Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Use esses exemplos de segurança Microsoft SQL para comparar como o DAB (Construtor de API de Dados) se autentica no SQL, valida os usuários e impõe o acesso por usuário. Cada exemplo é autônomo, mas a série vai de credenciais básicas ao acesso ao SQL do Azure delegado pelo usuário.
Escolher um início rápido
Comece com a pergunta que corresponde ao seu objetivo.
| Se você quiser... | Use este guia de início rápido |
|---|---|
| Conheça o padrão de conexão DAB para SQL mais simples | Nome de usuário/senha |
| Remover senhas SQL da configuração de Azure | Identidade gerenciada |
| Adicionar a validação de token do Microsoft Entra antes de exigir login | Microsoft Entra |
| Filtrar linhas no DAB usando declarações de token | Políticas de DAB |
| Filtrar linhas no SQL usando a segurança de nível de linha imposta pelo banco de dados | Segurança em nível de linha do SQL |
| Permitir que o SQL do Azure autentique diretamente o usuário conectado | Em nome de para SQL do Azure |
Árvore de decisão
- Você só precisa de um exemplo de trabalho básico?
- Deseja acesso do DAB para SQL do Azure sem senha?
- Você precisa do DAB para validar tokens de Microsoft Entra?
- Use Microsoft Entra.
- Os usuários conectados precisam ver apenas suas próprias linhas?
- Se o DAB deve impor o filtro, use as políticas do DAB.
- Se o SQL deve impor o filtro, use a segurança em nível de linha do SQL.
- Os logs de auditoria ou as políticas do banco de dados precisam do usuário autenticado real como identidade SQL?
Comparar o modelo de segurança
A coluna do provedor de autenticação da DAB mostra o valor efetivo para runtime.host.authentication.provider. Se a configuração omitir essa configuração, o DAB usará Unauthenticated. Com exceção dos exemplos de nome de usuário/senha e de on-behalf-of, as execuções locais usam credenciais SQL e as implantações no Azure usam uma identidade gerenciada. O exemplo de on-behalf-of também define data-source.user-delegated-auth.provider como EntraId.
| Início Rápido | Do usuário para o aplicativo web | Aplicativo Web para DAB | Provedor de autenticação da DAB | DAB para SQL |
|---|---|---|---|---|
| Nome de usuário/senha | Anônimo | Anônimo | Unauthenticated |
Credenciais do SQL |
| Identidade gerenciada | Anônimo | Anônimo | Unauthenticated |
Identidade gerenciada no Azure |
| Microsoft Entra | Anônimo | Anônimo | EntraId |
Identidade gerenciada no Azure |
| Políticas de DAB | Login do Microsoft Entra | Token de portador | EntraId |
Identidade gerenciada no Azure |
| Segurança em nível de linha do SQL | Login do Microsoft Entra | Token de portador | EntraId |
Identidade gerenciada no Azure |
| Em nome de para SQL do Azure | Login do Microsoft Entra | Token de portador | EntraId |
Token delegado pelo usuário para SQL do Azure |