values when executed under Microsoft Entra principals:

  • SUSER_ID()
  • SUSER_NAME(<admin ID>)
  • SUSER_SNAME(<admin SID>)
  • SUSER_ID(<admin name>)
  • SUSER_SID(<admin name>)

Nawiąż połączenie, używając tożsamości Microsoft Entra

Microsoft Entra authentication supports the following methods of connecting to a database using Microsoft Entra identities:

• Microsoft Entra Password
• Microsoft Entra integrated
• Microsoft Entra Universal with MFA
• Korzystanie z uwierzytelniania tokenu aplikacji

The following authentication methods are supported for Microsoft Entra server principals (logins):

• Microsoft Entra Password
• Microsoft Entra integrated
• Microsoft Entra Universal with MFA

Uwagi dodatkowe

• Aby zwiększyć możliwości zarządzania, zalecamy utworzenie dedykowanej grupy Microsoft Entra dla administratora.
• W dowolnym momencie można skonfigurować tylko jednego administratora microsoft Entra (użytkownika lub grupy) dla pul SQL usługi Synapse.
  • The addition of Microsoft Entra server principals (logins) for Synapse SQL allows the possibility of creating multiple Microsoft Entra server principals (logins) that can be added to the sysadmin role.
• Tylko administrator entra firmy Microsoft dla usługi Synapse SQL może początkowo łączyć się z usługą Synapse SQL przy użyciu konta Microsoft Entra. Administrator usługi Active Directory może skonfigurować kolejnych użytkowników bazy danych usługi Microsoft Entra.
• Zalecamy ustawienie limitu czasu połączenia na 30 sekund.
• Sql Server 2016 Management Studio i SQL Server Data Tools for Visual Studio 2015 (wersja 14.0.60311.1April 2016 lub nowsza) obsługują uwierzytelnianie firmy Microsoft Entra. (Microsoft Entra authentication is supported by the .NET Framework Data Provider for SqlServer; at least version .NET Framework 4.6). Najnowsze wersje tych narzędzi i aplikacji warstwy danych (DAC i .BACPAC) mogą używać uwierzytelniania firmy Microsoft Entra.
• Począwszy od wersji 15.0.1, narzędzie sqlcmd i narzędzie bcp obsługują uwierzytelnianie interakcyjne usługi Active Directory za pomocą uwierzytelniania wieloskładnikowego.
• Narzędzia SQL Server Data Tools for Visual Studio 2015 wymagają co najmniej wersji narzędzi Data Tools z kwietnia 2016 r. (wersja 14.0.60311.1). Obecnie użytkownicy firmy Microsoft Entra nie są wyświetlani w programie SSDT Eksplorator obiektów. Aby obejść ten problem, wyświetl użytkowników w sys.database_principals.
• Sterownik JDBC firmy Microsoft 6.0 dla programu SQL Server obsługuje uwierzytelnianie firmy Microsoft Entra. Zobacz również Ustawianie właściwości połączenia.
• Konto administratora firmy Microsoft Entra kontroluje dostęp do dedykowanych pul, a role RBAC usługi Synapse są używane do kontrolowania dostępu do pul bezserwerowych, na przykład za pomocą roli Administrator usługi Synapse i Administrator usługi Synapse SQL. Skonfiguruj role RBAC usługi Synapse za pomocą Synapse Studio. Aby uzyskać więcej informacji, zobacz Jak zarządzać przypisaniami ról RBAC usługi Synapse w programie Synapse Studio.
• Jeśli użytkownik jest skonfigurowany jako administrator firmy Microsoft Entra i administrator usługi Synapse, a następnie usunięty z roli administratora firmy Microsoft Entra, użytkownik utraci dostęp do dedykowanych pul SQL w usłudze Synapse. Należy je usunąć, a następnie dodać do roli administratora usługi Synapse, aby odzyskać dostęp do dedykowanych pul SQL.

Następne kroki

• Aby zapoznać się z omówieniem dostępu i kontroli w usłudze Synapse SQL, zobacz Synapse SQL access control (Kontrola dostępu do usługi Synapse SQL).
• Aby uzyskać więcej informacji na temat podmiotów bazy danych, zobacz Principals.
• Aby uzyskać więcej informacji na temat ról bazy danych, zobacz Database roles (Role bazy danych).