Aracılığıyla paylaş


Azure Stream Analytics işinden Azure SQL Veritabanı veya Azure Synapse Analytics'e erişmek için yönetilen kimlikleri kullanma

Azure Stream Analytics, Azure SQL Veritabanı ve Azure Synapse Analytics çıkış havuzları için Yönetilen Kimlik kimlik doğrulamasını destekler. Yönetilen kimlikler, parola değişiklikleri veya 90 günde bir gerçekleşen kullanıcı belirteci süre sonu nedeniyle yeniden kimlik doğrulama gereksinimi gibi kullanıcı tabanlı kimlik doğrulama yöntemlerinin sınırlamalarını ortadan kaldırır. El ile kimlik doğrulaması gereksinimini kaldırdığınızda Stream Analytics dağıtımlarınız tamamen otomatikleştirilebilir.

Yönetilen kimlik, belirli bir Stream Analytics işini temsil eden, Microsoft Entra Id'de kayıtlı yönetilen bir uygulamadır. Yönetilen uygulama, hedeflenen bir kaynakta kimlik doğrulaması yapmak için kullanılır. Bu makalede, Azure portalı aracılığıyla bir Stream Analytics işinin Azure SQL Veritabanı veya Azure Synapse Analytics çıktıları için Yönetilen Kimliği etkinleştirme işlemi gösterilmektedir.

Genel Bakış

Bu makalede, Yönetilen Kimlik kimlik doğrulama modunu kullanarak Stream Analytics işinizi Azure SQL Veritabanı veya Azure Synapse Analytics SQL havuzunuza bağlamak için gereken adımlar gösterilir.

  • İlk olarak Stream Analytics işiniz için sistem tarafından atanan bir yönetilen kimlik oluşturursunuz. Bu, Microsoft Entra Id'de işinizin kimliğidir.

  • SQL sunucunuza veya Synapse çalışma alanınıza bir Active Directory yöneticisi ekleyin. Bu, bu kaynak için Microsoft Entra Id (Yönetilen Kimlik) kimlik doğrulamasını etkinleştirir.

  • Ardından, veritabanında Stream Analytics işinin kimliğini temsil eden bir kapsanan kullanıcı oluşturun. Stream Analytics işi SQL VERITABANı veya Synapse SQL DB kaynağınızla her etkileşime geçtiğinde, Stream Analytics işinizin sahip olduğu izinleri denetlemek için başvuracağı kimlik budur.

  • Stream Analytics işinize SQL Veritabanı veya Synapse SQL havuzlarınıza erişmek için izinler verin.

  • Son olarak stream analytics işinde çıkış olarak Azure SQL Veritabanı/Azure Synapse Analytics'inizi ekleyin.

Ön koşullar

Bu özelliği kullanmak için aşağıdakiler gereklidir:

  • Azure Stream Analytics işi.

  • bir Azure SQL Veritabanı kaynağı.

Yönetilen kimlik oluşturma

İlk olarak, Azure Stream Analytics işiniz için bir yönetilen kimlik oluşturursunuz.

  1. Azure portalında Azure Stream Analytics işinizi açın.

  2. Sol gezinti menüsünde Yapılandır'ın altında bulunan Yönetilen Kimlik'i seçin. Ardından Sistem Tarafından Atanan Yönetilen Kimliği Kullan'ın yanındaki kutuyu işaretleyin ve Kaydet'i seçin.

    Select system-assigned managed identity

    Stream Analytics işinin kimliği için bir hizmet sorumlusu Microsoft Entra Id'de oluşturulur. Yeni oluşturulan kimliğin yaşam döngüsü Azure tarafından yönetilir. Stream Analytics işi silindiğinde, ilişkili kimlik (yani hizmet sorumlusu) Azure tarafından otomatik olarak silinir.

  3. Kullanıcı tarafından atanan yönetilen kimliklere de geçiş yapabilirsiniz.

  4. Yapılandırmayı kaydettiğinizde, hizmet sorumlusunun Nesne Kimliği (OID) aşağıda gösterildiği gibi Asıl Kimlik olarak listelenir:

    Object ID shown as Principal ID

    Hizmet sorumlusu, Stream Analytics işiyle aynı ada sahiptir. Örneğin, işinizin adı MyASAJob ise, hizmet sorumlusunun adı da MyASAJob olur.

Active Directory yöneticisi seçme

Yönetilen kimlik oluşturduktan sonra bir Active Directory yöneticisi seçersiniz.

  1. Azure SQL Veritabanı veya Azure Synapse Analytics SQL Havuzu kaynağınıza gidin ve sırasıyla kaynağın altında yer alan SQL Server veya Synapse Çalışma Alanı'nı seçin. Bunların bağlantısını Sunucu adı veya Çalışma alanı adı'nın yanındaki kaynağa genel bakış sayfasında bulabilirsiniz.

  2. sırasıyla SQL Server ve Synapse Çalışma Alanı için Ayarlar altında Active Directory Yönetici veya SQL Active Directory Yönetici seçin. Ardından Yöneticiyi ayarla'yı seçin.

    Active Directory admin page

  3. Active Directory yönetici sayfasında, SQL Server'da yönetici olacak bir kullanıcı veya grup arayın ve Seç'e tıklayın. Bu, sonraki bölümde Kapsanan Veritabanı Kullanıcısını oluşturabilecek kullanıcı olacaktır.

    Add Active Directory admin

    Active Directory yönetici sayfası, Active Directory'nizin tüm üyelerini ve gruplarını gösterir. Gri gösterilen kullanıcılar veya gruplar Microsoft Entra yöneticileri olarak desteklenmedikleri için seçilemiyor. SQL Veritabanı veya Azure Synapse ile kimlik doğrulaması için Microsoft Entra kimlik doğrulamasını kullanma bölümünün Microsoft Entra özellikleri ve Sınırlamaları bölümünde desteklenen yöneticilerin listesine bakın.

  4. Active Directory yönetici sayfasında Kaydet'i seçin. Yöneticiyi değiştirme işlemi birkaç dakika sürer.

Kapsanan veritabanı kullanıcısı oluşturma

Ardından, Azure SQL veya Azure Synapse veritabanınızda Microsoft Entra kimliğine eşlenmiş bir bağımsız veritabanı kullanıcısı oluşturursunuz. İçerilen veritabanı kullanıcısının birincil veritabanı için oturum açma bilgisi yoktur, ancak veritabanıyla ilişkili dizindeki bir kimliğe eşler. Microsoft Entra kimliği tek bir kullanıcı hesabı veya grup olabilir. Bu durumda, Stream Analytics işiniz için bağımsız bir veritabanı kullanıcısı oluşturmak istiyorsunuz.

Daha fazla bilgi için, Microsoft Entra tümleştirmesi hakkında arka plan için şu makaleyi gözden geçirin: SQL Veritabanı ve Azure Synapse Analytics ile Evrensel Kimlik Doğrulaması (MFA için SSMS desteği)

  1. SQL Server Management Studio kullanarak Azure SQL veya Azure Synapse veritabanınıza Bağlan. Kullanıcı adı, ALTER ANY USER iznine sahip bir Microsoft Entra kullanıcısıdır. SQL Server'da ayarladığınız yönetici bir örnektir. MFA kimlik doğrulaması ile Microsoft Entra ID – Universal kullanın.

    Connect to SQL Server

    Sunucu adı <SQL Server name>.database.windows.net farklı bölgelerde farklı olabilir. Örneğin, Çin bölgesi kullanmalıdır <SQL Server name>.database.chinacloudapi.cn.

    Seçenekler > Bağlan ion Özellikleri > Bağlan Veritabanına giderek belirli bir Azure SQL veya Azure Synapse veritabanı belirtebilirsiniz.

    SQL Server connection properties

  2. İlk kez bağlandığınızda aşağıdaki pencereyle karşılaşabilirsiniz:

    New firewall rule window

    1. Öyleyse, Azure portalında SQL Server/Synapse Çalışma Alanı kaynağınıza gidin. Güvenlik bölümünün altında Güvenlik duvarları ve sanal ağ/Güvenlik duvarları sayfasını açın.
    2. Herhangi bir kural adına sahip yeni bir kural ekleyin.
    3. Başlangıç IP'sinin Yeni Güvenlik Duvarı Kuralı penceresindeki Ip adresinden seçeneğini kullanın.
    4. Bitiş IP'sinin Yeni Güvenlik Duvarı Kuralı penceresindeki To IP adresini kullanın.
    5. Kaydet'i seçin ve SQL Server Management Studio'dan yeniden bağlanmayı deneyin.
  3. Bağlandıktan sonra, kapsanan veritabanı kullanıcısını oluşturun. Aşağıdaki SQL komutu, Stream Analytics işinizle aynı ada sahip bir bağımsız veritabanı kullanıcısı oluşturur. Köşeli ayraçları ASA_JOB_NAME etrafına eklediğinizden emin olun. Aşağıdaki T-SQL söz dizimini kullanın ve sorguyu çalıştırın.

    CREATE USER [ASA_JOB_NAME] FROM EXTERNAL PROVIDER;
    

    İçerilen veritabanı kullanıcısını doğru ekleyip eklemediğinizden emin olmak için SSMS'de ilgili veritabanının altında aşağıdaki komutu çalıştırın ve ASA_JOB_NAME "name" sütununun altında olup olmadığını denetleyin.

    SELECT * FROM <SQL_DB_NAME>.sys.database_principals
    WHERE type_desc = 'EXTERNAL_USER'
    
  4. Microsoft'un Microsoft Entra Kimliği'nin Stream Analytics işinin SQL Veritabanı erişimi olup olmadığını doğrulamak için Microsoft Entra'ya veritabanıyla iletişim kurma izni vermemiz gerekir. Bunu yapmak için Azure portalında "Güvenlik duvarları ve sanal ağ"/"Güvenlik duvarları" sayfasına yeniden gidin ve "Azure hizmetlerinin ve kaynaklarının bu sunucuya/çalışma alanına erişmesine izin ver" seçeneğini etkinleştirin.

    Firewall and virtual network

Stream Analytics iş izinleri verme

Kapsanan bir veritabanı kullanıcısı oluşturduktan ve önceki bölümde açıklandığı gibi portalda Azure hizmetlerine erişim verdiğinizde, Stream Analytics işinizin Yönetilen Kimlik'ten Yönetilen kimlik aracılığıyla Azure SQL veritabanı kaynağınıza bağlanma izni vardır. Daha sonra Stream Analytics iş akışında gerekli olacağı için Stream Analytics işine SELECT ve INSERT izinleri vermenizi öneririz. SELECT izni, işin Azure SQL veritabanındaki tabloyla bağlantısını test etmesini sağlar. INSERT izni, bir giriş ve Azure SQL veritabanı çıkışı yapılandırdıktan sonra uçtan uca Stream Analytics sorgularının test edilmesine olanak tanır.

Bu izinleri SQL Server Management Studio'yu kullanarak Stream Analytics işi için vekleyebilirsiniz. Daha fazla bilgi için grant (Transact-SQL) başvurusuna bakın.

Yalnızca veritabanındaki belirli bir tabloya veya nesneye izin vermek için aşağıdaki T-SQL söz dizimini kullanın ve sorguyu çalıştırın.

GRANT CONNECT TO ASA_JOB_NAME;
GRANT SELECT, INSERT ON OBJECT::TABLE_NAME TO ASA_JOB_NAME;

Alternatif olarak, SQL Server Management Studio'da Azure SQL veya Azure Synapse veritabanınıza sağ tıklayıp Özellikler İzinleri'ni >seçebilirsiniz. İzinler menüsünde, daha önce eklediğiniz Stream Analytics işini görebilir ve uygun gördüğünüz şekilde izinleri el ile verebilir veya reddedebilirsiniz.

ASA_JOB_NAME kullanıcınıza eklediğiniz tüm izinlere bakmak için SSMS'de ilgili veritabanı altında aşağıdaki komutu çalıştırın:

SELECT dbprin.name, dbprin.type_desc, dbperm.permission_name, dbperm.state_desc, dbperm.class_desc, object_name(dbperm.major_id)
FROM sys.database_principals dbprin
LEFT JOIN sys.database_permissions dbperm
ON dbperm.grantee_principal_id = dbprin.principal_id
WHERE dbprin.name = '<ASA_JOB_NAME>'

Azure SQL Veritabanı veya Azure Synapse çıkışı oluşturma

Dekont

Başvuru girişi olarak SQL Yönetilen Örneği (MI) kullanırken, SQL Yönetilen Örneği bir genel uç nokta yapılandırmanız gerekir. Veritabanı özelliğini yapılandırırken bağlantı noktasıyla birlikte tam etki alanı adını belirtmeniz gerekir. Örneğin: sampleserver.public.database.windows.net,3342.

Yönetilen kimliğiniz yapılandırıldığına göre Artık Stream Analytics işinize bir Azure SQL Veritabanı veya Azure Synapse çıkışı eklemeye hazırsınız.

SQL Veritabanı uygun çıkış şemasına sahip bir tablo oluşturduğunuzdan emin olun. Bu tablonun adı, Stream Analytics işine SQL Veritabanı çıkışı eklediğinizde doldurulması gereken gerekli özelliklerden biridir. Ayrıca, işin bağlantıyı test etmek ve Stream Analytics sorgularını çalıştırmak için SELECT ve INSERT izinlerine sahip olduğundan emin olun. Henüz yapmadıysanız Stream Analytics iş izinleri verme bölümüne bakın.

  1. Stream Analytics işinize dönün ve İş Topolojisi'nin altındaki Çıkışlar sayfasına gidin.

  2. SQL Veritabanı Ekle'yi > seçin. SQL Veritabanı çıkış havuzundaki çıkış özellikleri penceresinde, Kimlik Doğrulama modu açılan listesinden Yönetilen Kimlik'i seçin.

  3. Diğer özellikleri doldurun. SQL Veritabanı çıkışı oluşturma hakkında daha fazla bilgi edinmek için bkz. Stream Analytics ile SQL Veritabanı çıkışı oluşturma. Tamamladığınızda, Kaydet öğesini seçin.

  4. Kaydet'e tıkladıktan sonra kaynağınıza yönelik bir bağlantı testi otomatik olarak tetiklenmelidir. İşlem başarıyla tamamlandıktan sonra Stream Analytics işinizi, yönetilen kimlik doğrulama modunu kullanarak size Azure SQL Veritabanı veya Synapse SQL Veritabanı bağlanacak şekilde başarıyla yapılandırmış olursunuz.

SQL Başvuru Verileri için Ek Adımlar

Azure Stream Analytics, SQL Başvurusu verilerini kullanırken işinizin depolama hesabını yapılandırmanızı gerektirir. Bu depolama hesabı, Sql başvuru verileri anlık görüntüleri gibi Stream Analytics işinizle ilgili içerikleri depolamak için kullanılır.

İlişkili bir depolama hesabı ayarlamak için aşağıdaki adımları izleyin:

  1. Stream Analytics iş sayfasında, soldaki menüde Yapılandır'ın altında Depolama hesap ayarlarını seçin.

  2. Depolama hesabı ayarları sayfasında Depolama hesabı ekle'yi seçin.

  3. Depolama hesabı ayarlarınızı yapılandırmak için yönergeleri izleyin.

    Screenshot of the Storage account settings page of a Stream Analytics job.

Önemli

  • bağlantı dizesi kimlik doğrulaması yapmak için depolama hesabı güvenlik duvarı ayarlarını devre dışı bırakmanız gerekir.
  • Yönetilen Kimlik ile kimlik doğrulaması yapmak için Stream Analytics işinizi Depolama Blob Veri Katkıda Bulunanı rolü ve Depolama Tablo Verileri Katkıda Bulunanı rolü için depolama hesabının erişim denetimi listesine eklemeniz gerekir. İşinize erişim vermezseniz, iş herhangi bir işlem gerçekleştiremez. Erişim verme hakkında daha fazla bilgi için bkz. Azure RBAC kullanarak başka bir kaynağa yönetilen kimlik erişimi atama.

Kullanıcı Tarafından Atanan Yönetilen Kimlikle ilgili Ek Adımlar

ASA'yı Synapse'e bağlamak için kullanıcı tarafından atanan yönetilen kimliği seçtiyseniz adımları yineleyin:

  1. Kapsanan veritabanı kullanıcısı oluşturma. ASA_Job_Name Kullanıcı Tarafından Atanan Yönetilen Kimlik ile değiştirin. Aşağıdaki örneğe bakın.
    CREATE USER [User-Assigned Managed Identit] FROM EXTERNAL PROVIDER;
    
  2. Kullanıcı Tarafından Atanan Yönetilen Kimliğe izinler verin. ASA_Job_Name Kullanıcı Tarafından Atanan Yönetilen Kimlik ile değiştirin.

Daha fazla ayrıntı için lütfen yukarıdaki bölümlere bakın.

Yönetilen Kimliği Kaldır

Stream Analytics işi için oluşturulan Yönetilen Kimlik yalnızca iş silindiğinde silinir. İşi silmeden Yönetilen Kimliği silmenin hiçbir yolu yoktur. Yönetilen Kimlik'i artık kullanmak istemiyorsanız çıktının kimlik doğrulama yöntemini değiştirebilirsiniz. Yönetilen Kimlik, iş silinene kadar var olmaya devam eder ve Yönetilen Kimlik kimlik doğrulamasını yeniden kullanmaya karar verirseniz kullanılır.

Sonraki adımlar