Использование проверки подлинности Microsoft Entra для проверки подлинности с помощью Synapse SQL

  • Статья

Проверка подлинности Microsoft Entra — это механизм, который подключается к Azure Synapse Analytics с помощью удостоверений в идентификаторе Microsoft Entra.

С помощью проверки подлинности Microsoft Entra можно централизованно управлять удостоверениями пользователей, имеющими доступ к Azure Synapse, чтобы упростить управление разрешениями. Это дает такие преимущества:

  • альтернатива обычной проверке подлинности по имени пользователя и паролю;
  • возможность остановить увеличение количества пользователей на серверах;
  • возможность чередования паролей в одном расположении;
  • Клиенты могут управлять разрешениями с помощью внешних групп (Идентификатор Microsoft Entra).
  • Он может исключить хранение паролей, включив интегрированные проверка подлинности Windows и другие формы проверки подлинности, поддерживаемые идентификатором Microsoft Entra.
  • Идентификатор Microsoft Entra поддерживает проверку подлинности на основе маркеров для приложений, подключающихся к Azure Synapse.
  • Проверка подлинности Microsoft Entra поддерживает ADFS (федерацию домена) или собственную проверку подлинности пользователя или пароля для локального идентификатора Microsoft Entra без синхронизации домена.
  • Идентификатор Microsoft Entra поддерживает подключения из SQL Server Management Studio, которые используют универсальную проверку подлинности Active Directory, которая включает многофакторную проверку подлинности (MFA). MFA обеспечивает надежную аутентификацию с использованием ряда простых вариантов проверки посредством телефонного звонка, текстового сообщения, смарт-карты с ПИН-кодом или уведомления в мобильном приложении. Дополнительные сведения см. в статье о поддержке SSMS для многофакторной проверки подлинности Microsoft Entra с помощью Synapse SQL.
  • Идентификатор Microsoft Entra поддерживает аналогичные подключения из SQL Server Data Tools (SSDT), которые используют интерактивную проверку подлинности Active Directory. Дополнительные сведения см. в статье о поддержке идентификатора Microsoft Entra в SQL Server Data Tools (SSDT).

Действия по настройке включают следующие процедуры для настройки и использования проверки подлинности Microsoft Entra.

  1. Создание и заполнение идентификатора Microsoft Entra.
  2. Создание удостоверения Microsoft Entra
  3. Назначение роли созданному удостоверению Microsoft Entra в рабочей области Synapse
  4. Подключение в Synapse Studio с помощью удостоверений Microsoft Entra.

Сквозная передача Microsoft Entra в Azure Synapse Analytics

Azure Synapse Analytics позволяет получить доступ к данным в озере данных с помощью удостоверения Microsoft Entra.

Определение прав доступа к файлам и данным, которые учитываются в разных подсистемах обработки, упрощает работу с озерами данных, так как разрешения определяются в одном месте, и теперь не нужно определять их в нескольких местах.

Архитектура доверия

На следующей высокоуровневой схеме представлена архитектура решения для использования проверки подлинности Microsoft Entra с Synapse SQL. Для поддержки пароля собственного пользователя Microsoft Entra рассматривается только облачная часть и Azure AD/Synapse Synapse SQL. Для поддержки федеративной проверки подлинности (или имени пользователя и пароля в качестве учетных данных Windows) требуется взаимодействие с блоком ADFS. Стрелки обозначают пути обмена данными.

Microsoft Entra auth diagram

На следующей схеме показаны федерация, отношения доверия и отношения размещения. Все эти компоненты позволяют клиенту подключиться к базе данных, отправив маркер. Маркер проходит проверку подлинности по идентификатору Microsoft Entra и является доверенным в базе данных.

Клиент 1 может представлять идентификатор Microsoft Entra с собственными пользователями или идентификатором Microsoft Entra с федеративными пользователями. Клиент 2 представляет возможное решение, включая импортированных пользователей; В этом примере из федеративного идентификатора Microsoft Entra ID с ADFS синхронизируется с идентификатором Microsoft Entra.

Важно понимать, что доступ к базе данных с помощью проверки подлинности Microsoft Entra требует, чтобы подписка на размещение связана с идентификатором Microsoft Entra. Эту же подписку нужно использовать, чтобы создать сервер SQL Server для размещения Базы данных SQL Azure или выделенного пула SQL.

subscription relationship

Структура администраторов

При использовании проверки подлинности Microsoft Entra существует две учетные записи Администратор istrator для Synapse SQL; исходный администратор SQL (с помощью проверки подлинности SQL) и администратор Microsoft Entra. Только администратор, основанный на учетной записи Microsoft Entra, может создать в пользовательской базе данных первый идентификатор Microsoft Entra Id, содержащийся в базе данных пользователя.

Имя входа администратора Microsoft Entra может быть пользователем Microsoft Entra или группой Microsoft Entra. Если администратор является учетной записью группы, она может использоваться любым членом группы, позволяя нескольким администраторам Microsoft Entra для экземпляра Synapse SQL.

Использование учетной записи группы в качестве администратора повышает управляемость, позволяя централизованно добавлять и удалять участников группы в идентификаторе Microsoft Entra без изменения пользователей или разрешений в рабочей области Azure Synapse Analytics. В любое время можно настроить только одного администратора Microsoft Entra (пользователя или группы).

admin structure

Разрешения

Чтобы создавать новых пользователей, у вас должно быть разрешение ALTER ANY USER в базе данных. Разрешение ALTER ANY USER можно предоставить любому пользователю базы данных. Разрешение ALTER ANY USER также хранится администратором SQL и учетными записями администратора Microsoft Entra, а также пользователями базы данных с CONTROL ON DATABASE разрешениями ALTER ON DATABASE для этой базы данных и членами db_owner роли базы данных.

Чтобы создать пользователя автономной базы данных в Synapse SQL, необходимо подключиться к базе данных или экземпляру с помощью удостоверения Microsoft Entra. Чтобы создать первого пользователя автономной базы данных, необходимо подключиться к базе данных с помощью администратора Microsoft Entra (который является владельцем базы данных).

Любая проверка подлинности Microsoft Entra возможна только в том случае, если администратор Microsoft Entra был создан для Synapse SQL. Если администратор Microsoft Entra был удален с сервера, существующие пользователи Microsoft Entra, созданные ранее в Synapse SQL, больше не могут подключаться к базе данных с помощью учетных данных Microsoft Entra.

Отключение локальной проверки подлинности

Разрешая только проверку подлинности Microsoft Entra, централизованно управляйте доступом к ресурсам Azure Synapse, таким как пулы SQL. Чтобы отключить локальную проверку подлинности в Synapse во время создания рабочей области, выберите использовать только проверку подлинности Microsoft Entra в качестве метода проверки подлинности . Имя для входа администратора SQL все равно будет создано, но будет отключено. Локальную проверку подлинности позже может включить владелец или участник Azure в рабочей области Synapse.

Microsoft Entra-only auth configuration during workspace creation

Вы также можете отключить локальную проверку подлинности после создания рабочей области с помощью портала Azure. Локальная проверка подлинности не может быть отключена, пока администратор Microsoft Entra не будет создан для рабочей области Azure Synapse.

Microsoft Entra-only auth configuration after workspace creation

Возможности и ограничения Microsoft Entra

  • Следующие члены идентификатора Microsoft Entra можно подготовить в Synapse SQL:

  • Пользователи Microsoft Entra, которые являются частью группы с ролью сервера, db_owner не могут использовать синтаксис CREATE DATABASE SCOPED CREDENTIAL в Synapse SQL. Отобразится следующая ошибка:

    SQL Error [2760] [S0001]: The specified schema name 'user@mydomain.com' either does not exist or you do not have permission to use it.

    db_owner Предоставьте роль пользователю Microsoft Entra напрямую, чтобы устранить проблему CREATE DATABASE SCOPED CREDENTIAL.

  • Эти системные функции возвращают значения NULL при выполнении в субъектах Microsoft Entra:

    • SUSER_ID()
    • SUSER_NAME(<admin ID>)
    • SUSER_SNAME(<admin SID>)
    • SUSER_ID(<admin name>)
    • SUSER_SID(<admin name>)

Подключение с помощью удостоверений Microsoft Entra

Проверка подлинности Microsoft Entra поддерживает следующие методы подключения к базе данных с помощью удостоверений Microsoft Entra:

  • Пароль Microsoft Entra
  • Интегрированная microsoft Entra
  • Microsoft Entra Universal с MFA
  • Использование маркера проверки подлинности приложения

Для субъектов сервера Microsoft Entra (имена входа) поддерживаются следующие методы проверки подлинности:

  • Пароль Microsoft Entra
  • Интегрированная microsoft Entra
  • Microsoft Entra Universal с MFA

Дополнительные рекомендации

  • Чтобы повысить управляемость, рекомендуется подготовить выделенную группу Microsoft Entra в качестве администратора.
  • В любое время можно настроить только один администратор Microsoft Entra (пользователь или группа) для пулов Synapse SQL.
    • Добавление субъектов сервера Microsoft Entra (logins) для Synapse SQL позволяет создавать несколько субъектов сервера Microsoft Entra (имена входа), которые можно добавить в sysadmin роль.
  • Только администратор Microsoft Entra для Synapse SQL изначально может подключаться к Synapse SQL с помощью учетной записи Microsoft Entra. Администратор Active Directory может настроить последующих пользователей базы данных Microsoft Entra.
  • Мы рекомендуем установить время ожидания подключения в 30 секунд.
  • SQL Server 2016 Management Studio и SQL Server Data Tools для Visual Studio 2015 (версия 14.0.60311.1April 2016 или более поздней версии) поддерживают проверку подлинности Microsoft Entra. (Проверка подлинности Microsoft Entra поддерживается поставщик данных платформа .NET Framework для SqlServer; по крайней мере версия платформа .NET Framework 4.6). Таким образом, новейшие версии этих средств и приложений уровня данных (DAC и). BACPAC) может использовать проверку подлинности Microsoft Entra.
  • Начиная с версии 15.0.1, служебные программыSQLCMD и BCP поддерживают интерактивную аутентификацию Active Directory с возможностью MFA.
  • Для SQL Server Data Tools для Visual Studio 2015 требуется версия Data Tools, выпущенная в апреле 2016 г. (14.0.60311.1), или более поздняя. В настоящее время пользователи Microsoft Entra не отображаются в SSDT обозреватель объектов. Сведения о пользователях можно просмотреть в файле sys.database_principals.
  • Microsoft JDBC Driver 6.0 для SQL Server поддерживает проверку подлинности Microsoft Entra. Вы можете также ознакомиться с настройкой свойств подключения.
  • Учетная запись администратора Microsoft Entra управляет доступом к выделенным пулам, а роли Synapse RBAC используются для управления доступом к бессерверным пулам, например с ролью Synapse Администратор istrator и Synapse SQL Администратор istrator. Дополнительные сведения о настройке ролей RBAC Synapse с помощью Synapse Studio см. в статье Управление назначениями ролей RBAC Synapse в Synapse Studio.
  • Если пользователь настроен как администратор Microsoft Entra и Synapse Администратор istrator, а затем удален из роли администратора Microsoft Entra, пользователь потеряет доступ к выделенным пулам SQL в Synapse. Их необходимо удалить, а затем добавить в роль Synapse Администратор istrator, чтобы восстановить доступ к выделенным пулам SQL.

Следующие шаги