Microsoft Purview 中的源身份验证凭据

本文介绍如何在 Microsoft Purview 中创建凭据。 通过这些保存的凭据，可以快速重用保存的身份验证信息并将其应用于数据源扫描。

先决条件

• Azure 密钥保管库。 若要了解如何创建密钥保管库，请参阅快速入门：使用 Azure 门户创建密钥保管库。

简介

凭据是 Microsoft Purview 可用于对已注册数据源进行身份验证的身份验证信息。 可以为各种类型的身份验证方案创建凭据对象，例如需要用户名/密码的基本身份验证。 凭据根据所选的身份验证方法类型捕获进行身份验证所需的特定信息。 凭据使用现有的 Azure Key Vault 机密在凭据创建过程中检索敏感身份验证信息。

在 Microsoft Purview 中，有几个选项可以用作身份验证方法来扫描数据源，例如以下选项。 从每个 数据源文章 中了解其支持的身份验证。

• Microsoft Purview 系统分配的托管标识
• 用户分配的托管标识 (预览)
• 使用 密钥保管库) 的帐户密钥 (
• 使用 密钥保管库) 的 SQL 身份验证 (
• 使用 密钥保管库) 的服务主体 (
• 使用 密钥保管库) 的使用者密钥 (
• 其他信息

在创建任何凭据之前，请考虑数据源类型和网络要求，以确定方案所需的身份验证方法。

使用 Microsoft Purview 系统分配的托管标识设置扫描

如果使用 Microsoft Purview 系统分配的托管标识 (SAMI) 来设置扫描，则无需创建凭据并将密钥保管库链接到 Microsoft Purview 即可存储它们。 有关添加 Microsoft Purview SAMI 以有权扫描数据源的详细说明，请参阅以下特定于数据源的身份验证部分：

• Azure Blob 存储
• Azure Data Lake Storage Gen1
• Azure Data Lake Storage Gen2
• Azure SQL数据库
• Azure SQL 托管实例
• Azure Synapse工作区
• Azure Synapse专用 SQL 池 (以前是 SQL DW)

向 Microsoft Purview 授予对 Azure 密钥保管库的访问权限

若要向 Microsoft Purview 授予对 Azure 密钥保管库的访问权限，需要确认以下两项内容：

• 对 Azure 密钥保管库的防火墙访问
• Azure 密钥保管库上的 Microsoft Purview 权限

对 Azure 密钥保管库 的防火墙访问

如果 Azure 密钥保管库禁用了公用网络访问，则可以使用两个选项来允许访问 Microsoft Purview。

• 受信任的 Microsoft 服务
• 专用终结点连接

受信任的 Microsoft 服务

Microsoft Purview 作为 Azure 密钥保管库的受信任服务之一列出，因此，如果在 Azure 密钥保管库禁用公用网络访问，则只能启用对受信任的 Microsoft 服务的访问权限，并且将包括 Microsoft Purview。

可以在 Azure 密钥保管库的“网络”选项卡下启用此设置。

在页面底部的“例外”下，启用 “允许受信任的 Microsoft 服务绕过此防火墙 ”功能。

专用终结点连接

若要使用专用终结点连接到 Azure 密钥保管库，请遵循 Azure 密钥保管库 的专用终结点文档。

注意

使用 托管虚拟网络 中的 Azure 集成运行时扫描数据源时，支持专用终结点连接选项。 对于自承载集成运行时，需要启用 受信任的 Microsoft 服务。

Azure 密钥保管库上的 Microsoft Purview 权限

目前，Azure 密钥保管库支持两种权限模型：

• 选项 1 - 访问策略
• 选项 2 - 基于角色的访问控制

在分配对 Microsoft Purview 系统分配的托管标识 (SAMI) 的访问权限之前，请先从菜单中密钥保管库资源访问策略中标识 Azure 密钥保管库权限模型。 根据相关的权限模型执行以下步骤。

选项 1 - 使用密钥保管库访问策略分配访问权限

仅当 Azure 密钥保管库 资源中的权限模型设置为“保管库访问策略”时，才按照以下步骤操作：

1. 导航到 Azure 密钥保管库。

2. 选择“ 访问策略 ”页。

3. 选择“ 添加访问策略”。

   

4. 在 “机密权限 ”下拉列表中，选择“ 获取 和 列出 权限”。

5. 对于 “选择主体”，请选择“Microsoft Purview 系统托管标识”。 可以使用 Microsoft Purview 实例名称 或 托管标识应用程序 ID 搜索 Microsoft Purview SAMI。 我们目前不支持复合标识 (托管标识名称 + 应用程序 ID) 。

   

6. 选择“添加”。

7. 选择“ 保存” 以保存访问策略。

   

选项 2 - 使用密钥保管库 Azure 基于角色的访问控制分配访问权限

仅当 Azure 密钥保管库 资源中的权限模型设置为 Azure 基于角色的访问控制时，才按照以下步骤操作：

1. 导航到 Azure 密钥保管库。

2. 从左侧导航菜单中选择“访问控制 (IAM) ”。

3. 选择“+ 添加”。

4. 将“角色”设置为“密钥保管库机密用户”，并在“选择输入”框下输入 Microsoft Purview 帐户名称。 然后，选择“保存”，将此角色分配给 Microsoft Purview 帐户。

   

在 Microsoft Purview 帐户中创建 Azure Key Vault 连接

在创建凭据之前，请先将一个或多个现有的 Azure 密钥保管库 实例与 Microsoft Purview 帐户相关联。

1. 通过以下方式打开 Microsoft Purview 治理门户：

   • 直接浏览并选择 https://web.purview.azure.com Microsoft Purview 帐户。
   • 打开Azure 门户，搜索并选择要用于接收共享的 Microsoft Purview 帐户。 打开 Microsoft Purview 治理门户。

2. 导航到工作室中的 管理中心 ，然后导航到 凭据。

3. 在“凭据”页中，选择“管理密钥保管库连接”。

   

4. 从“管理密钥保管库连接”页中选择“+ 新建”。

5. 提供所需的信息，然后选择“ 创建”。

6. 确认密钥保管库已成功与 Microsoft Purview 帐户关联，如以下示例所示：

   

创建新凭据

Microsoft Purview 支持这些凭据类型：

• 基本身份验证：将 密码 添加为密钥保管库中的机密。
• 服务主体：将 服务主体密钥 添加为密钥保管库中的机密。
• SQL 身份验证：将 密码 添加为密钥保管库中的机密。
• Windows 身份验证：将密码添加为密钥保管库中的机密。
• 帐户密钥：将 帐户密钥 添加为密钥保管库中的机密。
• 角色 ARN：对于 Amazon S3 数据源，请在 AWS 中添加 角色 ARN 。
• 使用者密钥：对于 Salesforce 数据源，可以在密钥保管库中添加 密码 和 使用者密码 。
• 用户分配的托管标识 (预览) ：可以添加用户分配的托管标识凭据。 有关详细信息，请参阅下面的 创建用户分配的托管标识部分 。

有关详细信息，请参阅将机密添加到密钥保管库和为 Microsoft Purview 创建新的 AWS 角色。

将机密存储在密钥保管库中后：

1. 在 Microsoft Purview 中，转到“凭据”页。

2. 通过选择“ + 新建”创建新的凭据。

3. 提供所需的信息。 选择要从中选择机密的身份验证方法和密钥保管库连接。

4. 填写所有详细信息后，选择“ 创建”。

   

5. 验证新凭据是否显示在列表视图中并可供使用。

   

管理密钥保管库连接

1. 按名称搜索/查找密钥保管库连接

   

2. 删除一个或多个密钥保管库连接

   

管理凭据

1. 按名称搜索/查找凭据。

2. 选择现有凭据并更新。

3. 删除一个或多个凭据。

创建用户分配的托管标识

用户分配的托管标识 (UAMI) 使 Azure 资源能够使用 Azure Active Directory (Azure AD) 身份验证直接与其他资源进行身份验证，而无需管理这些凭据。 它们允许你像使用系统分配的托管标识、Azure AD 用户、Azure AD 组或服务主体一样进行身份验证和分配访问权限。 用户分配的托管标识创建为其自己的资源 (而不是连接到预先存在的资源) 。 有关托管标识的详细信息，请参阅 Azure 资源的托管标识文档。

以下步骤将演示如何创建供 Microsoft Purview 使用的 UAMI。

UAMI 支持的数据源

• Azure Data Lake Gen 1
• Azure Data Lake Gen 2
• Azure SQL数据库
• Azure SQL 托管实例
• Azure SQL专用 SQL 池
• Azure Blob 存储

创建用户分配的托管标识

1. 在Azure 门户导航到 Microsoft Purview 帐户。

2. 在左侧菜单的 “托管标识 ”部分中，选择“ + 添加 ”按钮以添加用户分配的托管标识。

   

3. 完成设置后，返回到Azure 门户中的 Microsoft Purview 帐户。 如果已成功部署托管标识，你将看到 Microsoft Purview 帐户的状态为 “已成功”。

   

4. 成功部署托管标识后，通过选择“打开 Microsoft Purview 治理门户”按钮导航到 Microsoft Purview 治理门户 。

5. 在 Microsoft Purview 治理门户中，导航到工作室中的管理中心，然后导航到“凭据”部分。

6. 通过选择“ +新建”创建用户分配的托管标识。

7. 选择“托管标识身份验证”方法，然后从下拉菜单中选择用户分配的托管标识。

   

   注意

   如果在创建用户分配的托管标识期间打开了门户，则需要刷新 Microsoft Purview Web 门户以加载Azure 门户中完成的设置。

8. 填写所有信息后，选择“ 创建”。

删除用户分配的托管标识

1. 在Azure 门户导航到 Microsoft Purview 帐户。

2. 在左侧菜单的 “托管标识 ”部分中，选择要删除的标识。

3. 选择“ 删除 ”按钮。

4. 成功删除托管标识后，通过选择“打开 Microsoft Purview 治理门户”按钮导航到 Microsoft Purview 治理门户 。

5. 导航到工作室中的管理中心，然后导航到“凭据”部分。

6. 选择要删除的标识，然后选择“ 删除 ”按钮。

注意

如果在Azure 门户中删除了用户分配的托管标识，则需要删除原始标识，并在 Microsoft Purview 治理门户中创建一个新标识。

后续步骤

创建扫描规则集