Synapse SQL ile kimlik doğrulaması için Microsoft Entra kimlik doğrulamasını kullanma

Tip

Microsoft Fabric Data Warehouse geleceğe hazır mimariye, yerleşik yapay zekaya ve yeni özelliklere sahip data lake foundation üzerinde kurumsal ölçekli ilişkisel bir ambardır. Veri ambarı konusunda yeniyseniz Fabric Data Warehouse ile başlayın. Mevcut özel SQL havuzu iş yükleri, veri bilimi, gerçek zamanlı analiz ve raporlama genelinde yeni özelliklere erişmek için Fabric yükseltilebilir.

• Fabric ücretsiz deneme başlatın.
• Fabric Veri Ambarı için Taşıma Asistanı

Microsoft Entra kimlik doğrulaması, Microsoft Entra ID kimliklerini kullanarak Azure Synapse Analytics'e bağlanmak için kullanılan bir mekanizmadır.

Microsoft Entra kimlik doğrulamasıyla, izin yönetimini basitleştirmek için Azure Synapse erişimi olan kullanıcı kimliklerini merkezi olarak yönetebilirsiniz. Avantajlar şunlardır:

• Normal kullanıcı adı ve parola kimlik doğrulamasına bir alternatif sağlar.
• Sunucularda kullanıcı kimliklerinin yaygınlaşmasının durdurulmasına yardımcı olur.
• Parolanın tek bir yerde döndürülmesini sağlar.
• Müşteriler, dış (Microsoft Entra ID) grupları kullanarak izinleri yönetebilir.
• Tümleşik Windows authentication ve Microsoft Entra ID tarafından desteklenen diğer kimlik doğrulama biçimlerini etkinleştirerek parolaların depolanmasını ortadan kaldırabilir.
• Microsoft Entra ID, Azure Synapse bağlanan uygulamalar için belirteç tabanlı kimlik doğrulamasını destekler.
• Microsoft Entra kimlik doğrulaması, etki alanı eşitlemesi gerektirmeyen yerel bir Microsoft Entra ID için ADFS (etki alanı federasyonu) veya yerleşik kullanıcı/parola kimlik doğrulamasını destekler.
• Microsoft Entra ID, çok faktörlü kimlik doğrulaması (MFA) içeren Active Directory Evrensel Kimlik Doğrulaması kullanan SQL Server Management Studio bağlantılarını destekler. MFA, telefon araması, kısa mesaj, pinli akıllı kartlar veya mobil uygulama bildirimi gibi çeşitli kolay doğrulama seçenekleriyle güçlü kimlik doğrulaması içerir. Daha fazla bilgi için bkz. Synapse SQL ile çok faktörlü Microsoft Entra kimlik doğrulaması için SSMS desteği.
• Microsoft Entra ID, Active Directory Etkileşimli Kimlik Doğrulaması kullanan SQL Server Veri Araçları 'den (SSDT) benzer bağlantıları destekler. Daha fazla bilgi için, bkz. SQL Server Veri Araçları'nda (SSDT) Microsoft Entra ID desteği.

Yapılandırma adımları, Microsoft Entra kimlik doğrulamasını yapılandırmak ve kullanmak için aşağıdaki yordamları içerir.

1. Microsoft Entra ID oluşturun ve doldurun.
2. Microsoft Entra kimliği oluşturma
3. Synapse çalışma alanında oluşturulan Microsoft Entra kimliğine rol atama
4. Microsoft Entra kimliklerini kullanarak Synapse Studio bağlanın.

Azure Synapse Analytics'ta Microsoft Entra geçiş işlevi

Azure Synapse Analytics, Microsoft Entra kimliğinizi kullanarak veri gölündeki verilere erişmenizi sağlar.

Farklı veri altyapılarında dikkate alınan dosyalar ve veriler üzerinde erişim hakları tanımlamak, izinleri birden çok yerde tanımlamak yerine tek bir yere sahip olarak data lake çözümlerinizi basitleştirmenize olanak tanır.

Güven mimarisi

Aşağıdaki üst düzey diyagramda Synapse SQL ile Microsoft Entra kimlik doğrulaması kullanmanın çözüm mimarisi özetlenmektedir. Yerel Microsoft Entra kullanıcı parolasını desteklemek için yalnızca Azure AD/Synapse SQL ve Bulut bölümü dikkate alınır. Federasyon kimlik doğrulamasını (veya Windows kimlik bilgileri için kullanıcı/parola) desteklemek için ADFS bloğuyla iletişim gereklidir. Oklar iletişim yollarını gösterir.

Aşağıdaki diyagramda, istemcinin bir belirteç göndererek veritabanına bağlanmasına izin veren federasyon, güven ve barındırma ilişkileri gösterilir. Belirteç, Microsoft Entra ID tarafından doğrulanır ve veritabanına güvenilir olarak kabul edilir.

Müşteri 1, kendine özgü kullanıcılarla bir Microsoft Entra ID veya federasyon kullanıcılarına sahip bir Microsoft Entra ID'yi temsil etme kapasitesine sahiptir. Müşteri 2, içe aktarılan kullanıcıları içeren olası bir çözümü temsil eder; bu örnekte, ADFS'in Microsoft Entra ID ile senkronize edilmesiyle sağlanan federasyon Microsoft Entra ID'den geliyor.

Microsoft Entra kimlik doğrulamasını kullanarak bir veritabanına erişimin barındırma aboneliğinin Microsoft Entra Kimliği ile ilişkilendirilmesi gerektiğini anlamak önemlidir. Azure SQL Veritabanı veya ayrılmış SQL havuzunu barındıran SQL Server oluşturmak için aynı abonelik kullanılmalıdır.

Yönetici yapısı

Microsoft Entra kimlik doğrulaması kullanılırken Synapse SQL için iki Yönetici hesabı vardır: özgün SQL yöneticisi (SQL kimlik doğrulaması kullanarak) ve Microsoft Entra yöneticisi. Yalnızca bir Microsoft Entra hesabını temel alan yönetici, bir kullanıcı veritabanındaki ilk Microsoft Entra kimliğine sahip veritabanı kullanıcısını oluşturabilir.

Microsoft Entra yönetici oturum açma, bir Microsoft Entra kullanıcısı veya bir Microsoft Entra grubu olabilir. Yönetici bir grup hesabı olduğunda, herhangi bir grup üyesi tarafından kullanılabilir; bu, Synapse SQL örneği için birden çok Microsoft Entra yöneticisinin etkinleştirilmesine olanak tanır.

Grup hesabını yönetici olarak kullanmak, Azure Synapse Analytics çalışma alanında kullanıcıları veya izinleri değiştirmeden Microsoft Entra ID'da grup üyelerini merkezi olarak eklemenizi ve kaldırmanızı sağlayarak yönetilebilirliği artırır. İstediğiniz zaman yalnızca bir Microsoft Entra yöneticisi (kullanıcı veya grup) yapılandırılabilir.

İzinler

Yeni kullanıcılar oluşturmak için veritabanında izniniz ALTER ANY USER olmalıdır. İzin ALTER ANY USER herhangi bir veritabanı kullanıcısına verilebilir. ALTER ANY USER izni, SQL yöneticisi ve Microsoft Entra yönetici hesapları ile bu veritabanı için CONTROL ON DATABASE veya ALTER ON DATABASE iznine sahip veritabanı kullanıcıları ve db_owner veritabanı rolünün üyeleri tarafından da tutulur.

Synapse SQL'de bağımsız veritabanı kullanıcısı oluşturmak için, Microsoft Entra kimliği kullanarak veritabanına veya örneğe bağlanmanız gerekir. İlk bağımsız veritabanı kullanıcısını oluşturmak için, bir Microsoft Entra yöneticisi (veritabanının sahibi olan) kullanarak veritabanına bağlanmanız gerekir.

Microsoft Entra kimlik doğrulaması yalnızca synapse SQL için Microsoft Entra yöneticisi oluşturulduysa mümkündür. Microsoft Entra yöneticisi sunucudan kaldırıldıysa, daha önce Synapse SQL içinde oluşturulan mevcut Microsoft Entra kullanıcıları artık Microsoft Entra kimlik bilgilerini kullanarak veritabanına bağlanamıyor.

Yerel kimlik doğrulamayı devre dışı bırakma

Yalnızca Microsoft Entra kimlik doğrulamasına izin vererek SQL havuzları gibi Azure Synapse kaynaklarına erişimi merkezi olarak yönetin. Çalışma alanı oluşturma sırasında Synapse'te yerel kimlik doğrulamasını devre dışı bırakmak için Kimlik doğrulama yöntemi olarak yalnızca Microsoft Entra kimlik doğrulamasını kullan seçin. SQL Yöneticisi oturum açma bilgileri oluşturulmaya devam eder ancak devre dışı bırakılır. Yerel kimlik doğrulaması daha sonra Synapse çalışma alanının Azure Sahibi veya Katkıda Bulunanı tarafından etkinleştirilebilir.

Çalışma alanı oluşturulurken yalnızca Microsoft Entra kimlik doğrulama yapılandırması

Ayrıca, Azure portalı aracılığıyla bir çalışma alanı oluşturulduktan sonra yerel kimlik doğrulamasını devre dışı bırakabilirsiniz. Azure Synapse çalışma alanı için bir Microsoft Entra yöneticisi oluşturulana kadar yerel kimlik doğrulaması devre dışı bırakılamaz.

Çalışma alanı oluşturulduktan sonra

Microsoft Entra özellikleri ve sınırlamaları

• Synapse SQL'de aşağıdaki Microsoft Entra ID üyeleri sağlanabilir:

  • Yerleşik üyeler: Microsoft Entra ID'de yönetilen etki alanında veya müşteri etki alanında oluşturulan bir üye. Daha fazla bilgi için bkz. Microsoft Entra ID'ye kendi alan adınızı ekleme.
  • Federasyon etki alanı üyeleri: Federe etki alanıyla Microsoft Entra ID'de oluşturulmuş olan bir üye. Daha fazla bilgi için bkz. Azure'da Active Directory Federasyon Hizmetleri (AD FS) dağıtma.
  • Yerel veya federasyon etki alanı üyeleri olan diğer Azure AD'lerden içeri aktarılan üyeler.
  • Active Directory grupları güvenlik grupları olarak oluşturulmuştur.

• db_owner sunucu rolüne sahip bir grubun parçası olan Microsoft Entra kullanıcılar Synapse SQL'de CREATE DATABASE SCOPED CREDENTIAL söz dizimini kullanamaz. Aşağıdaki hatayı görürsünüz:

  SQL Error [2760] [S0001]: The specified schema name 'user@mydomain.com' either does not exist or you do not have permission to use it.

  db_owner sorununu azaltmak için rolünü doğrudan tek tek Microsoft Entra kullanıcıya verin.

• Bu sistem işlevleri, Microsoft Entra ilkeleri altında çalıştırıldığında NULL değerler döndürür.

  • SUSER_ID()
  • SUSER_NAME(<admin ID>)
  • SUSER_SNAME(<admin SID>)
  • SUSER_ID(<admin name>)
  • SUSER_SID(<admin name>)

Microsoft Entra kimliklerini kullanarak bağlanma

Microsoft Entra kimlik doğrulaması, Microsoft Entra kimliklerini kullanarak veritabanına bağlanmak için aşağıdaki yöntemleri destekler:

• Microsoft Entra Parolası
• Microsoft Entra tümleşik
• MFA ile Microsoft Entra Universal
• Uygulama belirteci ile kimlik doğrulama kullanımı

Microsoft Entra sunucu sorumluları (oturum açma bilgileri) için aşağıdaki kimlik doğrulama yöntemleri desteklenir:

• Microsoft Entra Parolası
• Microsoft Entra tümleşik
• MFA ile Microsoft Entra Universal

Dikkat edilecek diğer noktalar

• Yönetilebilirliği geliştirmek için yönetici olarak ayrılmış bir Microsoft Entra grubu sağlamanızı öneririz.
• Synapse SQL havuzları için herhangi bir zamanda yalnızca bir Microsoft Entra yöneticisi (kullanıcı veya grup) yapılandırılabilir.
  • Synapse SQL için Microsoft Entra sunucu sorumlularının (oturum açma bilgileri) eklenmesi, sysadmin rolüne eklenebilen birden çok Microsoft Entra sunucu sorumlusu (oturum açma bilgileri) oluşturma olanağı sağlar.
• Synapse SQL için yalnızca Microsoft Entra yöneticisi başlangıçta synapse SQL'e bir Microsoft Entra hesabı kullanarak bağlanabilir. Active Directory yöneticisi sonraki Microsoft Entra veritabanı kullanıcılarını yapılandırabilir.
• Bağlantı zaman aşımını 30 saniye olarak ayarlamanızı öneririz.
• SQL Server 2016 Management Studio ve Visual Studio 2015 (sürüm 14.0.60311.1April 2016 veya üzeri) için SQL Server Veri Araçları Microsoft Entra kimlik doğrulamasını destekler. (Microsoft Entra kimlik doğrulaması, SqlServer için .NET Framework Veri Sağlayıcısı; en az sürüm .NET Framework 4.6) tarafından desteklenir. Bu nedenle, bu araçların ve veri katmanı uygulamalarının (DAC ve .BACPAC) en yeni sürümleri Microsoft Entra kimlik doğrulaması kullanabilir.
• 15.0.1 sürümünden başlayarak sqlcmd yardımcı programı ve bcp yardımcı programı MFA ile etkileşimli Active Directory kimlik doğrulamasını destekler.
• Visual Studio 2015 için SQL Server Veri Araçları en azından Veri Araçları'nın Nisan 2016 sürümünü (sürüm 14.0.60311.1) gerektirir. Şu anda Microsoft Entra kullanıcıları, SSDT Nesne Gezgini'nde olarak gösterilmiyor. Geçici bir çözüm olarak, sys.database_principals'da kullanıcıları görüntüleyin.
• SQL Server için Microsoft JDBC Driver 6.0, Microsoft Entra kimlik doğrulamasını destekler. Ayrıca bkz . Bağlantı Özelliklerini Ayarlama.
• Microsoft Entra yönetici hesabı ayrılmış havuzlara erişimi denetlerken Synapse RBAC rolleri sunucusuz havuzlara erişimi denetlemek için kullanılır; örneğin, Synapse Administrator ve Synapse SQL Yöneticisi rolüyle. Synapse RBAC rollerini Synapse Studio aracılığıyla yapılandırma hakkında daha fazla bilgi için bkz. Synapse Studio içinde Synapse RBAC rol atamalarını yönetme.
• Bir kullanıcı Microsoft Entra yöneticisi ve Synapse Yöneticisi olarak yapılandırılırsa ve ardından Microsoft Entra yönetici rolünden kaldırılırsa, kullanıcı Synapse'deki ayrılmış SQL havuzlarına erişimi kaybeder. Ayrılmış SQL havuzlarına yeniden erişim kazanmak için bunların kaldırılması ve Synapse Yöneticisi rolüne eklenmesi gerekir.

Sonraki Adımlar

• Synapse SQL'de erişim ve denetime genel bakış için bkz. Synapse SQL erişim denetimi.
• Veritabanı sorumluları hakkında daha fazla bilgi için bkz. Sorumlular.
• Veritabanı rolleri hakkında daha fazla bilgi için bkz. Veritabanı rolleri.