Ativar a autenticação do Microsoft Entra para o runtime de integração do Azure-SSIS
APLICA-SE A:
Azure Data Factory Azure Synapse Analytics (Pré-visualização)
Gorjeta
Experimente o Data Factory no Microsoft Fabric, uma solução de análise tudo-em-um para empresas. O Microsoft Fabric abrange tudo, desde a movimentação de dados até ciência de dados, análises em tempo real, business intelligence e relatórios. Saiba como iniciar uma nova avaliação gratuitamente!
Este artigo mostra como habilitar a autenticação do Microsoft Entra com a identidade gerenciada atribuída pelo sistema/usuário especificada para seu Azure Data Factory (ADF) ou Azure Synapse e usá-la em vez de métodos de autenticação convencionais (como autenticação SQL) para:
Crie um tempo de execução de integração (IR) Azure-SSIS que, por sua vez, provisionará o banco de dados de catálogo do SSIS (SSISDB) no servidor/Instância Gerenciada do Banco de Dados SQL do Azure em seu nome.
Conecte-se a vários recursos do Azure ao executar pacotes SSIS no IR do Azure-SSIS.
Para saber mais sobre a identidade gerenciada do ADF, veja Identidade gerenciada para Data Factory e Azure Synapse.
Nota
Nesse cenário, a autenticação do Microsoft Entra com a identidade gerenciada especificada pelo sistema/atribuído pelo usuário para seu ADF é usada apenas no provisionamento e nas operações iniciais subsequentes do IR do Azure-SSIS que, por sua vez, provisionarão e/ou se conectarão ao SSISDB. Para execuções de pacotes SSIS, seu IR do Azure-SSIS ainda se conectará ao SSISDB para buscar pacotes usando autenticação SQL com contas totalmente gerenciadas (AzureIntegrationServiceDbo e AzureIntegrationServiceWorker) criadas durante o provisionamento do SSISDB.
Para usar o recurso de identidade gerenciada atribuído pelo usuário do gerenciador de conexões, o gerenciador de conexões OLEDB, por exemplo, o IR SSIS precisa ser provisionado com a mesma identidade gerenciada atribuída pelo usuário usada no gerenciador de conexões.
Se você já criou seu IR do Azure-SSIS usando a autenticação SQL, não poderá reconfigurá-lo para usar a autenticação do Microsoft Entra via PowerShell no momento, mas poderá fazê-lo por meio do portal do Azure/aplicativo ADF.
Nota
Recomendamos que utilize o módulo do Azure Az PowerShell para interagir com o Azure. Veja Instalar o Azure PowerShell para começar. Para saber como migrar para o módulo do Az PowerShell, veja Migrar o Azure PowerShell do AzureRM para o Az.
Habilitar a autenticação do Microsoft Entra no Banco de Dados SQL do Azure
O Banco de Dados SQL do Azure dá suporte à criação de um banco de dados com um usuário do Microsoft Entra. Primeiro, você precisa criar um grupo do Microsoft Entra com a identidade gerenciada especificada pelo sistema/usuário para seu ADF como membro. Em seguida, você precisa definir um usuário do Microsoft Entra como administrador do Ative Directory para seu servidor do Banco de dados SQL do Azure e, em seguida, conectar-se a ele no SQL Server Management Studio (SSMS) usando esse usuário. Finalmente, você precisa criar um usuário contido representando o grupo Microsoft Entra, para que a identidade gerenciada especificada pelo sistema/atribuído pelo usuário para seu ADF possa ser usada pelo IR do Azure-SSIS para criar o SSISDB em seu nome.
Crie um grupo do Microsoft Entra com a identidade gerenciada especificada pelo sistema/usuário para seu ADF como membro
Você pode usar um grupo existente do Microsoft Entra ou criar um novo usando o Azure AD PowerShell.
Instale o módulo Azure AD PowerShell .
Entre usando
Connect-AzureADo , execute o seguinte cmdlet para criar um grupo e salve-o em uma variável:$Group = New-AzureADGroup -DisplayName "SSISIrGroup" ` -MailEnabled $false ` -SecurityEnabled $true ` -MailNickName "NotSet"Nota
Os módulos Azure AD e MSOnline PowerShell foram preteridos a partir de 30 de março de 2024. Para saber mais, leia a atualização de descontinuação. Após essa data, o suporte para esses módulos é limitado à assistência de migração para o SDK do Microsoft Graph PowerShell e correções de segurança. Os módulos preteridos continuarão a funcionar até 30 de março de 2025.
Recomendamos migrar para o Microsoft Graph PowerShell para interagir com o Microsoft Entra ID (anteriormente Azure AD). Para perguntas comuns sobre migração, consulte as Perguntas frequentes sobre migração. Nota: As versões 1.0.x do MSOnline podem sofrer interrupções após 30 de junho de 2024.
O resultado se parece com o exemplo a seguir, que também exibe o valor da variável:
$Group ObjectId DisplayName Description -------- ----------- ----------- 6de75f3c-8b2f-4bf4-b9f8-78cc60a18050 SSISIrGroupAdicione a identidade gerenciada atribuída pelo sistema/usuário especificada para seu ADF ao grupo. Você pode seguir o artigo Identidade gerenciada para Data Factory ou Sinapse do Azure para obter a ID do objeto da identidade gerenciada atribuída pelo sistema/usuário especificada para seu ADF (por exemplo, 765ad4ab-XXXX-XXXX-XXXX-XXXX-51ed985819dc, mas não use a ID do aplicativo para essa finalidade).
Add-AzureAdGroupMember -ObjectId $Group.ObjectId -RefObjectId 765ad4ab-XXXX-XXXX-XXXX-51ed985819dcVocê também pode verificar a associação ao grupo posteriormente.
Get-AzureAdGroupMember -ObjectId $Group.ObjectId
Configurar a autenticação do Microsoft Entra para o Banco de Dados SQL do Azure
Você pode configurar e gerenciar a autenticação do Microsoft Entra para o Banco de Dados SQL do Azure usando as seguintes etapas:
No portal do Azure, selecione Todos os serviços ->SQL servers na navegação à esquerda.
Selecione seu servidor do Banco de Dados SQL do Azure a ser configurado com a autenticação do Microsoft Entra.
Na seção Configurações da folha, selecione Administrador do Ative Directory.
Na barra de comandos, selecione Definir administrador.
Selecione uma conta de usuário do Microsoft Entra para se tornar administrador do servidor e, em seguida, selecione Selecionar.
Na barra de comandos, selecione Salvar.
Criar um usuário contido no Banco de Dados SQL do Azure representando o grupo Microsoft Entra
Para esta próxima etapa, você precisa do SSMS.
Inicie o SSMS.
Na caixa de diálogo Conectar ao Servidor, digite o nome do servidor no campo Nome do servidor.
No campo Autenticação, selecione Ative Directory - Universal com suporte a MFA (você também pode usar os outros dois tipos de autenticação do Ative Directory, consulte Configurar e gerenciar a autenticação do Microsoft Entra para o Banco de Dados SQL do Azure).
No campo Nome de usuário, digite o nome da conta do Microsoft Entra que você definiu como administrador do servidor, por exemplo. testuser@xxxonline.com
Selecione Ligar e conclua o processo de início de sessão.
No Pesquisador de Objetos, expanda a pasta Bancos de Dados ->Bancos de Dados do Sistema.
Clique com o botão direito do mouse no banco de dados mestre e selecione Nova consulta.
Na janela de consulta, digite o seguinte comando T-SQL e selecione Executar na barra de ferramentas.
CREATE USER [SSISIrGroup] FROM EXTERNAL PROVIDERO comando deve ser concluído com êxito, criando um usuário contido para representar o grupo.
Desmarque a janela de consulta, digite o seguinte comando T-SQL e selecione Executar na barra de ferramentas.
ALTER ROLE dbmanager ADD MEMBER [SSISIrGroup]O comando deve ser concluído com êxito, concedendo ao usuário contido a capacidade de criar um banco de dados (SSISDB).
Se o SSISDB foi criado usando a autenticação SQL e você deseja alternar para usar a autenticação do Microsoft Entra para seu IR do Azure-SSIS para acessá-lo, primeiro verifique se as etapas acima para conceder permissões ao banco de dados mestre foram concluídas com êxito. Em seguida, clique com o botão direito do mouse no banco de dados SSISDB e selecione Nova consulta.
Na janela de consulta, digite o seguinte comando T-SQL e selecione Executar na barra de ferramentas.
CREATE USER [SSISIrGroup] FROM EXTERNAL PROVIDERO comando deve ser concluído com êxito, criando um usuário contido para representar o grupo.
Desmarque a janela de consulta, digite o seguinte comando T-SQL e selecione Executar na barra de ferramentas.
ALTER ROLE db_owner ADD MEMBER [SSISIrGroup]O comando deve ser concluído com êxito, concedendo ao usuário contido a capacidade de acessar o SSISDB.
Habilitar a autenticação do Microsoft Entra na Instância Gerenciada SQL do Azure
A Instância Gerenciada SQL do Azure dá suporte à criação de um banco de dados com a identidade gerenciada especificada pelo sistema/usuário atribuída diretamente para seu ADF. Você não precisa associar a identidade gerenciada especificada pelo sistema/atribuído pelo usuário para seu ADF a um grupo do Microsoft Entra nem criar um usuário contido representando esse grupo na Instância Gerenciada SQL do Azure.
Configurar a autenticação do Microsoft Entra para a Instância Gerenciada SQL do Azure
Siga as etapas em Provisionar um administrador do Microsoft Entra para a Instância Gerenciada SQL do Azure.
Adicione a identidade gerenciada especificada pelo sistema/atribuída pelo usuário para seu ADF ou Azure Synapse como um usuário na Instância Gerenciada SQL do Azure
Para esta próxima etapa, você precisa do SSMS.
Inicie o SSMS.
Conecte-se à Instância Gerenciada SQL do Azure usando a conta do SQL Server que é um administrador de sistemas. Essa é uma limitação temporária que será removida assim que o suporte para entidades de servidor (logons) do Microsoft Entra na Instância Gerenciada SQL do Azure se tornar disponível ao público em geral. Você verá o seguinte erro se tentar usar uma conta de administrador do Microsoft Entra para criar o login: Msg 15247, Nível 16, Estado 1, Linha 1 O usuário não tem permissão para executar essa ação.
No Pesquisador de Objetos, expanda a pasta Bancos de Dados ->Bancos de Dados do Sistema.
Clique com o botão direito do mouse no banco de dados mestre e selecione Nova consulta.
Na janela de consulta, execute o seguinte script T-SQL para adicionar a identidade gerenciada especificada pelo sistema/atribuída pelo usuário para seu ADF como usuário.
CREATE LOGIN [{your managed identity name}] FROM EXTERNAL PROVIDER ALTER SERVER ROLE [dbcreator] ADD MEMBER [{your managed identity name}] ALTER SERVER ROLE [securityadmin] ADD MEMBER [{your managed identity name}]Se você usar a identidade gerenciada pelo sistema para o ADF, o nome da identidade gerenciada deverá ser o nome do ADF. Se você usar uma identidade gerenciada atribuída pelo usuário para seu ADF, seu nome de identidade gerenciada deverá ser o nome de identidade gerenciado atribuído pelo usuário especificado.
O comando deve ser concluído com êxito, concedendo à identidade gerenciada atribuída ao sistema/usuário para seu ADF a capacidade de criar um banco de dados (SSISDB).
Se o SSISDB foi criado usando a autenticação SQL e você deseja alternar para usar a autenticação do Microsoft Entra para seu IR do Azure-SSIS para acessá-lo, primeiro verifique se as etapas acima para conceder permissões ao banco de dados mestre foram concluídas com êxito. Em seguida, clique com o botão direito do mouse no banco de dados SSISDB e selecione Nova consulta.
Na janela de consulta, digite o seguinte comando T-SQL e selecione Executar na barra de ferramentas.
CREATE USER [{your managed identity name}] FOR LOGIN [{your managed identity name}] WITH DEFAULT_SCHEMA = dbo ALTER ROLE db_owner ADD MEMBER [{your managed identity name}]O comando deve ser concluído com êxito, concedendo à identidade gerenciada atribuída pelo sistema/usuário para seu ADF a capacidade de acessar o SSISDB.
Provisionar o IR do Azure-SSIS no portal do Azure/aplicativo ADF
Ao provisionar seu IR do Azure-SSIS no portal do Azure/aplicativo ADF, na página Configurações de implantação , marque a caixa de seleção Criar catálogo SSIS (SSISDB) hospedado pelo servidor do Banco de Dados SQL do Azure/Instância gerenciada para armazenar seus projetos/pacotes/ambientes/logs de execução e marque Usar autenticação do Microsoft Entra com a identidade gerenciada do sistema para o Data Factory ou Usar a autenticação do Microsoft Entra com uma identidade gerenciada atribuída pelo usuário para o Data Factory para escolher o método de autenticação Microsoft Entra para IR do Azure-SSIS para acessar seu servidor de banco de dados que hospeda o SSISDB.
Para obter mais informações, consulte Criar um IR do Azure-SSIS no ADF.
Provisionar o IR do Azure-SSIS com o PowerShell
Para provisionar seu IR do Azure-SSIS com o PowerShell, faça o seguinte:
Instale o módulo do Azure PowerShell .
No script, não defina
CatalogAdminCredentialparâmetro. Por exemplo:Set-AzDataFactoryV2IntegrationRuntime -ResourceGroupName $ResourceGroupName ` -DataFactoryName $DataFactoryName ` -Name $AzureSSISName ` -Description $AzureSSISDescription ` -Type Managed ` -Location $AzureSSISLocation ` -NodeSize $AzureSSISNodeSize ` -NodeCount $AzureSSISNodeNumber ` -Edition $AzureSSISEdition ` -MaxParallelExecutionsPerNode $AzureSSISMaxParallelExecutionsPerNode ` -CatalogServerEndpoint $SSISDBServerEndpoint ` -CatalogPricingTier $SSISDBPricingTier Start-AzDataFactoryV2IntegrationRuntime -ResourceGroupName $ResourceGroupName ` -DataFactoryName $DataFactoryName ` -Name $AzureSSISName
Execute pacotes SSIS usando a autenticação do Microsoft Entra com a identidade gerenciada especificada pelo sistema/usuário para seu ADF
Ao executar pacotes SSIS no IR do Azure-SSIS, você pode usar a autenticação do Microsoft Entra com a identidade gerenciada especificada pelo sistema/atribuído pelo usuário para que seu ADF se conecte a vários recursos do Azure. Atualmente, oferecemos suporte à autenticação Microsoft Entra com a identidade gerenciada atribuída pelo sistema/usuário especificada para seu ADF nos seguintes gerenciadores de conexões.