Azure SQL için Azure Active Directory'de Dizin Okuyucuları rolü

Şunlar için geçerlidir: Azure SQL Veritabanı Azure SQL Yönetilen Örneği Azure Synapse Analytics

Azure Active Directory (Azure AD), rol atamalarını yönetmek için Azure AD grupları kullanarak kullanıma sunulmuştur. Bu, Azure AD rollerin gruplara atanmasına olanak tanır.

Not

Azure SQL için Microsoft Graph desteğiyle, Dizin Okuyucuları rolü daha düşük düzey izinler kullanılarak değiştirilebilir. Daha fazla bilgi için bkz. Azure SQL için Azure AD'de kullanıcı tarafından atanan yönetilen kimlik.

Azure SQL Veritabanı, Azure SQL Yönetilen Örneği veya Azure Synapse Analytics için yönetilen kimliği etkinleştirirken, Microsoft Graph API okuma erişimine izin vermek için kimliğe Azure ADDizin Okuyucuları rolü atanabilir. SQL Veritabanı ve Azure Synapse yönetilen kimliği sunucu kimliği olarak adlandırılır. SQL Yönetilen Örneği yönetilen kimliği yönetilen örnek kimliği olarak adlandırılır ve örnek oluşturulduğunda otomatik olarak atanır. SQL Veritabanı veya Azure Synapse sunucu kimliği atama hakkında daha fazla bilgi için bkz. Azure AD kullanıcı oluşturmak için hizmet sorumlularını etkinleştirme.

Dizin Okuyucuları rolü, aşağıdakilere yardımcı olmak için sunucu veya örnek kimliği olarak kullanılabilir:

  • SQL Yönetilen Örneği için Azure AD oturum açma bilgileri oluşturma
  • Azure SQL Azure AD kullanıcıların kimliğine bürünme
  • Windows kimlik doğrulaması kullanan SQL Server kullanıcıları Azure AD kimlik doğrulamasıyla SQL Yönetilen Örneği geçirme (ALTER USER (Transact-SQL) komutunu kullanarak)
  • SQL Yönetilen Örneği için Azure AD yöneticisini değiştirme
  • Hizmet sorumlularının (Uygulamalar) Azure SQL'da Azure AD kullanıcı oluşturmasına izin ver

Dizin Okuyucuları rolünü atama

Dizin Okuyucuları rolünü bir kimliğe atamak için Genel Yönetici veya Ayrıcalıklı Rol Yöneticisi izinlerine sahip bir kullanıcı gerekir. genellikle SQL Veritabanı, SQL Yönetilen Örneği veya Azure Synapse yöneten veya dağıtan kullanıcılar bu yüksek ayrıcalıklı rollere erişemeyebilir. Bu durum genellikle planlanmamış Azure SQL kaynakları oluşturan veya büyük kuruluşlarda genellikle erişilemeyen yüksek ayrıcalıklı rol üyelerinin yardımına ihtiyaç duyan kullanıcılar için karmaşıklığa neden olabilir.

SQL Yönetilen Örneği için, yönetilen örnek için bir Azure AD yöneticisi ayarlayabilmeniz için önce Dizin Okuyucuları rolünün yönetilen örnek kimliğine atanması gerekir.

Mantıksal sunucu için bir Azure AD yöneticisi ayarlanırken SQL Veritabanı veya Azure Synapse için sunucu kimliğine Dizin Okuyucuları rolü atamak gerekmez. Ancak, Azure AD bir uygulama adına SQL Veritabanı veya Azure Synapse Azure AD nesne oluşturmayı etkinleştirmek için Dizin Okuyucuları rolü gereklidir. Rol SQL mantıksal sunucu kimliğine atanmazsa, Azure SQL'de Azure AD kullanıcı oluşturma başarısız olur. Daha fazla bilgi için bkz. Azure SQL ile Azure Active Directory hizmet sorumlusu.

Dizin Okuyucuları rolünü bir Azure AD grubuna verme

Artık bir Genel Yönetici veya Ayrıcalıklı Rol Yöneticisi'nin bir Azure AD grubu oluşturmasını ve gruba Dizin Okuyucuları izni atamasını sağlayabilirsiniz. Bu, bu grubun üyeleri için Microsoft Graph API erişimine izin verir. Ayrıca, bu grubun sahibi olan Azure AD kullanıcıların, Azure SQL mantıksal sunucularının kimlikleri de dahil olmak üzere bu grup için yeni üyeler atamasına izin verilir.

Bu çözüm, grup oluşturmak ve kullanıcıları tek seferlik bir etkinlik olarak atamak için yine de yüksek ayrıcalıklı kullanıcı (Genel Yönetici veya Ayrıcalıklı Rol Yöneticisi) gerektirir, ancak Azure AD grup sahipleri bundan sonra ek üyeler atayabilir. Bu, gelecekte Azure AD kiracısında tüm SQL Veritabanlarını, SQL Yönetilen Örneklerini veya Azure Synapse sunucularını yapılandırmak için yüksek ayrıcalıklı bir kullanıcının dahil edilmesi gereksinimini ortadan kaldırır.

Sonraki adımlar