共用方式為


Microsoft Purview 中來源驗證的認證

本文說明如何在 Microsoft Purview 中建立認證。 這些已儲存的認證可讓您快速重複使用,並將儲存的驗證資訊套用至資料來源掃描。

必要條件

簡介

認證是 Microsoft Purview 可用來向已註冊資料來源進行驗證的驗證資訊。 您可以針對各種類型的驗證案例建立認證物件,例如需要使用者名稱/密碼的基本驗證。 根據選擇的驗證方法類型,擷取驗證所需的認證擷取特定資訊。 認證會使用現有的 Azure Key Vault 秘密,在認證建立程式期間擷取敏感性驗證資訊。

在 Microsoft Purview 中,有幾個選項可用來作為驗證方法來掃描資料來源,例如下列選項。 從每個 資料來源文章 中瞭解其支援的驗證。

建立任何認證之前,請考慮您的資料來源類型和網路需求,以決定您案例需要哪一種驗證方法。

使用 Microsoft Purview 系統指派的受控識別來設定掃描

如果您使用 Microsoft Purview 系統指派的受控識別 (SAMI) 來設定掃描,則不需要建立認證並將金鑰保存庫連結至 Microsoft Purview 來儲存它們。 如需新增 Microsoft Purview SAMI 以存取掃描資料來源的詳細指示,請參閱下列資料來源特定驗證章節:

將 Azure 金鑰保存庫的存取權授與 Microsoft Purview

若要讓 Microsoft Purview 存取您的 Azure 金鑰保存庫,您必須確認兩件事:

Azure 金鑰保存庫的防火牆存取

如果您的 Azure 金鑰保存庫已停用公用網路存取,您有兩個選項可允許存取 Microsoft Purview。

受信任的 Microsoft 服務

Microsoft Purview 會列為Azure 金鑰保存庫的其中一個受信任服務,因此,如果您的 Azure 金鑰保存庫停用公用網路存取,您只能啟用受信任 Microsoft 服務的存取權,且會包含 Microsoft Purview。

您可以在 Azure 金鑰保存庫的 [網路] 索引標籤下啟用此設定。

在頁面底部的 [例外狀況] 下方,啟用 [允許受信任的 Microsoft 服務略過此防火牆 ] 功能。

已啟用 [允許受信任的 Microsoft 服務略過此防火牆] 功能的 Azure 金鑰保存庫網路功能頁面。

私人端點連線

若要使用私人端點連線到 Azure 金鑰保存庫,請遵循Azure 金鑰保存庫的私人端點檔

注意事項

在受控 虛擬網路 中使用 Azure 整合執行時間掃描資料來源時,支援私人端點連線選項。 針對自我裝載整合執行時間,您必須啟用 受信任的 Microsoft 服務

Azure 金鑰保存庫上的 Microsoft Purview 許可權

Azure 金鑰保存庫目前支援兩種許可權模型:

將存取權指派給 Microsoft Purview 系統指派的受控識別 (SAMI) 之前,請先從功能表中的資源存原則金鑰保存庫識別您的 Azure 金鑰保存庫許可權模型。 根據相關的許可權模型,遵循下列步驟。

Azure 金鑰保存庫許可權模型

選項 1 - 使用金鑰保存庫存取原則指派存取權

只有在 Azure 金鑰保存庫 資源中的許可權模型設定為保存庫存取原則時,才遵循下列步驟:

  1. 流覽至您的 Azure 金鑰保存庫。

  2. 取 [存取原則] 頁面。

  3. 取 [新增存取原則]

    將 Microsoft Purview 受控識別新增至 AKV

  4. 在 [ 秘密許可權] 下拉式清單中,選 取 [取得 ] 和 [列出 許可權]。

  5. 針對 [選取主體],選擇 [Microsoft Purview 系統受控識別]。 您可以使用 Microsoft Purview 實例名稱 受控識別應用程式識別碼來搜尋 Microsoft Purview SAMI。 我們目前不支援複合身分識別 (受控識別名稱 + 應用程式識別碼) 。

    新增存取原則

  6. 選取 新增

  7. 取 [儲存 ] 以儲存存取原則。

    儲存存取原則

選項 2 - 使用 Azure 角色型存取控制金鑰保存庫指派存取權

只有在 Azure 金鑰保存庫 資源中的許可權模型設定為Azure 角色型存取控制時,才遵循下列步驟:

  1. 流覽至您的 Azure 金鑰保存庫。

  2. 從左側導覽功能表中選取 [存取控制 (IAM) ]。

  3. 選取 [+ 新增]

  4. [角色] 設定為[金鑰保存庫秘密使用者],然後在 [取輸入] 方塊下輸入您的 Microsoft Purview 帳戶名稱。 然後,選取 [儲存] 將此角色指派給您的 Microsoft Purview 帳戶。

    Azure 金鑰保存庫 RBAC

在 Microsoft Purview 帳戶中建立 Azure Key Vault 連線

您必須先將一或多個現有的 Azure 金鑰保存庫實例與 Microsoft Purview 帳戶建立關聯,才能建立認證。

  1. 透過下列方式開啟您的 Microsoft Purview 治理入口網站:

  2. 流覽至 Studio 中的 管理中心 ,然後流覽至 認證

  3. 從 [認證]頁面,選取 [管理金鑰保存庫連線]

    管理 Azure 金鑰保存庫連線

  4. 從 [管理金鑰保存庫連線] 頁面選取 [+ 新增]。

  5. 提供必要資訊,然後選取 [ 建立]

  6. 確認您的金鑰保存庫已成功與您的 Microsoft Purview 帳戶建立關聯,如下列範例所示:

    檢視要確認的 Azure 金鑰保存庫連線。

建立新的認證

Microsoft Purview 支援這些認證類型:

  • 基本驗證:您可以將 密碼 新增為金鑰保存庫中的秘密。
  • 服務主體:您可以將 服務主體金鑰 新增為金鑰保存庫中的秘密。
  • SQL 驗證:您可以將 密碼 新增為金鑰保存庫中的秘密。
  • Windows 驗證:您可以將密碼新增為金鑰保存庫中的秘密。
  • 帳戶金鑰:您可以將 帳戶金鑰 新增為金鑰保存庫中的秘密。
  • 角色 ARN:針對 Amazon S3 資料來源,在 AWS 中新增您 的角色 ARN
  • 取用者金鑰:針對 Salesforce 資料來源,您可以在金鑰保存庫中新增 密碼取用者密碼
  • 使用者指派的受控識別 (預覽) :您可以新增使用者指派的受控識別認證。 如需詳細資訊,請參閱下 方的建立使用者指派的受控識別一節

如需詳細資訊,請參閱將秘密新增至金鑰保存庫建立 Microsoft Purview 的新 AWS 角色

將秘密儲存在金鑰保存庫之後:

  1. 在 Microsoft Purview 中,移至 [認證] 頁面。

  2. 選取 [ + 新增],以建立新的認證。

  3. 提供必要的資訊。 選取要從中選取秘密的驗證方法金鑰保存庫聯機。

  4. 填入所有詳細資料之後,請選取 [ 建立]

    新的認證

  5. 確認您的新認證顯示在清單檢視中,並已準備好使用。

    檢視認證

管理金鑰保存庫連線

  1. 依名稱搜尋/尋找金鑰保存庫連線

    搜尋金鑰保存庫

  2. 刪除一或多個金鑰保存庫連線

    刪除金鑰保存庫

管理您的認證

  1. 依名稱搜尋/尋找認證。

  2. 選取現有認證並進行更新。

  3. 刪除一或多個認證。

建立使用者指派的受控識別

使用者指派的受控識別 (UAMI) 讓 Azure 資源能夠使用 Azure Active Directory (Azure AD) 驗證直接向其他資源進行驗證,而不需要管理這些認證。 它們可讓您驗證和指派存取權,就像您使用系統指派的受控識別、Azure AD 使用者、Azure AD 群組或服務主體一樣。 使用者指派的受控識別會建立為自己的資源 (,而不是連線到預先存在的資源) 。 如需受控識別的詳細資訊,請參閱 適用于 Azure 資源的受控識別檔。

下列步驟將示範如何建立可供 Microsoft Purview 使用的 UAMI。

UAMI 支援的資料來源

建立使用者指派的受控識別

  1. Azure 入口網站流覽至您的 Microsoft Purview 帳戶。

  2. 在左側功能表的 [ 受控識別 ] 區段中,選取 [ + 新增 ] 按鈕以新增使用者指派的受控識別。

    顯示Azure 入口網站中受控識別畫面的螢幕擷取畫面,其中已醒目提示使用者指派和新增。

  3. 完成設定之後,請回到Azure 入口網站中的 Microsoft Purview 帳戶。 如果成功部署受控識別,您會看到 Microsoft Purview 帳戶的狀態為 [成功]

    螢幕擷取畫面:Azure 入口網站中的 Microsoft Purview 帳戶,並在 [概觀] 索引標籤和 [基本資訊] 功能表下反白顯示 [狀態]。

  4. 成功部署受控識別之後,選取 [開啟 Microsoft Purview 治理入口網站] 按鈕,流覽至 Microsoft Purview 治理入口網站

  5. Microsoft Purview 治理入口網站中,流覽至 Studio 中的管理中心,然後流覽至 [認證] 區段。

  6. 選取 [ +新增],以建立使用者指派的受控識別。

  7. 選取受控識別驗證方法,然後從下拉式功能表中選取使用者指派的受控識別。

    顯示新受控識別建立圖格的螢幕擷取畫面,其中已醒目提示 [深入瞭解] 連結。

    注意事項

    如果入口網站在使用者指派的受控識別建立期間開啟,您必須重新整理 Microsoft Purview 入口網站,以載入Azure 入口網站中完成的設定。

  8. 填入所有資訊之後,選取 [ 建立]

刪除使用者指派的受控識別

  1. Azure 入口網站流覽至您的 Microsoft Purview 帳戶。

  2. 在左側功能表的 [ 受控識別 ] 區段中,選取您要刪除的身分識別。

  3. 選取 [ 移除] 按鈕。

  4. 成功移除受控識別之後,選取 [開啟 Microsoft Purview 治理入口網站] 按鈕,流覽至 Microsoft Purview 治理入口網站

  5. 流覽至 Studio 中的管理中心,然後流覽至 [認證] 區段。

  6. 選取您要刪除的身分識別,然後選取 [ 刪除] 按鈕。

注意事項

如果您已在Azure 入口網站中刪除使用者指派的受控識別,則需要刪除原始識別碼,並在 Microsoft Purview 治理入口網站中建立新的識別碼。

後續步驟

建立掃描規則集