Partilhar via

Configurar o Microsoft Entra ID para federação do SQL Server

Esta página descreve como configurar o Databricks Lakehouse Federation para executar consultas federadas no Microsoft SQL Server usando a autenticação de ID do Microsoft Entra. Os fluxos OAuth utilizador-para-máquina (U2M) e máquina-para-máquina (M2M) são suportados.

Fluxos OAuth suportados

  • U2M: Autenticar usando uma conta da Microsoft. O usuário é solicitado a entrar usando um URI de redirecionamento e o token de acesso é emitido para o usuário.
  • M2M: Autenticar usando uma entidade de serviço. O token de acesso é emitido para o aplicativo em vez de para um usuário específico.

No espaço de trabalho Databricks, OAuth refere-se à autenticação U2M e OAuth Machine to Machine refere-se à autenticação M2M.

Antes de começar

Antes de executar consultas federadas no SQL Server usando o Entra ID, você deve ter o seguinte:

  • Acesso a uma assinatura do Azure e permissões para registrar aplicativos no Microsoft Entra ID.
  • Acesso de administrador à sua instância do SQL Server para criar entidades do Entra.

Registar uma aplicação no Microsoft Entra ID

Para criar um registro de aplicativo para autenticação, faça o seguinte:

  1. Inicie sessão no portal Azure.
  2. Navegue atéMicrosoft Entra ID>Registos de aplicações>Novo registo.
  3. Introduza um nome para a sua aplicação.
    • Para U2M (OAuth), defina o URI de redirecionamento para o seguinte: https://<workspace-url>/login/oauth/azure.html
    • Para M2M (Service Principal), deixe o URI de redirecionamento vazio.
  4. Clique em Registar.
  5. Copie a ID da aplicação (cliente) e a ID do diretório (inquilino).
  6. Navegue até Certificados & segredos>Novo segredo do cliente.
  7. Salve o valor secreto gerado.

Atribuir permissões ao aplicativo

Para permitir que o aplicativo se autentique no SQL Server, atribua as permissões de API necessárias:

  1. Navegue até Permissões >Adicione uma permissão.
  2. Selecione Azure SQL Database>atribuição de utilizador (Permissões delegadas).
  3. Para M2M, verifique se o aplicativo tem as permissões necessárias para a autenticação da entidade de serviço.
  4. Para autenticação M2M na Instância Gerenciada SQL do Azure, verifique se você atribuiu a identidade da instância gerenciada à função "Leitores de diretório".

Criar um principal de serviço no SQL Server (apenas M2M)

  1. Conecte-se à sua instância do SQL Server usando suas credenciais de logon do Entra ID. Você deve ter permissões para criar um novo usuário.

  2. Crie um novo login e usuário para o aplicativo Entra.

  3. Conceda permissões de leitura ao usuário.

    CREATE LOGIN [<app_name>] FROM EXTERNAL PROVIDER;
CREATE USER [<app_name>] FROM LOGIN [<app_name>];
ALTER ROLE db_datareader ADD MEMBER [<app_name>];

Para obter detalhes e cenários avançados, consulte as seguintes páginas na documentação da Microsoft:

Criar uma conexão

No espaço de trabalho Databricks, faça o seguinte:

  1. Na barra lateral, clique em Catálogo>Adicionar>Adicionar uma conexão.
  2. Em Tipo de conexão, selecione SQL Server.
  3. Para Tipo de autenticação, selecione OAuth (U2M) ou OAuth Machine to Machine (M2M).
  4. Insira as seguintes propriedades de conexão:
    • Host: nome de host do SQL Server.
    • Porta: porta do SQL Server.
    • Utilizador: Para U2M, o utilizador da sua conta Microsoft. Para M2M, o nome principal de serviço.
    • Insira o ID do Cliente e o segredo do Cliente no registro do aplicativo Entra.
    • Insira o Ponto de Extremidade de Autorização:
      • U2M: https://login.microsoftonline.com/<tenant-id>/oauth2/v2.0/authorize
      • M2M: https://login.microsoftonline.com/<tenant-id>/oauth2/v2.0/token
    • Para OAuth scope, insira https://database.windows.net/.default offline_access (somente U2M).
  5. Para U2M, clique em Entrar com a ID do Azure Entra e conclua o fluxo de autenticação.
  6. Clique em Criar conexão e prossiga para a criação do catálogo.

Próximos passos

Agora que a ligação ao SQL Server foi criada, pode:

  • Last updated on