Microsoft Purview 資料對應中來源驗證的認證

本文說明如何在 Microsoft Purview 資料對應中建立認證。 這些已儲存的認證可讓您快速重複使用已儲存的驗證資訊，並將其套用至資料來源掃描。

必要條件

• Microsoft Azure 金鑰保存庫。 若要瞭解如何建立金鑰保存庫，請參閱快速入門：使用 Azure 入口網站建立金鑰保存庫。

簡介

認證是 Microsoft Purview 可用來向已註冊數據源進行驗證的驗證資訊。 您可以針對各種類型的驗證案例建立認證物件，例如需要使用者名稱/密碼的基本驗證。 認證會根據所選的驗證方法類型，擷取驗證所需的特定資訊。 認證會使用您現有的金鑰保存庫秘密，在認證建立程式期間擷取敏感性驗證資訊。

在 Microsoft Purview 中，有幾個選項可用來作為驗證方法來掃描數據源，例如下列選項。 從每個 資料來源文章 中瞭解其支援的驗證。

• Microsoft Purview 系統指派的受控識別
• 使用者指派的受控識別 (預覽)
• 使用金鑰保存庫) ( 帳戶金鑰
• 使用 金鑰保存庫) 的 SQL 驗證 (
• 使用 金鑰保存庫) 的服務主體 (
• 使用 金鑰保存庫) 的消費者金鑰 (
• 以及其他選項

在建立任何認證之前，請先考慮您的資料來源類型和網路需求，以決定您的案例所需的驗證方法。

使用 Microsoft Purview 系統指派的受控識別來設定掃描

如果您使用 Microsoft Purview 系統指派的受控識別 (SAMI) 來設定掃描，則不需要建立認證，並將金鑰保存庫連結至 Microsoft Purview 來儲存它們。 如需新增 Microsoft Purview SAMI 以存取掃描數據源的詳細指示，請參閱下列數據源特定驗證一節：

• Azure Blob 儲存體
• Azure Data Lake Storage Gen1
• Azure Data Lake Storage Gen2
• Azure SQL Database
• Azure SQL 受控執行個體
• Azure Synapse 工作區
• Azure Synapse專用 SQL 集區 (先前稱為 SQL DW)

授與 Microsoft Purview 對 Azure 金鑰保存庫的存取權

若要授與 Microsoft Purview 存取 Azure 金鑰保存庫，您需要確認兩件事：

• 防火牆存取 Azure 金鑰保存庫
• Azure 金鑰保存庫的 Microsoft Purview 許可權

防火牆存取 Azure 金鑰保存庫

如果您的 Azure 金鑰保存庫已停用公用網路存取，您有兩個選項可允許 Microsoft Purview 的存取。

• 受信任的 Microsoft 服務
• 私人端點連線

受信任的 Microsoft 服務

Microsoft Purview 會列為 Azure 金鑰保存庫的信任服務之一，因此，如果在 Azure 金鑰保存庫上停用公用網路存取，您只能啟用受信任的 Microsoft 服務的存取權，而且會包含 Microsoft Purview。

您可以在 [網路] 索引標籤下的 Azure 金鑰保存庫中啟用此設定。

在頁面底部的 [例外狀況] 底下，啟用 [允許受信任的 Microsoft 服務略過此防火牆 ] 功能。

私人端點連線

若要使用私人端點連線到 Azure 金鑰保存庫，請遵循 Azure 金鑰保存庫的私人端點檔。

注意事項

在 受控虛擬網路 中使用 Azure 整合執行階段掃描資料來源時，支援私人端點連線選項。 針對自我裝載整合執行階段，您必須啟用 受信任的 Microsoft 服務。

Azure 金鑰保存庫的 Microsoft Purview 許可權

目前 Azure 金鑰保存庫支援兩種許可權模型：

• 選項 1 - 存取原則
• 選項 2 - 角色型存取控制

在指派 Microsoft Purview 系統指派受控識別 (SAMI) 的存取權之前，請先從功能表中的資源存取原則中識別您的 Azure 金鑰保存庫許可權模型金鑰保存庫。 根據相關的權限模型，請遵循下列步驟。

選項 1 - 使用金鑰保存庫存取原則指派存取權

只有在 Azure 金鑰保存庫資源中的許可權模型設定為保存庫存取原則時，才請遵循下列步驟：

1. 流覽至您的 Azure 金鑰保存庫。

2. 選取 [存取原則 ] 頁面。

3. 選取 [新增存取原則]。

   

4. 在 [秘密許可權 ] 下拉式清單中，選取 [ 取得 ] 和 [列出 許可權]。

5. 針對 [ 選取主體]，選擇 Microsoft Purview 系統受控識別。 您可以使用 Microsoft Purview 執行個體名稱 或 受控識別應用程式識別碼來搜尋 Microsoft Purview SAMI。 我們目前不支援複合身分識別 (受控識別名稱 + 應用程式識別碼) 。

   

6. 選取 新增。

7. 選取 [儲存] 以儲存存取原則。

   

選項 2 - 使用金鑰保存庫指派存取權Azure 角色型存取控制

只有在 Azure 金鑰保存庫資源中的許可權模型設定為 Azure 角色型存取控制時，才請遵循下列步驟：

1. 流覽至您的 Azure 金鑰保存庫。

2. 從左側導覽功能表中選取存取控制 (IAM) 。

3. 選取 [+ 新增]。

4. 將 [角色] 設定為 [金鑰保存庫秘密使用者]，然後在 [選取輸入方塊] 底下輸入您的 Microsoft Purview 帳戶名稱。 然後，選取 [儲存] ，將此角色指派授與您的 Microsoft Purview 帳戶。

   

在您的 Microsoft Purview 帳戶中建立 Azure 金鑰保存庫連線

建立認證之前，請先將一或多個現有的 Azure 金鑰保存庫執行個體與 Microsoft Purview 帳戶產生關聯。

1. 如果您使用傳統 Microsoft Purview 入口網站，請流覽至工作室中的 管理中心，然後流覽至 [認證]。 如果您使用新的 Microsoft Purview 入口網站，請開啟 [資料對應]，選取 [來源管理]，然後選取 [認證]。

2. 從 [認證] 頁面中，選取 [管理金鑰保存庫連線]。

   

3. 從 [管理金鑰保存庫連線] 頁面選取 [+ 新增]。

4. 提供必要的資訊，然後選取 建立。

5. 確認您的金鑰保存庫已成功與您的 Microsoft Purview 帳戶相關聯，如下列範例所示：

   

建立新的認證

Microsoft Purview 支援這些認證類型：

• 基本驗證：您將 密碼 新增為金鑰保存庫中的秘密。
• 服務主體：您可以將 服務主體金鑰 新增為金鑰保存庫中的秘密。
• SQL 驗證：您可以將 密碼 新增為金鑰保存庫中的秘密。
• Windows 驗證：您將密碼新增為金鑰保存庫中的秘密。
• 帳戶金鑰：您可以將 帳戶金鑰 新增為金鑰保存庫中的秘密。
• 角色 ARN：對於 Amazon S3 資料來源，請在 AWS 中新增 您的角色 ARN 。
• 取用者金鑰：針對 Salesforce 資料來源，您可以在金鑰保存庫中新增 密碼 和 取用者密碼 。
• 使用者指派的受控識別 (預覽) ：您可以新增使用者指派的受控識別認證。 如需詳細資訊，請參閱下方 建立使用者指派的受控識別一節 。

如需詳細資訊，請參閱將秘密新增至金鑰保存庫和建立 Microsoft Purview 的新 AWS 角色。

將秘密儲存在金鑰保存庫中之後：

1. 在 Azure 訂用帳戶層級為使用者提供「讀取者存取權」。

2. 在 Microsoft Purview 中，移至 [認證] 頁面。

3. 選取 [+ 新增] 來建立您的新認證。

4. 提供所需資訊。 選取驗證方法和要從中選取秘密的金鑰保存庫連線。

5. 填寫完所有詳細資料後，選取 建立。

6. 確認您的新認證會顯示在清單檢視中，並可供使用。

   

管理金鑰保存庫連線

1. 在搜尋方塊中輸入名稱，以搜尋金鑰保存庫連線。

2. 選取金鑰保存庫名稱旁的複選框，然後選取 [刪除]，以刪除一或多個金鑰保存庫連線。

管理您的認證

1. 按名稱搜索/查找憑據。

2. 選取並更新現有的認證。

3. 刪除一或多個認證。

建立使用者指派的受控識別

使用者指派的受控識別 (UAMI) 可讓 Azure 資源使用 Microsoft Entra 驗證直接向其他資源進行驗證，而不需要管理這些認證。 它們可讓您驗證和指派存取權，就像使用系統指派的受控識別、Microsoft Entra 使用者、Microsoft Entra 群組或服務主體一樣。 使用者指派的受控識別會建立為自己的資源 (，而不是連線到預先存在的資源) 。 如需受控識別的詳細資訊，請參閱 Azure 資源的受控識別檔。

下列步驟說明如何建立 UAMI 供 Microsoft Purview 使用。

UAMI 支援的資料來源

• Azure Data Lake Gen 1
• Azure Data Lake Gen 2
• Azure SQL Database
• Azure SQL 受控執行個體
• Azure SQL 專用 SQL 集區
• Azure Blob 儲存體

建立使用者指派的受控識別

1. 在 Azure 入口網站 中，流覽至您的 Microsoft Purview 帳戶。

2. 在左側功能表的 [受控識別] 區段中，選取 [+ 新增 ] 按鈕以新增使用者指派的受控識別。

   

3. 完成設定之後，請返回 Azure 入口網站 中的 Microsoft Purview 帳戶。 如果成功部署受控識別，您會看到 Microsoft Purview 帳戶的狀態為 [成功]。

   

4. 成功部署受控識別之後，請選取 [開啟 Microsoft Purview 治理入口網站] ，流覽至傳統 Microsoft Purview 治理入口網站。

5. 在傳統 Microsoft Purview 治理入口網站中，流覽至工作室中的 管理中心，然後流覽至 [認證] 區段。

6. 選取 [+新增] 來建立使用者指派的受控識別。

7. 從 [驗證方法] 下拉式清單中選取 [受控識別驗證方法]，然後從 [使用者指派的受控識別 ] 下拉式清單中選取。

   注意事項

   如果入口網站在建立使用者指派的受控識別期間已開啟，您必須重新整理 Microsoft Purview 入口網站，才能載入 Azure 入口網站 中完成的設定。

8. 填寫完所有資訊後，選取 建立。

刪除使用者指派的受控識別

1. 在 Azure 入口網站 中，流覽至您的 Microsoft Purview 帳戶。

2. 在左側功能表的 [受控識別] 區段中，選取您要刪除的身分識別。

3. 選取 [移除] 按鈕。

4. 成功移除受控識別之後，請選取 [開啟 Microsoft Purview 治理入口網站] 來流覽至傳統 Microsoft Purview 治理入口網站。

5. 導覽至演播室中的 管理中心 ，然後導覽至 認證 （Credentials） 區段。

6. 選取您要刪除的身分識別，然後選取 [刪除] 按鈕。

注意事項

如果您已在 Azure 入口網站 中刪除使用者指派的受控識別，您必須刪除原始身分識別，並在 Microsoft Purview 入口網站中建立新的識別。

後續步驟

建立掃描規則集。