Poznámka
Na prístup k tejto stránke sa vyžaduje oprávnenie. Môžete sa skúsiť prihlásiť alebo zmeniť adresáre.
Na prístup k tejto stránke sa vyžaduje oprávnenie. Môžete skúsiť zmeniť adresáre.
Platí na: ✅SQL databázu v Microsoft Fabric
Tento článok vysvetľuje overovanie pre databázy SQL.
Rovnako ako iné typy položiek Microsoft Fabric, SQL databázy sa spoliehajú na autentifikáciu Microsoft Entra .
Na úspešnú autentifikáciu do SQL databázy musí mať používateľ Microsoft Entra, service principal alebo jeho group oprávnenie na čítanie položky pre databázu vo Fabrice. Pre informácie o tom, ako udeliť Microsoft Entra identitný prístup pracovnému priestoru Fabric alebo konkrétnej databáze, pozri Fabric access controls.
Ak chcete nájsť connection string k vašej SQL databáze vo Fabrice, pozrite Connect to your SQL databázu v Microsoft Fabric.
Poznámka
Ak chcete objektom služby povoliť pripojenie k databáze Fabric a databázam SQL, musíte tiež povoliť, aby objekty služby mohli používať nastavenia nájomníka rozhrania API služby Fabric. Informácie o tom, ako povoliť nastavenia nájomníka, nájdete v téme Nastavenia nájomníka služby Fabric.
Pripojte sa k SQL databáze pomocou autentifikácie Microsoft Entra
K databáze sa môžete pripojiť pomocou autentifikácie Microsoft Entra s:
- SQL nástroje, ktoré podporujú Microsoft Entra autentifikáciu, vrátane SQL Server Management Studio a MSSQL rozšírenia pre Visual Studio Code.
- Aplikácie, ktoré používajú SQL klientské ovládače podporujúce Microsoft Entra autentifikáciu, vrátane SqlClient, JDBC, ODBC a OLE DB.
Aplikácie a nástroje musia aktualizovať ovládače na verzie podporujúce autentifikáciu Microsoft Entra a pridať kľúčové slovo autentifikačného režimu do svojich SQL connection string, napríklad ActiveDirectoryInteractive, ActiveDirectoryServicePrincipal alebo ActiveDirectoryPassword.
Vytváranie databázových používateľov pre identity Microsoft Entra
Ak plánujete konfigurovať SQL prístupové kontroly pomocou Transact-SQL, najprv musíte vytvoriť databázových používateľov zodpovedajúcich vašim Microsoft Entra identitám – používateľom, princípom služieb alebo ich skupinám – pomocou CREATE USER (Transact-SQL).
Vytváranie používateľov databázy sa nevyžaduje, ak používate ovládacie prvky prístupu k službe Fabric (roly pracovného priestoru alebo povolenia položky). Nemusíte vytvárať používateľov, ak spravujete roly na úrovni databázy SQL z portálu služby Fabric – portál v prípade potreby automaticky vytvorí používateľov.
Vytvárajte databázových používateľov, keď ste pripojení ako používateľ Microsoft Entra
Keď ste ako používateľ Microsoft Entra pripojení k databáze, mali by ste použiť CREATE USER s klauzulou FROM EXTERNAL PROVIDER na vytváranie používateľov pre Microsoft Entra princípy.
FROM EXTERNAL PROVIDER overuje špecifikované hlavné meno pomocou Microsoft Entra, získa hlavný identifikátor (ID objektu používateľa alebo skupiny, ID aplikácie alebo klienta) a uloží identifikátor ako bezpečnostný identifikátor používateľa (SID) do SQL metadát. Pri používaní klauzuly FROM EXTERNAL PROVIDER musíte byť členom roly Directory Readers v Microsoft Entra. Nasledujúce ukážkové T-SQL skripty používajú FROM EXTERNAL PROVIDER na vytvorenie používateľa na základe Microsoft Entra používateľa, princípu služby v Microsoft Entra alebo skupiny v Microsoft Entra.
-- Create a user for a Microsoft Entra user
CREATE USER [alice@contoso.com] FROM EXTERNAL PROVIDER;
-- Create a user for a service principal in Microsoft Entra
CREATE USER [HRApp] FROM EXTERNAL PROVIDER;
-- Create a user for a group in Microsoft Entra
CREATE USER [HR] FROM EXTERNAL PROVIDER;
Vytvárajte databázových používateľov, keď ste pripojení ako Microsoft Entra service principal
Keď je aplikácia pripojená k databáze so služobným princípom, aplikácia musí vydať CREATE USER s SID a TYPE na vytvorenie používateľov pre Microsoft Entra princípov. Špecifikovaný hlavný názov nie je overený v Microsoft Entra. Je zodpovednosťou aplikácie (vývojára aplikácií) zadať platný názov a platný identifikátor SID a typ objektu používateľa.
Ak je špecifikovaný princíp používateľ alebo skupina v Microsoft Entra, SID musí byť ID objektu tohto používateľa alebo skupiny v Microsoft Entra. Ak je špecifikovaný princíp servisným princípom v Microsoft Entra, SID musí byť aplikačné ID (client ID) servisného princípu v Microsoft Entra. ID objektov a ID aplikácií (ID klientov) získané z Microsoft Entra musia byť prevedené na binárne(16).
Hodnota argumentu TYPE musí byť:
-
E- ak je špecifikovaný Microsoft Entra princíp používateľ alebo princípal služby. -
X- ak je špecifikovaný Microsoft Entra princíp grupou.
Nasledujúci T-SQL ukážkový skript vytvorí databázového používateľa pre Microsoft Entra používateľa s názvom bob@contoso.com, pričom nastaví SID nového používateľa na ID objektu Microsoft Entra používateľa. Jedinečný identifikátor ID objektu používateľa sa skonvertuje a potom zreťazí do CREATE USER príkazu. Nahraďte <unique identifier sid> ID objektu používateľa v Microsoft Entra.
DECLARE @principal_name SYSNAME = 'bob@contoso.com';
DECLARE @objectId UNIQUEIDENTIFIER = '<unique identifier sid>'; -- user's object ID in Microsoft Entra
-- Convert the guid to the right type
DECLARE @castObjectId NVARCHAR(MAX) = CONVERT(VARCHAR(MAX), CONVERT (VARBINARY(16), @objectId), 1);
-- Construct command: CREATE USER [@principal_name] WITH SID = @castObjectId, TYPE = E;
DECLARE @cmd NVARCHAR(MAX) = N'CREATE USER [' + @principal_name + '] WITH SID = ' + @castObjectId + ', TYPE = E;'
EXEC (@cmd);
Nasledujúci príklad vytvára databázového používateľa pre Microsoft Entra service principal s názvom HRApp, pričom nastaví SID nového používateľa na client ID service principal v Microsoft Entra.
DECLARE @principal_name SYSNAME = 'HRApp';
DECLARE @clientId UNIQUEIDENTIFIER = '<unique identifier sid>'; -- principal's client ID in Microsoft Entra
-- Convert the guid to the right type
DECLARE @castClientId NVARCHAR(MAX) = CONVERT(VARCHAR(MAX), CONVERT (VARBINARY(16), @clientId), 1);
-- Construct command: CREATE USER [@principal_name] WITH SID = @castClientId, TYPE = E;
DECLARE @cmd NVARCHAR(MAX) = N'CREATE USER [' + @principal_name + '] WITH SID = ' + @castClientId + ', TYPE = E;'
EXEC (@cmd);
Nasledujúci príklad vytvára databázového používateľa pre Microsoft Entra skupinu s názvom HR, pričom nastaví SID nového používateľa na ID objektu skupiny.
DECLARE @group_name SYSNAME = 'HR';
DECLARE @objectId UNIQUEIDENTIFIER = '<unique identifier sid>'; -- principal's object ID in Microsoft Entra
-- Convert the guid to the right type
DECLARE @castObjectId NVARCHAR(MAX) = CONVERT(VARCHAR(MAX), CONVERT (VARBINARY(16), @objectId), 1);
-- Construct command: CREATE USER [@groupName] WITH SID = @castObjectId, TYPE = X;
DECLARE @cmd NVARCHAR(MAX) = N'CREATE USER [' + @group_name + '] WITH SID = ' + @castObjectId + ', TYPE = X;'
EXEC (@cmd);
Obmedzenia
- Microsoft Entra ID je jediný poskytovateľ identity SQL databázy vo Fabric, ktorú podporuje. Konkrétne sa overovanie SQL nepodporuje.
- Prihlásenia (objektu servera) nie sú podporované.
- V súčasnosti je jedinou podporovanou politikou pripojenia pre SQL databázu v Microsoft Fabric Default. Ďalšie informácie nájdete v téme Politika pripojenia.
Súvisiaci obsah
- VYTVORIŤ POUŽÍVATEĽA (Transact-SQL)
- ALTER USER (Transact-SQL)
- DROP USER (Transact-SQL)
- Vytvorenie používateľa databázy
- Microsoft Entra prihlásenia a používatelia s neunikátnymi zobrazenými menami (náhľad)
- Autorizácia v SQL databáze v Microsoft Fabric
- Pripojiť sa k vašej SQL databáze v Microsoft Fabric