Aktivieren Sie die Microsoft Entra-Authentifizierung für die Azure-SSIS Integration Runtime
GILT FÜR:
Azure Data Factory Azure Synapse Analytics (Vorschau)
Tipp
Testen Sie Data Factory in Microsoft Fabric, eine All-in-One-Analyselösung für Unternehmen. Microsoft Fabric deckt alle Aufgaben ab, von der Datenverschiebung bis hin zu Data Science, Echtzeitanalysen, Business Intelligence und Berichterstellung. Erfahren Sie, wie Sie kostenlos eine neue Testversion starten!
In diesem Artikel erfahren Sie, wie Sie die Microsoft Entra-Authentifizierung mit der angegebenen systemseitig/benutzerseitig zugewiesenen verwalteten Identität für Ihre (Azure Data Factory) ADF- oder Azure Synapse-Instanz aktivieren und anstelle von herkömmlichen Authentifizierungsmethoden (wie SQL-Authentifizierung) verwenden, um Folgendes zu tun:
Erstellen einer Azure-SSIS Integration Runtime (IR), die wiederum die SSIS-Katalogdatenbank (SSISDB) in Azure SQL-Datenbank-Server/in einer verwalteten Instanz in Ihrem Namen bereitstellt.
Herstellen einer Verbindung mit verschiedenen Azure-Ressourcen beim Ausführen von SSIS-Paketen in der Azure-SSIS IR.
Weitere Informationen zur verwalteten Identität für Ihre ADF-Instanz finden Sie unter Verwaltete Identität für Azure Data Factory und Azure Synapse.
Hinweis
In diesem Szenario wird die Microsoft Entra-Authentifizierung mit der angegebenen systemseitig/benutzerseitig zugewiesenen verwalteten Identität für Ihre ADF-Instanz nur bei der Bereitstellung und den nachfolgenden Startvorgängen Ihrer Azure-SSIS IR verwendet, die wiederum zum Bereitstellen der SSISDB und/oder dem Herstellen einer Verbindung mit dieser verwendet wird. Für Ausführungen von SSIS-Paketen stellt Ihre Azure-SSIS IR trotzdem eine Verbindung mit der SSISDB mithilfe der SQL-Authentifizierung her, um Pakete abzurufen. Dabei werden vollständig verwaltete Konten (AzureIntegrationServiceDbo und AzureIntegrationServiceWorker) genutzt, die während der Bereitstellung der SSISDB erstellt wurden.
Um das Feature für die benutzerseitig zugewiesene verwaltete Identität des Verbindungs-Managers zu verwenden, z. B. OLEDB-Verbindungs-Manager, muss eine SSIS-IR mit derselben benutzerseitig zugewiesenen verwalteten Identität bereitgestellt werden, die im Verbindungs-Manager verwendet wird.
Wenn Sie bereits eine Azure-SSIS IR mithilfe der SQL-Authentifizierung erstellt haben, können Sie die IR gegenwärtig nicht mit PowerShell für die Verwendung der Microsoft Entra-Authentifizierung neu konfigurieren. Dies ist jedoch im Azure-Portal oder in der ADF-App möglich.
Hinweis
Es wird empfohlen, das Azure Az PowerShell-Modul für die Interaktion mit Azure zu verwenden. Informationen zu den ersten Schritten finden Sie unter Installieren des Azure Az PowerShell-Moduls. Informationen zum Migrieren zum Az PowerShell-Modul finden Sie unter Migrieren von Azure PowerShell von AzureRM zum Az-Modul.
Aktivieren der Microsoft Entra-Authentifizierung in Azure SQL-Datenbank
Azure SQL-Datenbank unterstützt das Erstellen einer Datenbank mit einem Microsoft Entra-Benutzer. Zunächst müssen Sie eine Microsoft Entra-Gruppe mit der angegebenen systemseitig/benutzerseitig zugewiesenen verwalteten Identität für Ihre ADF-Instanz als Mitglied erstellen. Dann müssen Sie einen Microsoft Entra-Benutzer als Active Directory-Administrator für Ihren Azure SQL-Datenbank-Server festlegen und anschließend in SQL Server Management Studio (SSMS) eine Verbindung mit dem Server über diesen Benutzer herstellen. Zum Schluss müssen Sie einen enthaltenen Benutzer erstellen, der die Microsoft Entra-Gruppe darstellt, damit die systemseitig/benutzerseitig zugewiesene verwaltete Identität für Ihre ADF-Instanz von der Azure-SSIS IR zum Erstellen von SSISDB in Ihrem Namen verwendet werden kann.
Erstellen einer Microsoft Entra-Gruppe mit der angegebenen systemseitig/benutzerseitig zugewiesenen verwalteten Identität für Ihre ADF-Instanz als Mitglied
Sie können eine vorhandene Microsoft Entra-Gruppe verwenden oder mithilfe von Azure AD PowerShell eine neue erstellen.
Installieren Sie das Azure AD PowerShell-Modul.
Melden Sie sich mit
Connect-AzureADan, führen Sie das folgende Cmdlet aus, um eine Gruppe zu erstellen, und speichern Sie sie in einer Variablen:$Group = New-AzureADGroup -DisplayName "SSISIrGroup" ` -MailEnabled $false ` -SecurityEnabled $true ` -MailNickName "NotSet"Hinweis
Azure AD- und MSOnline PowerShell-Module sind ab dem 30. März 2024 veraltet. Weitere Informationen finden Sie im Update zur Unterstützungseinstellung. Nach diesem Datum wird die Unterstützung für diese Module auf die Migrationsunterstützung für das Microsoft Graph PowerShell-SDK und Sicherheitskorrekturen beschränkt. Die veralteten Module funktionieren weiterhin bis zum 30. März 2025.
Es wird empfohlen, für die Interaktion mit Microsoft Entra ID (früher Azure AD) zu Microsoft Graph PowerShell zu migrieren. Informationen zu allgemeinen Migrationsfragen finden Sie in den häufig gestellten Fragen zur Migration. Hinweis: Bei der Version 1.0.x von MSOnline können nach dem 30. Juni 2024 Unterbrechungen auftreten.
Das Ergebnis sieht etwa wie im folgenden Beispiel aus, das auch den Variablenwert zeigt:
$Group ObjectId DisplayName Description -------- ----------- ----------- 6de75f3c-8b2f-4bf4-b9f8-78cc60a18050 SSISIrGroupFügen Sie die angegebene systemseitig/benutzerseitig zugewiesene verwaltete Identität für Ihre ADF-Instanz zur Gruppe hinzu. Sie können die Schritte im Artikel Verwaltete Identität für Azure Data Factory und Azure Synapse ausführen, um die Objekt-ID der angegebenen systemseitig/benutzerseitig zugewiesenen verwalteten Identität für Ihre ADF-Instanz abzurufen (z. B. 765ad4ab-XXXX-XXXX-XXXX-51ed985819dc, aber verwenden Sie für diesen Zweck nicht die Anwendungs-ID).
Add-AzureAdGroupMember -ObjectId $Group.ObjectId -RefObjectId 765ad4ab-XXXX-XXXX-XXXX-51ed985819dcSie können die Gruppenmitgliedschaft auch anschließend überprüfen.
Get-AzureAdGroupMember -ObjectId $Group.ObjectId
Konfigurieren der Microsoft Entra-Authentifizierung für Azure SQL-Datenbank
Sie können mithilfe der folgenden Schritte die Microsoft Entra-Authentifizierung für Azure SQL-Datenbank konfigurieren und verwalten:
Wählen Sie im Azure-Portal im linken Navigationsbereich Alle Dienste -> SQL-Server aus.
Wählen Sie den Azure SQL-Datenbank-Server aus, der mit Microsoft Entra-Authentifizierung konfiguriert werden soll.
Klicken Sie auf dem Blatt im Abschnitt Einstellungen auf Active Directory-Administrator.
Wählen Sie in der Befehlsleiste Administrator festlegen aus.
Wählen Sie ein Microsoft Entra-Benutzerkonto als Administrator des Servers aus, und klicken Sie dann auf Auswählen.
Klicken Sie auf der Befehlsleiste auf Speichern.
Erstellen eines enthaltenen Benutzers in Azure SQL-Datenbank, der die Microsoft Entra-Gruppe darstellt
Für den nächsten Schritt benötigen Sie SSMS.
Starten Sie SSMS.
Geben Sie im Dialogfeld Mit Server verbinden im Feld Servername den Namen Ihres Servers ein.
Wählen Sie im Feld Authentifizierung die Option Active Directory: universell mit MFA-Unterstützung aus (Sie können auch die beiden anderen Active Directory-Authentifizierungstypen verwenden. Informationen dazu finden Sie unter Konfigurieren und Verwalten der Microsoft Entra-Authentifizierung mit Azure SQL).
Geben Sie im Feld Benutzername den Namen des Microsoft Entra-Kontos ein, das Sie als Serveradministrator festlegen möchten, z. B. testuser@xxxonline.com.
Wählen Sie Verbinden aus, und schließen Sie den Anmeldevorgang ab.
Erweitern Sie im Objekt-Explorer unter Datenbanken -> den Ordner Systemdatenbanken.
Klicken Sie mit der rechten Maustaste auf die master-Datenbank, und wählen Sie Neue Abfrage aus.
Geben Sie im Abfragefenster den folgenden T-SQL-Befehl ein, und wählen Sie auf der Symbolleiste Ausführen aus.
CREATE USER [SSISIrGroup] FROM EXTERNAL PROVIDERDer Befehl sollte erfolgreich abgeschlossen und ein enthaltener Benutzer zur Darstellung der Gruppe erstellt werden.
Löschen Sie den Inhalt des Abfragefensters, geben Sie den folgenden T-SQL-Befehl ein, und klicken Sie auf der Symbolleiste auf Ausführen.
ALTER ROLE dbmanager ADD MEMBER [SSISIrGroup]Der Befehl sollte erfolgreich abgeschlossen werden und dem enthaltenen Benutzer die Möglichkeit gewähren, eine Datenbank (SSISDB) zu erstellen.
Wenn Ihre SSISDB mithilfe von SQL-Authentifizierung erstellt wurde und Sie zur Verwendung der Microsoft Entra-Authentifizierung für Ihre Azure-SSIS IR wechseln möchten, um darauf zugreifen zu können, müssen Sie zunächst sicherstellen, dass die obigen Schritte zum Erteilen der Berechtigung für die Master-Datenbank erfolgreich abgeschlossen wurden. Klicken Sie dann mit der rechten Maustaste auf die SSISDB-Datenbank, und wählen Sie Neue Abfrage aus.
Geben Sie im Abfragefenster den folgenden T-SQL-Befehl ein, und wählen Sie auf der Symbolleiste Ausführen aus.
CREATE USER [SSISIrGroup] FROM EXTERNAL PROVIDERDer Befehl sollte erfolgreich abgeschlossen und ein enthaltener Benutzer zur Darstellung der Gruppe erstellt werden.
Löschen Sie den Inhalt des Abfragefensters, geben Sie den folgenden T-SQL-Befehl ein, und klicken Sie auf der Symbolleiste auf Ausführen.
ALTER ROLE db_owner ADD MEMBER [SSISIrGroup]Der Befehl sollte erfolgreich abgeschlossen werden und dem in der Datenbank enthaltenen Benutzer die Möglichkeit gewähren, auf die SSISDB zuzugreifen.
Aktivieren der Microsoft Entra-Authentifizierung in Azure SQL Managed Instance
Azure SQL Managed Instance unterstützt das direkte Erstellen einer Datenbank mit der angegebenen systemseitig/benutzerseitig zugewiesenen verwalteten Identität für Ihre ADF-Instanz. Sie müssen die system-/benutzerseitig zugewiesene verwaltete Identität für Ihre ADF-Instanz weder mit einer Microsoft Entra-Gruppe verknüpfen noch einen enthaltenen Benutzer zur Darstellung dieser Gruppe in Azure SQL Managed Instance erstellen.
Konfigurieren der Microsoft Entra-Authentifizierung für Azure SQL Managed Instance
Führen Sie die unter Bereitstellen eines Microsoft Entra-Administrators für Azure SQL Managed Instance beschriebenen Schritte aus.
Hinzufügen der angegebenen systemseitig/benutzerseitig zugewiesenen verwalteten Identität für Ihre (Azure Data Factory) ADF- oder Azure Synapse-Instanz als Benutzer in Azure SQL Managed Instance
Für den nächsten Schritt benötigen Sie SSMS.
Starten Sie SSMS.
Stellen Sie über ein SQL Server-Konto, das Berechtigungen als Systemadministrator hat, eine Verbindung mit Azure SQL Managed Instance her. Dabei handelt es sich um eine temporäre Einschränkung, die aufgehoben wird, sobald die Unterstützung für Microsoft Entra-Serverprinzipale (Anmeldungen) in Azure SQL Managed Instance allgemein verfügbar wird. Wenn Sie versuchen, die Anmeldung mit einem Microsoft Entra-Administratorkonto zu erstellen, wird der folgende Fehler angezeigt: Meldung 15247, Ebene 16, Status 1, Zeile 1: Der Benutzer besitzt keine Berechtigung zum Ausführen dieser Aktion.
Erweitern Sie im Objekt-Explorer unter Datenbanken -> den Ordner Systemdatenbanken.
Klicken Sie mit der rechten Maustaste auf die master-Datenbank, und wählen Sie Neue Abfrage aus.
Führen Sie im Abfragefenster das folgende T-SQL-Skript aus, um die angegebene systemseitig/benutzerseitig zugewiesene verwaltete Identität für Ihre ADF-Instanz als Benutzer hinzuzufügen.
CREATE LOGIN [{your managed identity name}] FROM EXTERNAL PROVIDER ALTER SERVER ROLE [dbcreator] ADD MEMBER [{your managed identity name}] ALTER SERVER ROLE [securityadmin] ADD MEMBER [{your managed identity name}]Wenn Sie die vom System verwaltete Identität für Ihre ADF verwenden, sollte der Name Ihrer verwalteten Identität Ihr ADF-Name sein. Wenn Sie eine benutzerseitig zugewiesene verwaltete Identität für Ihre ADF verwenden, sollte der Name Ihrer verwalteten Identität der Name der angegebenen benutzerseitig zugewiesenen verwalteten Identität sein.
Der Befehl sollte erfolgreich abgeschlossen werden und der systemseitig/benutzerseitig zugewiesenen verwalteten Identität für Ihre ADF-Instanz die Möglichkeit gewähren, eine Datenbank (SSISDB) zu erstellen.
Wenn Ihre SSISDB mithilfe von SQL-Authentifizierung erstellt wurde und Sie zur Verwendung der Microsoft Entra-Authentifizierung für Ihre Azure-SSIS IR wechseln möchten, um darauf zugreifen zu können, müssen Sie zunächst sicherstellen, dass die obigen Schritte zum Erteilen der Berechtigung für die Master-Datenbank erfolgreich abgeschlossen wurden. Klicken Sie dann mit der rechten Maustaste auf die SSISDB-Datenbank, und wählen Sie Neue Abfrage aus.
Geben Sie im Abfragefenster den folgenden T-SQL-Befehl ein, und wählen Sie auf der Symbolleiste Ausführen aus.
CREATE USER [{your managed identity name}] FOR LOGIN [{your managed identity name}] WITH DEFAULT_SCHEMA = dbo ALTER ROLE db_owner ADD MEMBER [{your managed identity name}]Der Befehl sollte erfolgreich abgeschlossen werden und der systemseitig/benutzerseitig zugewiesenen verwalteten Identität für Ihre ADF-Instanz die Möglichkeit gewähren, auf SSISDB zuzugreifen.
Bereitstellen von Azure-SSIS IR im Azure-Portal oder der ADF-App
Aktivieren Sie bei der Bereitstellung Ihrer Azure-SSIS IR im Azure-Portal/in der ADF-App auf der Seite Bereitstellungseinstellungen das Kontrollkästchen Vom Azure SQL-Datenbank-Server/von der verwalteten Instanz gehosteten SSIS-Katalog (SSISDB) zum Speichern Ihrer Projekte/Pakete/Umgebungen/Ausführungsprotokolle erstellen. Aktivieren Sie dann entweder das Kontrollkästchen Microsoft Entra-Authentifizierung mit der systemseitig zugewiesenen verwalteten Identität für Data Factory verwenden oder das Kontrollkästchen Microsoft Entra-Authentifizierung mit einer benutzerseitig zugewiesenen verwalteten Identität für Data Factory verwenden, um die Microsoft Entra-Authentifizierungsmethode für die Azure-SSIS IR zu wählen, um auf Ihren Datenbankserver zuzugreifen, der SSISDB hostet.
Weitere Informationen finden Sie unter Erstellen einer Azure-SSIS Integration Runtime in Azure Data Factory | Microsoft-Dokumentation.
Bereitstellen von Azure-SSIS IR mit PowerShell
Um Ihre Azure SSIS IR mit PowerShell bereitzustellen, führen Sie folgende Schritte aus:
Installieren Sie das Azure PowerShell-Modul.
Legen Sie im Skript den
CatalogAdminCredential-Parameter nicht fest. Beispiel:Set-AzDataFactoryV2IntegrationRuntime -ResourceGroupName $ResourceGroupName ` -DataFactoryName $DataFactoryName ` -Name $AzureSSISName ` -Description $AzureSSISDescription ` -Type Managed ` -Location $AzureSSISLocation ` -NodeSize $AzureSSISNodeSize ` -NodeCount $AzureSSISNodeNumber ` -Edition $AzureSSISEdition ` -MaxParallelExecutionsPerNode $AzureSSISMaxParallelExecutionsPerNode ` -CatalogServerEndpoint $SSISDBServerEndpoint ` -CatalogPricingTier $SSISDBPricingTier Start-AzDataFactoryV2IntegrationRuntime -ResourceGroupName $ResourceGroupName ` -DataFactoryName $DataFactoryName ` -Name $AzureSSISName
Ausführen von SSIS-Paketen unter Verwendung der Microsoft Entra-Authentifizierung mit der angegebenen systemseitig/benutzerseitig zugewiesenen verwalteten Identität für Ihre ADF-Instanz
Bei der Ausführung von SSIS-Paketen in Azure-SSIS IR können Sie die Microsoft Entra-Authentifizierung mit der angegebenen systemseitig/benutzerseitig zugewiesenen verwalteten Identität für Ihre ADF-Instanz verwenden, um eine Verbindung mit verschiedenen Azure-Ressourcen herzustellen. Derzeit wird die Microsoft Entra-Authentifizierung mit der angegebenen systemseitig/benutzerseitig zugewiesenen verwalteten Identität für Ihre ADF-Instanz in den folgenden Verbindungs-Managern unterstützt.