Synapse SQL ile kimlik doğrulaması için Microsoft Entra kimlik doğrulamasını kullanma

Microsoft Entra kimlik doğrulaması, Microsoft Entra Id kimliklerini kullanarak Azure Synapse Analytics'e bağlanan bir mekanizmadır.

Microsoft Entra kimlik doğrulaması ile, izin yönetimini basitleştirmek için Azure Synapse'e erişimi olan kullanıcı kimliklerini merkezi olarak yönetebilirsiniz. Avantajları şunlardır:

• Normal kullanıcı adı ve parola kimlik doğrulamasına bir alternatif sağlar.
• Sunucularda kullanıcı kimliklerinin yaygınlaşmasının durdurulmasına yardımcı olur.
• Parolanın tek bir yerde döndürülmesini sağlar.
• Müşteriler, dış (Microsoft Entra ID) gruplarını kullanarak izinleri yönetebilir.
• Tümleşik Windows kimlik doğrulamasını ve Microsoft Entra Id tarafından desteklenen diğer kimlik doğrulama biçimlerini etkinleştirerek parolaların depolanmasını ortadan kaldırabilir.
• Microsoft Entra ID, Azure Synapse'e bağlanan uygulamalar için belirteç tabanlı kimlik doğrulamasını destekler.
• Microsoft Entra kimlik doğrulaması, etki alanı eşitlemesi olmadan yerel bir Microsoft Entra Kimliği için ADFS'yi (etki alanı federasyonu) veya yerel kullanıcı/parola kimlik doğrulamasını destekler.
• Microsoft Entra ID, çok faktörlü kimlik doğrulaması (MFA) içeren Active Directory Evrensel Kimlik Doğrulaması kullanan SQL Server Management Studio bağlantılarını destekler. MFA, telefon araması, kısa mesaj, pinli akıllı kartlar veya mobil uygulama bildirimi gibi çeşitli kolay doğrulama seçenekleriyle güçlü kimlik doğrulaması içerir. Daha fazla bilgi için bkz . Synapse SQL ile Microsoft Entra çok faktörlü kimlik doğrulaması için SSMS desteği.
• Microsoft Entra ID, Active Directory Etkileşimli Kimlik Doğrulaması kullanan SQL Server Veri Araçları 'den (SSDT) benzer bağlantıları destekler. Daha fazla bilgi için bkz. SQL Server Veri Araçları'de (SSDT) Microsoft Entra ID desteği.

Yapılandırma adımları, Microsoft Entra kimlik doğrulamasını yapılandırmak ve kullanmak için aşağıdaki yordamları içerir.

1. Microsoft Entra Id oluşturun ve doldurun.
2. Microsoft Entra kimliği oluşturma
3. Synapse çalışma alanında oluşturulan Microsoft Entra kimliğine rol atama
4. Microsoft Entra kimliklerini kullanarak Synapse Studio'ya Bağlan.

Azure Synapse Analytics'te Microsoft Entra geçişi

Azure Synapse Analytics, Microsoft Entra kimliğinizi kullanarak veri gölündeki verilere erişmenizi sağlar.

Farklı veri altyapılarında dikkate alınan dosyalar ve veriler üzerinde erişim hakları tanımlamak, izinleri birden çok yerde tanımlamak yerine tek bir yere sahip olarak data lake çözümlerinizi basitleştirmenize olanak tanır.

Güven mimarisi

Aşağıdaki üst düzey diyagram, Synapse SQL ile Microsoft Entra kimlik doğrulamasını kullanmanın çözüm mimarisini özetler. Microsoft Entra yerel kullanıcı parolasını desteklemek için yalnızca Bulut bölümü ve Azure AD/Synapse Synapse SQL dikkate alınır. Federasyon kimlik doğrulamasını (veya Windows kimlik bilgileri için kullanıcı/parola) desteklemek için ADFS bloğuyla iletişim gereklidir. Oklar iletişim yollarını gösterir.

Aşağıdaki diyagramda, istemcinin bir belirteç göndererek veritabanına bağlanmasına izin veren federasyon, güven ve barındırma ilişkileri gösterilir. Belirtecin kimliği bir Microsoft Entra Kimliği ile doğrulanır ve veritabanı tarafından güvenilir.

Müşteri 1, yerel kullanıcılarla bir Microsoft Entra Kimliğini veya federasyon kullanıcıları olan bir Microsoft Entra Kimliğini temsil edebilir. Müşteri 2, içeri aktarılan kullanıcılar dahil olası bir çözümü temsil eder; bu örnekte, MICROSOFT Entra Id ile eşitlenen ADFS ile federasyon Microsoft Entra Kimliği'nden geliyor.

Microsoft Entra kimlik doğrulamasını kullanarak bir veritabanına erişimin barındırma aboneliğinin Microsoft Entra Kimliği ile ilişkilendirilmesi gerektiğini anlamak önemlidir. Azure SQL Veritabanı veya ayrılmış SQL havuzunu barındıran SQL Server'ı oluşturmak için aynı abonelik kullanılmalıdır.

Yönetici istrator yapısı

Microsoft Entra kimlik doğrulamasını kullanırken Synapse SQL için iki Yönetici istrator hesabı vardır: özgün SQL yöneticisi (SQL kimlik doğrulaması kullanılarak) ve Microsoft Entra yöneticisi. Yalnızca bir Microsoft Entra hesabını temel alan yönetici, bir kullanıcı veritabanındaki ilk Microsoft Entra kimliğine sahip veritabanı kullanıcısını oluşturabilir.

Microsoft Entra yönetici oturum açma bilgileri bir Microsoft Entra kullanıcısı veya Bir Microsoft Entra grubu olabilir. Yönetici bir grup hesabı olduğunda, synapse SQL örneği için birden çok Microsoft Entra yöneticisini etkinleştirerek herhangi bir grup üyesi tarafından kullanılabilir.

Grup hesabını yönetici olarak kullanmak, Azure Synapse Analytics çalışma alanında kullanıcıları veya izinleri değiştirmeden Microsoft Entra Id'ye grup üyelerini merkezi olarak eklemenizi ve kaldırmanızı sağlayarak yönetilebilirliği artırır. İstediğiniz zaman yalnızca bir Microsoft Entra yöneticisi (kullanıcı veya grup) yapılandırılabilir.

İzinler

Yeni kullanıcılar oluşturmak için veritabanında izniniz ALTER ANY USER olmalıdır. İzin ALTER ANY USER herhangi bir veritabanı kullanıcısına verilebilir. İzin ALTER ANY USER ayrıca SQL yöneticisi ve Microsoft Entra yönetici hesapları ve bu veritabanı için veya ALTER ON DATABASE iznine CONTROL ON DATABASE sahip veritabanı kullanıcıları ve veritabanı rolünün db_owner üyeleri tarafından tutulur.

Synapse SQL'de bağımsız veritabanı kullanıcısı oluşturmak için, Microsoft Entra kimliği kullanarak veritabanına veya örneğe bağlanmanız gerekir. İlk bağımsız veritabanı kullanıcısını oluşturmak için, bir Microsoft Entra yöneticisi (veritabanının sahibi olan) kullanarak veritabanına bağlanmanız gerekir.

Microsoft Entra kimlik doğrulaması yalnızca Synapse SQL için Microsoft Entra yöneticisi oluşturulduysa mümkündür. Microsoft Entra yöneticisi sunucudan kaldırılırsa, daha önce Synapse SQL içinde oluşturulan mevcut Microsoft Entra kullanıcıları artık Microsoft Entra kimlik bilgilerini kullanarak veritabanına bağlanamıyor.

Yerel kimlik doğrulamayı devre dışı bırakma

Yalnızca Microsoft Entra kimlik doğrulamasına izin vererek SQL havuzları gibi Azure Synapse kaynaklarına erişimi merkezi olarak yönetin. Çalışma alanı oluşturma sırasında Synapse'te yerel kimlik doğrulamasını devre dışı bırakmak için Kimlik doğrulama yöntemi olarak Yalnızca Microsoft Entra kimlik doğrulamasını kullan'ı seçin. SQL Yönetici istrator oturum açma bilgileri oluşturulmaya devam eder ancak devre dışı bırakılır. Yerel kimlik doğrulaması daha sonra Synapse çalışma alanının Azure Sahibi veya Katkıda Bulunanı tarafından etkinleştirilebilir.

Ayrıca Azure portalı aracılığıyla bir çalışma alanı oluşturulduktan sonra yerel kimlik doğrulamasını devre dışı bırakabilirsiniz. Azure Synapse çalışma alanı için bir Microsoft Entra yöneticisi oluşturulana kadar yerel kimlik doğrulaması devre dışı bırakılamaz.

Microsoft Entra özellikleri ve sınırlamaları

• Microsoft Entra Id'nin aşağıdaki üyeleri Synapse SQL'de sağlanabilir:

  • Yerel üyeler: Yönetilen etki alanında veya müşteri etki alanında Microsoft Entra Kimliği'nde oluşturulmuş bir üye. Daha fazla bilgi için bkz . Microsoft Entra Id'ye kendi etki alanı adınızı ekleme.
  • Federasyon etki alanı üyeleri: Federasyon etki alanıyla Microsoft Entra Kimliği'nde oluşturulmuş bir üye. Daha fazla bilgi için bkz. Azure'da Active Directory Federasyon Hizmetleri (AD FS) dağıtma.
  • Yerel veya federasyon etki alanı üyeleri olan diğer Azure AD'lerinden içeri aktarılan üyeler.
  • Güvenlik grupları olarak oluşturulan Active Directory grupları.

• Sunucu rolüne sahip db_owner bir grubun parçası olan Microsoft Entra kullanıcıları Synapse SQL'de CREATE DATABASE SCOPED CREDENTIAL söz dizimini kullanamaz. Aşağıdaki hatayı görürsünüz:

  SQL Error [2760] [S0001]: The specified schema name 'user@mydomain.com' either does not exist or you do not have permission to use it.

  db_owner CREATE DATABASE SCOPED CREDENTIAL sorununu azaltmak için rolü doğrudan bireysel Microsoft Entra kullanıcısına verin.

• Bu sistem işlevleri, Microsoft Entra sorumluları altında yürütürken NULL değerler döndürür:

  • SUSER_ID()
  • SUSER_NAME(<admin ID>)
  • SUSER_SNAME(<admin SID>)
  • SUSER_ID(<admin name>)
  • SUSER_SID(<admin name>)

Microsoft Entra kimliklerini kullanarak Bağlan

Microsoft Entra kimlik doğrulaması, Microsoft Entra kimliklerini kullanarak veritabanına bağlanmak için aşağıdaki yöntemleri destekler:

• Microsoft Entra Parolası
• Microsoft Entra tümleşik
• MFA ile Microsoft Entra Universal
• Uygulama belirteci kimlik doğrulamayı kullanma

Microsoft Entra sunucu sorumluları (oturum açma bilgileri) için aşağıdaki kimlik doğrulama yöntemleri desteklenir:

• Microsoft Entra Parolası
• Microsoft Entra tümleşik
• MFA ile Microsoft Entra Universal

Dikkat edilecek diğer noktalar

• Yönetilebilirliği geliştirmek için yönetici olarak ayrılmış bir Microsoft Entra grubu sağlamanızı öneririz.
• Synapse SQL havuzları için herhangi bir zamanda yalnızca bir Microsoft Entra yöneticisi (kullanıcı veya grup) yapılandırılabilir.
  • Synapse SQL için Microsoft Entra sunucu sorumlularının (oturum açma bilgileri) eklenmesi, role eklenebilen sysadmin birden çok Microsoft Entra sunucu sorumlusu (oturum açma) oluşturma olanağı sağlar.
• Synapse SQL için yalnızca bir Microsoft Entra yöneticisi başlangıçta bir Microsoft Entra hesabı kullanarak Synapse SQL'e bağlanabilir. Active Directory yöneticisi sonraki Microsoft Entra veritabanı kullanıcılarını yapılandırabilir.
• Bağlantı zaman aşımını 30 saniye olarak ayarlamanızı öneririz.
• Visual Studio 2015 için SQL Server 2016 Management Studio ve SQL Server Veri Araçları (sürüm 14.0.60311.1April 2016 veya üzeri) Microsoft Entra kimlik doğrulamasını destekler. (Microsoft Entra kimlik doğrulaması, SqlServer için .NET Framework Veri Sağlayıcısı tarafından desteklenir; en az .NET Framework 4.6 sürümü). Bu nedenle, bu araçların ve veri katmanı uygulamalarının (DAC ve ) en yeni sürümleri. BACPAC) Microsoft Entra kimlik doğrulamayı kullanabilir.
• 15.0.1 sürümünden başlayarak, sqlcmd yardımcı programı ve bcp yardımcı programı MFA ile Active Directory Etkileşimli kimlik doğrulamayı destekler.
• Visual Studio 2015 için SQL Server Veri Araçları en azından Veri Araçları'nın Nisan 2016 sürümünü (sürüm 14.0.60311.1) gerektirir. Şu anda Microsoft Entra kullanıcıları SSDT Nesne Gezgini gösterilmiyor. Geçici bir çözüm olarak, sys.database_principals'da kullanıcıları görüntüleyin.
• SQL Server için Microsoft JDBC Driver 6.0, Microsoft Entra kimlik doğrulamasını destekler. Ayrıca bkz. Bağlan ion Özelliklerini Ayarlama.
• Microsoft Entra yönetici hesabı ayrılmış havuzlara erişimi denetlerken Synapse RBAC rolleri sunucusuz havuzlara erişimi denetlemek için kullanılır; örneğin Synapse Yönetici istrator ve Synapse SQL Yönetici istrator rolüyle. Synapse Studio aracılığıyla Synapse RBAC rollerini yapılandırma hakkında daha fazla bilgi için bkz . Synapse Studio'da Synapse RBAC rol atamalarını yönetme.
• Bir kullanıcı Microsoft Entra yöneticisi ve Synapse Yönetici istrator olarak yapılandırıldıysa ve ardından Microsoft Entra yönetici rolünden kaldırıldıysa, kullanıcı Synapse'deki ayrılmış SQL havuzlarına erişimi kaybeder. Ayrılmış SQL havuzlarına yeniden erişim kazanmak için bunların kaldırılması ve synapse Yönetici istrator rolüne eklenmesi gerekir.

Sonraki adımlar

• Synapse SQL'de erişim ve denetime genel bakış için bkz . Synapse SQL erişim denetimi.
• Veritabanı sorumluları hakkında daha fazla bilgi için bkz. Sorumlular.
• Veritabanı rolleri hakkında daha fazla bilgi için bkz. Veritabanı rolleri.