Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Använd dessa Microsoft SQL-säkerhetsexempel för att jämföra hur Data API Builder (DAB) autentiserar till SQL, validerar användare och framtvingar åtkomst per användare. Varje exempel är fristående, men serien flyttas från grundläggande autentiseringsuppgifter till användardelegerad Azure SQL åtkomst.
Välj en snabbstart
Börja med frågan som matchar ditt mål.
| Om du vill... | Använd den här snabbstarten |
|---|---|
| Lär dig det enklaste DAB-till-SQL-anslutningsmönstret | Användarnamn/lösenord |
| Ta bort SQL-lösenord från Azure konfiguration | Hanterad identitet |
| Lägg till Microsoft Entra tokenverifiering innan inloggning krävs | Microsoft Entra |
| Filtrera rader i DAB med hjälp av tokenanspråk | DAB-principer |
| Filtrera rader i SQL med hjälp av databasbaserad säkerhet på radnivå | Säkerhet på radnivå i SQL |
| Låt Azure SQL autentisera den inloggade användaren direkt | För Azure SQL |
Beslutsträd
- Behöver du bara ett grundläggande arbetsexempel?
- Använd användarnamn/lösenord.
- Vill du ha lösenordslös DAB-till-Azure SQL åtkomst?
- Använd Hanterad identitet.
- Behöver du DAB för att verifiera Microsoft Entra token?
- Använd Microsoft Entra.
- Behöver inloggade användare bara se sina egna rader?
- Om DAB ska framtvinga filtret använder du DAB-principer.
- Om SQL ska framtvinga filtret använder du sql-säkerhet på radnivå.
- Behöver granskningsloggar eller databasprinciper den faktiska inloggade användaren som SQL-identitet?
- Använd On-behalf-of för Azure SQL.
Jämför säkerhetsmodellen
Kolumnen DAB-autentiseringsprovider visar det effektiva värdet för runtime.host.authentication.provider. Om konfigurationen utelämnar den här inställningen använder UnauthenticatedDAB . Förutom exemplen för användarnamn/lösenord och on-behalf-of använder lokala körningar SQL-autentiseringsuppgifter, medan Azure-distributioner använder hanterad identitet. On-behalf-of-exemplet ställer också in data-source.user-delegated-auth.provider till EntraId.
| Snabbstart | Användare till webbapp | Webbapp till DAB | DAB-autentiseringsprovider | DAB till SQL |
|---|---|---|---|---|
| Användarnamn/lösenord | Anonym | Anonym | Unauthenticated |
SQL-autentiseringsuppgifter |
| Hanterad identitet | Anonym | Anonym | Unauthenticated |
Hanterad identitet i Azure |
| Microsoft Entra | Anonym | Anonym | EntraId |
Hanterad identitet i Azure |
| DAB-principer | Inloggning med Microsoft Entra | Bärartoken | EntraId |
Hanterad identitet i Azure |
| Säkerhet på radnivå i SQL | Inloggning med Microsoft Entra | Bärartoken | EntraId |
Hanterad identitet i Azure |
| För någon annans räkning till Azure SQL | Inloggning med Microsoft Entra | Bärartoken | EntraId |
Användardelegeringstoken till Azure SQL |