分享方式:

操作說明:建立認證實體

  • 文章

重要

從 2023 年 9 月 20 日起,您將無法建立新的計量建議程式資源。 計量建議程式服務將於 2026 年 10 月 1 日淘汰。

將資料摘要上線時,您應該要選取一個驗證類型。某些驗證類型,例如 Azure SQL 連接字串服務主體,需要認證實體才能儲存認證相關資訊,以便安全地管理您的認證。 本文將說明如何在計量建議程式中為不同的認證類型建立認證實體。

基本程序:建立認證實體

您可以建立一個認證實體來儲存認證相關的資訊,並用該資訊來驗證資料來源。 您可以與他人分享認證實體來讓他們連線到您的資料來源,而不需要分享實際的認證。 您可以在 [新增資料摘要] 索引標籤或 [認證實體] 索引標籤中建立認證實體。為特定驗證類型建立認證實體之後,在新增資料摘要時,您可以只選擇一個已建立的認證實體,這一點在建立多個資料摘要時很有幫助。 建立和使用認證實體的一般程序如下所示:

  1. 選取 [+] 以在 [新增資料摘要] 索引標籤中建立新的認證實體 (您也可以在 [認證實體摘要] 索引標籤中建立一個認證實體)。

    建立認證實體

  2. 設定認證實體名稱、說明 (如果需要)、認證類型 (等於驗證類型) 和其他設定。

    設定認證實體

  3. 建立認證實體之後,您可以在指定驗證類型時選擇它。

    選擇認證實體

計量建議程式中有四種認證類型:Azure SQL 連接字串、Azure Data Lake Storage Gen2 共用金鑰實體、服務主體和金鑰保存庫服務主體。 如需不同的認證類型設定,請參閱下列指示。

Azure SQL 連接字串

您應該設定 [名稱] 和 [連接字串],然後選取 [建立]。

為 sql 連接字串設定認證實體

Azure Data Lake Storage Gen2 共用金鑰實體

您應該設定 [名稱] 和 [帳戶金鑰],然後選取 [建立]。 您可以在 [存取金鑰] 設定中的 Azure 儲存體帳戶 (Azure Data Lake Storage Gen2) 資源中找到帳戶金鑰。

為資料湖設定認證實體

服務主體

若要為您的資料來源建立服務主體,您可以遵循連接不同資料來源中的詳細指示。 建立服務主體之後,您必須在認證實體中填入下列組態。

sp 認證實體

  • 名稱:為服務主體認證實體設定一個名稱。

  • 租用戶識別碼: 用戶端識別碼:在 Azure 入口網站中建立服務主體之後,您可以在 [概觀] 中找到 Tenant IDClient ID

    sp 用戶端識別碼和租用戶識別碼

  • 用戶端密碼:在 Azure 入口網站建立服務主體之後,您應該移至 [憑證密碼] 以建立新的用戶端密碼,並用此做為認證實體的 Client Secret。 (注意:此值只會出現一次,所以最好將它儲存某個地方。)

    sp 用戶端密碼值

金鑰保存庫中的服務主體

從金鑰保存庫建立服務主體有幾個步驟。

步驟 1: 建立服務主體,並授與您資料庫的存取權。 在為各個資料來源建立服務主體區段時,您可以遵循連接不同資料來源中的詳細指示。

在 Azure 入口網站中建立服務主體之後,您可以在 [概觀] 中找到 Tenant IDClient ID目錄 (租用戶) 識別碼應該是認證實體組態中的 Tenant ID

sp 用戶端識別碼和租用戶識別碼

步驟 2: 建立新的用戶端密碼。 您應該移至 [憑證密碼] 以建立新的用戶端密碼,而該將在後續步驟中使用。 (注意:此值只會出現一次,所以最好將它儲存某個地方。)

sp 用戶端密碼值

步驟 3︰建立金鑰保存庫。Azure 入口網站中,選取 [金鑰保存庫] 以建立一個金鑰保存庫。

在 Azure 入口網站中建立 Key Vault

建立金鑰保存庫之後,保存庫 URI 會是 MA (計量建議程式) 認證實體中的 Key Vault Endpoint

Key Vault 端點

步驟 4: 建立金鑰保存庫的密碼。 在金鑰保存庫的 Azure 入口網站中,在 [設定->秘密] 中產生兩個秘密。 第一個用於 Service Principal Client Id,另一個則用於 Service Principal Client Secret ,而他們兩個地名稱都會在認證實體組態中使用。

產生密碼

  • 服務主體用戶端識別碼:為此密碼組態一個 Name,其名稱將會用於認證實體組態,而其值應該是您在步驟 1 中服務主體的 Client ID

    secret1: sp 用戶端識別碼

  • 服務主體用戶端密碼:為此密碼組態一個 Name,其名稱將會用於認證實體組態,而其值應該是您在步驟 2 中服務主體的 Client Secret Value

    secret2: sp 用戶端密碼

到目前為止,服務主體的用戶端識別碼用戶端密碼最後會儲存在金鑰保存庫中。 接下來,您必須建立另一個服務主體來儲存金鑰保存庫。 因此,您應該建立兩個服務主體,一個用來儲存用戶端識別碼和用戶端密碼 (會儲存在金鑰保存庫中),另一個則儲存金鑰保存庫。

步驟 5: 建立服務主體來儲存金鑰保存庫。

  1. 移至 Azure 入口網站 Microsoft Entra ID 並建立新的註冊。

    建立新的註冊

    建立服務主體之後,[概觀] 中的 [應用程式 (用戶端) 識別碼] 將會是認證實體組態中的 Key Vault Client ID

  2. 在 [管理->憑證與密碼] 中,選取 [新增用戶端密碼] 來建立用戶端密碼。 然後,您應該複製該值,因為它只會顯示一次。 此值是認證實體組態中的 Key Vault Client Secret

    新增用戶端密碼

步驟 6: 授與服務主體存取 Key Vault 的權限。 選取 [新增存取原則] 移至您在 [設定->存取原則] 中建立的金鑰保存庫資源,以建立金鑰保存庫與步驟 5 中第二個服務主體之間的連線,然後 [儲存]。

將 sp 授與金鑰保存庫

組態結論

總而言之,[Key Vault 服務主體] 計量建議程式中的認證實體組態與其獲取方式如下表所示:

組態 如何取得
金鑰保存庫端點 步驟 3:金鑰保存庫的保存庫 URI。
租用戶識別碼 步驟 1:您第一個服務主體的目錄 (租用戶) 識別碼。
金鑰保存庫用戶端識別碼 步驟 5:應用程式 (用戶端) 第二個服務主體的識別碼。
金鑰保存庫用戶端密碼 步驟 5:第二個服務主體的用戶端密碼值。
服務主體用戶端識別碼名稱 步驟 4:您為用戶端識別碼設定的秘密名稱。
服務主體用戶端密碼名稱 步驟 4:您為用戶端密碼值設定的秘密名稱。

下一步