Azure SQL için Microsoft Entra Id'de Dizin Okuyucuları rolü
Şunlar için geçerlidir: Azure SQL Veritabanı Azure SQL Yönetilen Örneği Azure Synapse Analytics
Microsoft Entra Id (eski adıYla Azure Active Directory), rol atamalarını yönetmek için grupları kullanarak kullanıma sunulmuştur. Bu, Microsoft Entra rollerinin gruplara atanmasını sağlar.
Not
Azure SQL için Microsoft Graph desteğiyle, Dizin Okuyucuları rolü daha düşük düzey izinler kullanılarak değiştirilebilir. Daha fazla bilgi için bkz . Azure SQL için Microsoft Entra'da kullanıcı tarafından atanan yönetilen kimlik.
Azure SQL Veritabanı, Azure SQL Yönetilen Örneği veya Azure Synapse Analytics için yönetilen kimliği etkinleştirirken, Microsoft Graph API'sine okuma erişimine izin vermek için kimliğe Microsoft Entra ID Dizin Okuyucuları rolü atanabilir. SQL Veritabanı ve Azure Synapse'in yönetilen kimliği sunucu kimliği olarak adlandırılır. SQL Yönetilen Örneği yönetilen kimliği yönetilen örnek kimliği olarak adlandırılır ve örnek oluşturulduğunda otomatik olarak atanır. SQL Veritabanı veya Azure Synapse'e sunucu kimliği atama hakkında daha fazla bilgi için bkz. Microsoft Entra kullanıcıları oluşturmak için hizmet sorumlularını etkinleştirme.
Dizin Okuyucuları rolü, aşağıdakilere yardımcı olmak için sunucu veya örnek kimliği olarak kullanılabilir:
- SQL Yönetilen Örneği için Microsoft Entra oturum açma bilgileri oluşturma
- Azure SQL'de Microsoft Entra kullanıcılarının kimliğine bürünme
- Windows kimlik doğrulamasını kullanan SQL Server kullanıcılarını Microsoft Entra kimlik doğrulamasıyla SQL Yönetilen Örneği geçirme (ALTER USER (Transact-SQL) komutunu kullanarak)
- SQL Yönetilen Örneği için Microsoft Entra yöneticisini değiştirme
- Hizmet sorumlularının (Uygulamalar) Azure SQL'de Microsoft Entra kullanıcıları oluşturmasına izin ver
Not
Microsoft Entra Id daha önce Azure Active Directory (Azure AD) olarak biliniyordu.
Dizin Okuyucuları rolünü atama
Dizin Okuyucuları rolünü bir kimliğe atamak için Genel Yönetici veya Ayrıcalıklı Rol Yöneticisi izinlerine sahip bir kullanıcı gerekir. SQL Veritabanı, SQL Yönetilen Örneği veya Azure Synapse'i sık sık yöneten veya dağıtan kullanıcılar bu yüksek ayrıcalıklı rollere erişemeyebilir. Bu durum genellikle planlanmamış Azure SQL kaynakları oluşturan veya büyük kuruluşlarda genellikle erişilemeyen yüksek ayrıcalıklı rol üyelerinin yardımına ihtiyaç duyan kullanıcılar için karmaşıklığa neden olabilir.
SQL Yönetilen Örneği için, yönetilen örnek için bir Microsoft Entra yöneticisi ayarlayabilmeniz için önce Dizin Okuyucuları rolünün yönetilen örnek kimliğine atanması gerekir.
Mantıksal sunucu için bir Microsoft Entra yöneticisi ayarlarken SQL Veritabanı veya Azure Synapse için sunucu kimliğine Dizin Okuyucuları rolü atamak gerekli değildir. Ancak, bir Microsoft Entra uygulaması adına SQL Veritabanı veya Azure Synapse'te Microsoft Entra nesnesi oluşturmayı etkinleştirmek için Dizin Okuyucuları rolü gereklidir. Rol mantıksal sunucu kimliğine atanmazsa Azure SQL'de Microsoft Entra kullanıcıları oluşturulamaz. Daha fazla bilgi için bkz . Azure SQL ile Microsoft Entra hizmet sorumlusu.
Microsoft Entra grubuna Dizin Okuyucuları rolü verme
Artık bir Genel Yönetici veya Ayrıcalıklı Rol Yöneticisi'nin bir Microsoft Entra grubu oluşturmasını ve dizin okuyucuları iznini gruba atamasını sağlayabilirsiniz. Bu, bu grubun üyeleri için Microsoft Graph API'sine erişim sağlar. Ayrıca, bu grubun sahibi olan Microsoft Entra kullanıcılarının bu grup için mantıksal sunucuların kimlikleri de dahil olmak üzere yeni üyeler atamasına izin verilir.
Bu çözüm, bir grup oluşturmak ve kullanıcıları tek seferlik etkinlik olarak atamak için yine de yüksek ayrıcalıklı bir kullanıcı (Genel Yönetici veya Ayrıcalıklı Rol Yöneticisi) gerektirir, ancak Microsoft Entra grup sahipleri bundan sonra ek üyeler atayabilir. Bu, gelecekte Microsoft Entra kiracısında tüm SQL Veritabanı, SQL Yönetilen Örneği veya Azure Synapse sunucularını yapılandırmak için yüksek ayrıcalıklı bir kullanıcının dahil edilmesi gereksinimini ortadan kaldırır.