Zdieľať cez


Overenie Microsoft Entra ako alternatíva k overenia SQL

Vzťahuje sa na:✅ koncový bod analýzy SQL a sklad v službe Microsoft Fabric

Tento článok popisuje technické metódy, ktoré môžu používatelia a zákazníci využiť na prechod z overovania SQL na overovanie Microsoft Entra v rámci služby Microsoft Fabric. Overovanie Microsoft Entra je alternatívou k menám používateľov a hesiel prostredníctvom overovania SQL na prihlásenie do koncového bodu služby SQL Analytics služby lakehouse alebo skladu v službe Microsoft Fabric. Overovanie Microsoft Entra je vhodné a dôležité na vytvorenie zabezpečenej platformy údajov.

Tento článok sa zameriava na overovanie Microsoft Entra ako alternatívu k overovania SQL v položkách služby Microsoft Fabric, ako je napríklad koncový bod analýzy Warehouse alebo Lakehouse SQL.

Výhody overovania entra spoločnosti Microsoft v službe Fabric

Jedným zo základných princípov služby Microsoft Fabric je v predvolenom návrhu zabezpečený. Microsoft Entra je neoddeliteľnou súčasťou zabezpečenia služby Microsoft Fabric tým, že zabezpečuje silnú ochranu, riadenie a dodržiavanie súladu údajov.

Microsoft Entra hrá kľúčovú úlohu v zabezpečení služby Microsoft Fabric z niekoľkých dôvodov:

  • Overovanie: Overte používateľov a objekty služby pomocou identifikátora Microsoft Entra ID, ktorý udeľuje prístupové tokeny pre operácie v rámci služby Fabric.
  • Zabezpečený prístup: Bezpečne sa pripojte ku cloudovým aplikáciám z ľubovoľného zariadenia alebo siete a ochránte požiadavky vykonané v službe Fabric.
  • Podmienený prístup: Správcovia môžu nastaviť politiky, ktoré posúdia kontext prihlásenia používateľa, kontrolujú prístup alebo vynucujú dodatočné kroky na overenie.
  • Integrácia: Služba Microsoft Entra ID bezproblémovo funguje so všetkými ponukami služby Microsoft SaaS vrátane služby Fabric, čo umožňuje jednoduchý prístup medzi zariadeniami a sieťami.
  • Široká platforma: Získajte prístup k službe Microsoft Fabric pomocou služby Microsoft Entra ID prostredníctvom ľubovoľnej metódy, či už prostredníctvom portálu služby Fabric, reťazec pripojenia SQL, rozhrania REST API alebo koncového bodu XMLA.

Microsoft Entra prijíma úplnú politiku Nulová dôvera (Zero Trust), ktorá ponúka lepšiu alternatívu k tradičnému overovanie SQL obmedzené na mená používateľov a heslá. Tento prístup:

  • Zabráni zosobneniu používateľa.
  • Umožňuje diferencované riadenie prístupu so zreteľom na identitu používateľa, prostredie, zariadenia atď.
  • Podporuje pokročilé zabezpečenie, ako je napríklad viacfaktorové overovanie pomocou spoločnosti Microsoft Entra.

Konfigurácia tkaniny

Overovanie Microsoft Entra na použitie s koncovým bodom analýzy Sql Warehouse alebo Lakehouse vyžaduje konfiguráciu v nastaveniach nájomníka aj pracovného priestoru.

Nastavenie nájomníka

Správca služby Fabric vo vašom nájomníkovi musí povoliť hlavnému názvu služby prístup k rozhraniam API služby Fabric, ktoré sú potrebné na to, aby hlavný názov služby mal rozhranie SQL reťazec pripojenia na položky koncového bodu služby Fabric Warehouse alebo SQL Analytics.

Toto nastavenie sa nachádza v časti Nastavenia pre vývojára a je označené ako Objekty služby môžu používať rozhrania API služby Fabric. Uistite sa, že je povolená.

Snímka obrazovky z portálu služby Fabric na stránke Nastavenia pre vývojára v časti Nastavenia nájomníka.

Nastavenie pracovného priestoru

Správca služby Fabric vo vašom pracovnom priestore musí udeliť prístup používateľovi/hlavnému názvu služby na prístup k položkám služby Fabric.

Existujú dva spôsoby, ktorými možno používateľovi/hlavnému názvu služby udeliť prístup:

  • Udelenie členstva používateľa/hlavného názvu služby role: Každá rola pracovného priestoru (správca, člen, prispievateľ alebo čitateľ) stačí na pripojenie k skladu alebo položkám v službe lakehouse pomocou reťazec pripojenia SQL.

    1. V možnosti Spravovať prístup v pracovnom priestore priraďte rolu Prispievateľ . Ďalšie informácie nájdete v téme Roly služby.
  • Priradenie používateľa/hlavného názvu služby ku konkrétnej položke: Udeľte prístup ku konkrétnemu koncovému bodu skladu alebo analytického bodu SQL služby Lakehouse. Správca služby Fabric si môže vybrať z rôznych úrovní povolení.

    1. Prejdite na príslušnú položku koncového bodu skladu alebo analýzy SQL.
    2. Vyberte položku Ďalšie možnosti a potom položku Spravovať povolenia. Vyberte položku Pridať používateľa.
    3. Pridajte hlavný názov používateľa/hlavného názvu služby na stránke Udeliť prístup používateľom.
    4. Priradenie potrebných povolení používateľovi/hlavnému názvu služby. Vyberte položku Bez ďalších povolení , ak chcete udeliť len povolenia na pripojenie.

    Snímka obrazovky z portálu služby Fabric na stránke Udeliť používateľom prístup.

Môžete zmeniť predvolené povolenia, ktoré systém udelil používateľovi/hlavnému názvu služby. Ak chcete zmeniť povolenia podľa potreby, použite príkazy T-SQL GRANT a DENY , prípadne pridajte členstvo do rolí pomocou funkcie ALTER ROLE .

V súčasnosti hlavné názvy služby nemajú možnosť ako používateľské kontá pre podrobnú konfiguráciu povolení s možnosťou GRANT/DENY.

Podpora identít používateľov a hlavných názvov služieb (SPN)

Služba Fabric natívne podporuje overovanie a oprávnenie pre používateľov služby Microsoft Entra a hlavné názvy služieb (SPN) v pripojeniach SQL k položkám koncového bodu skladu a analýzy SQL.

  • Identity používateľov sú jedinečné poverenia pre každého používateľa v rámci organizácie.
  • Hlavné názvy služby predstavujú objekty aplikácie v rámci nájomníka a slúžia ako identita pre inštancie aplikácií, pričom preberajú rolu overovania a autorizácie týchto aplikácií.

Podpora tabuľkového streamu údajov (TDS)

Fabric používa protokol Tabular Data Stream (TDS), rovnaký ako SQL Server, keď sa pripojíte k reťazec pripojenia.

Služba Fabric je kompatibilná s akoukoľvek aplikáciou alebo nástrojom, ktorý sa dokáže pripojiť k produktu pomocou databázového stroja SQL. Podobne ako pripojenie inštancie SQL Servera, TDS funguje na porte TCP 1433. Ďalšie informácie o pripojení k službe Fabric SQL nájdete v téme Pripojenie.

Ak chcete získať reťazec pripojenia, vyberte položku Ďalšie možnosti v sklade služby Fabric alebo položke koncového bodu analýzy SQL.

Snímka obrazovky z portálu služby Fabric kontextovej ponuky Ďalšie možnosti. Možnosť Kopírovať REŤAZEC PRIPOJENIA SQL je zvýraznená.

Ukážka reťazec pripojenia SQL vyzerá takto: <guid_unique_your_item>.datawarehouse.fabric.microsoft.com.

Aplikácie a klientske nástroje môžu nastaviť Authentication vlastnosť pripojenia v reťazec pripojenia a vybrať režim overenia Microsoft Entra. V nasledujúcej tabuľke sú uvedené podrobnosti o rôznych režimoch overenia Entra spoločnosti Microsoft vrátane podpory pre viacfaktorové overovanie (MFA) spoločnosti Microsoft.

Režim overenia Scenáre Komentáre
Microsoft Entra Interactive Využité aplikáciami alebo nástrojmi v situáciách, kde sa overenie používateľa môže vyskytnúť interaktívne alebo ak je prijateľné, aby bolo možné vykonať manuálny zásah na overenie poverení. Aktivácia viacfaktorových viacfaktorových politík a politík podmieneného prístupu spoločnosti Microsoft na vynútenie pravidiel organizácie.
Objekt služby Microsoft Entra Používa sa v aplikáciách na zabezpečené overovanie bez ľudského zásahu, najvhodnejšie na integráciu aplikácií. Odporúča sa povoliť politiky podmieneného prístupu k službe Microsoft Entra.
Heslo používateľa Microsoft Entra Ak aplikácie nemôžu používať overovanie založené na SPN z dôvodu nekompatibility alebo vyžadovať všeobecné meno používateľa a heslo pre mnohých používateľov, alebo ak sú iné metódy neuskutočniteľné. Viacfaktorové overovanie musí byť vypnuté a nie je možné nastaviť žiadne politiky podmieneného prístupu. Skôr než sa rozhodnete pre toto riešenie, odporúčame vám overiť si prácu s tímom zabezpečenia zákazníka.

Vývojový diagram zobrazujúci režimy overenia a rozhodovacie body v aplikácii Microsoft Entra.

Podpora ovládačov pre overovanie Microsoft Entra

Zatiaľ čo väčšina ovládačov SQL pôvodne mala podporu pre overovanie Microsoft Entra, nedávne aktualizácie majú rozšírenú kompatibilitu, ktorá zahŕňa overovanie založené na SPN. Toto vylepšenie zjednodušuje prechod na overovanie Microsoft Entra pre rôzne aplikácie a nástroje prostredníctvom inovácie ovládačov a pridania podpory overovania Microsoft Entra.

Niekedy je však potrebné upraviť ďalšie nastavenia, ako napríklad umožniť určitým portom alebo bránám firewall uľahčiť overovanie Microsoft Entra v hostiteľskom počítači.

Aplikácie a nástroje musia inovovať ovládače na verzie, ktoré podporujú overovanie Microsoft Entra, a pridať kľúčové slovo režimu overovania v sql reťazec pripojenia, ako napríklad ActiveDirectoryInteractive, ActiveDirectoryServicePrincipalalebo ActiveDirectoryPassword.

Služba Fabric je kompatibilná s natívnymi ovládačmi spoločnosti Microsoft vrátane OLE DB Microsoft.Data.SqlClienta všeobecnými ovládačmi ako ODBC a JDBC. Prechod pre aplikácie, ktoré pracujú so službou Fabric, možno spravovať prostredníctvom rekonfigurácie tak, aby sa použilo overovanie na základe MICROSOFT Entra ID.

Ďalšie informácie nájdete v téme Pripojenie k skladu údajov v službe Microsoft Fabric.

Microsoft OLE DB

Ovládač OLE DB pre SQL Server je samostatné rozhranie API na prístup k údajom určené pre databázu OLE DB a prvýkrát vydané s nástrojom SQL Server 2005 (9.x). Rozšírené funkcie zahŕňajú overovanie založené na spN s verziou 18.5.0 a pridávajú existujúce metódy overovania z predchádzajúcich verzií.

Režim overenia reťazec pripojenia SQL
Microsoft Entra Interactive Interaktívne overovanie microsoft Entra
Objekt služby Microsoft Entra Overenie objektom služby Microsoft Entra
Heslo používateľa Microsoft Entra Meno používateľa a heslo spoločnosti Microsoft

Úryvok kódu V C# pomocou OLE DB s overovaním založeným na SPN nájdete System.Data.OLEDB.Connect.cs.

Ovládač Microsoft ODBC

Ovládač Microsoft ODBC pre SQL Server je jedna knižnica DLL s dynamickým prepojením, ktorá obsahuje podporu času spustenia pre aplikácie používajúce rozhrania API natívneho kódu na pripojenie k SQL Serveru. Na integráciu so službou Fabric sa odporúča použiť najnovšiu verziu pre aplikácie.

Ďalšie informácie o overovaní aplikáciou Microsoft Entra pomocou ODBC nájdete v téme Používanie rozhrania Microsoft Entra ID pomocou vzorového kódu ovládača ODBC.

Režim overenia Reťazec pripojenia SQL
Microsoft Entra Interactive DRIVER={ODBC Driver 18 for SQL Server};SERVER=<SQL Connection String>;DATABASE=<DB Name>;UID=<Client_ID@domain>;PWD=<Secret>;Authentication=ActiveDirectoryInteractive
Objekt služby Microsoft Entra DRIVER={ODBC Driver 18 for SQL Server};SERVER=<SQL Connection String>;DATABASE=<DBName>;UID=<Client_ID@domain>;PWD=<Secret>;Authentication=ActiveDirectoryServicePrincipal
Heslo používateľa Microsoft Entra DRIVER={ODBC Driver 18 for SQL Server};SERVER=<SQL Connection String>;DATABASE=<DBName>;UID=<Client_ID@domain>;PWD=<Secret>;Authentication=ActiveDirectoryPassword

Úryvok kódu v jazyku Python pomocou ROZHRANIA ODBC s overovaním založeným na SPN nájdete v téme pyodbc-dw-connectivity.py.

Ovládač Microsoft JDBC

Ovládač Microsoft JDBC pre SQL Server je ovládač JDBC 4. typu, ktorý poskytuje pripojenie k databáze prostredníctvom štandardných rozhraní aplikačného programu JDBC (API) dostupných na platforme Java.

Od verzie 9.2 mssql-jdbc predstavuje podporu pre ActiveDirectoryInteractive a ActiveDirectoryServicePrincipal, ktorá ActiveDirectoryPassword je podporovaná vo verziách 12.2 a novších. Tento ovládač vyžaduje ďalšie poháre ako závislosti, ktoré musia byť kompatibilné s verziou používanou mssql-driver vo vašej aplikácii. Ďalšie informácie nájdete v téme Závislosti funkcií ovládača JDBC a požiadavky nastavenia klienta.

Režim overenia Ďalšie informácie
Microsoft Entra Interactive Pripojenie pomocou režimu overovania ActiveDirectoryInteractive
Objekt služby Microsoft Entra Pripojenie pomocou režimu overenia ActiveDirectoryServicePrincipal
Heslo používateľa Microsoft Entra Pripojenie pomocou režimu overenia ActiveDirectoryPassword

Úryvok kódu Java pomocou rozhrania JDBC s overovaním založeným na SPN nájdete v téme fabrictoolbox/dw_connect.java a vzorový súbor pom pom.xml.

Microsoft.Data.SqlClient v rozhraní .NET Core (C#)

Microsoft.Data.SqlClient je poskytovateľom údajov pre Microsoft SQL Server a databázu Azure SQL. Ide o zjednotenie dvoch System.Data.SqlClient komponentov, ktoré žijú nezávisle v rozhraniach .NET Framework a .NET Core a poskytujú skupinu tried na prístup k databázam Microsoft SQL Servera. Microsoft.Data.SqlClient sa odporúča pre všetky nové a budúce vývojové

Režim overenia Ďalšie informácie
Microsoft Entra Interactive Používanie interaktívneho overovania
Objekt služby Microsoft Entra Používanie overovania objektom služby
Heslo používateľa Microsoft Entra Používanie overenia heslom

Zlomky kódu pomocou hlavných názvov služby: