Credenciales para la autenticación de origen en Microsoft Purview

En este artículo se describe cómo se pueden crear credenciales en Microsoft Purview. Estas credenciales guardadas le permiten volver a usar y aplicar rápidamente la información de autenticación guardada a los exámenes del origen de datos.

Requisitos previos

• Un almacén de claves de Azure. Para aprender a crear una, consulte el Inicio rápido: Creación de un almacén de claves mediante Azure Portal.

Introducción

Una credencial es información de autenticación que Microsoft Purview puede usar para autenticarse en los orígenes de datos registrados. Se puede crear un objeto de credencial para varios tipos de escenarios de autenticación, como la autenticación básica que requiere el nombre de usuario y la contraseña. La credencial captura información específica necesaria para autenticarse, en función del tipo de método de autenticación elegido. Las credenciales usan los secretos existentes de Azure Key Vault para recuperar información confidencial de autenticación durante el proceso de creación de la credencial.

En Microsoft Purview, hay algunas opciones que se pueden usar como método de autenticación para examinar orígenes de datos, como las siguientes opciones. Obtenga información en el artículo de orígenes de datos sobre la autenticación admitida.

• Identidad administrada asignada por el sistema de Microsoft Purview
• Identidad administrada asignada por el usuario (versión preliminar)
• Clave de cuenta (mediante Key Vault)
• Autenticación de SQL (mediante Key Vault)
• Entidad de servicio (mediante Key Vault)
• Clave de cuenta (mediante Key Vault)
• Y mucho más

Antes de crear credenciales, tenga en cuenta los tipos de origen de datos y los requisitos de redes para decidir qué método de autenticación es necesario para su escenario.

Uso de la identidad administrada asignada por el sistema de Microsoft Purview para configurar exámenes

Si usa la identidad administrada asignada por el sistema (SAMI) de Microsoft Purview para configurar los exámenes, no tendrá que crear unas credenciales y vincular el almacén de claves a Microsoft Purview para almacenarla. Para obtener instrucciones detalladas sobre cómo agregar la SAMI de Microsoft Purview a fin de tener acceso para examinar los orígenes de datos, consulte las secciones siguientes de autenticación específicas del origen de datos:

• Azure Blob Storage
• Azure Data Lake Storage Gen1
• Azure Data Lake Storage Gen2
• Azure SQL Database
• Instancia administrada de Azure SQL
• Área de trabajo de Azure Synapse
• Grupos de SQL dedicados de Azure Synapse (antes denominado SQL DW)

Concesión a Microsoft Purview de acceso a la instancia de Azure Key Vault

Para proporcionar a Microsoft Purview acceso a Azure Key Vault, hay dos cosas que deberá confirmar:

• Acceso de firewall a Azure Key Vault
• Permisos de Microsoft Purview en Azure Key Vault

Acceso de firewall a Azure Key Vault

Si la instancia de Azure Key Vault tiene deshabilitado el acceso a la red pública, tiene dos opciones para permitir el acceso a Microsoft Purview.

• Servicios de Microsoft de confianza
• Conexiones de punto de conexión privado

Servicios de Microsoft de confianza

Microsoft Purview aparece como uno de los servicios de confianza de Azure Key Vault, por lo que, si el acceso a la red pública está deshabilitado en la instancia de Azure Key Vault, solo puede habilitar el acceso a servicios de Microsoft de confianza y se incluirá Microsoft Purview.

Puede habilitar esta configuración en la instancia de Azure Key Vault en la pestaña Redes.

En la parte inferior de la página, en Excepción, habilite la característica ¿Quiere permitir que los servicios de confianza de Microsoft puedan omitir este firewall?

Conexiones de punto de conexión privado

Para conectarse a Azure Key Vault con puntos de conexión privados, siga la documentación sobre el punto de conexión privado de Azure Key Vault.

Nota

La opción de conexión de punto de conexión privado es compatible cuando se usa el entorno de ejecución de integración de Azure en la red virtual administrada para examinar los orígenes de datos. En el caso del entorno de ejecución de integración autohospedado, debe habilitar los servicios Microsoft de confianza.

Permisos de Microsoft Purview en Azure Key Vault

Actualmente Azure Key Vault admite dos modelos de permisos:

• Opción 1: Directivas de acceso
• Opción 2: Control de acceso basado en roles

Antes de asignar acceso a la identidad administrada asignada por el sistema (SAMI) de Microsoft Purview, identifique el modelo de permiso de Azure Key Vault en las Directivas de acceso a recursos de Key Vault en el menú. Siga los pasos que se indican a continuación en función del modelo de permisos pertinente.

Opción 1: asignación de acceso mediante la directiva de acceso de Key Vault

Siga estos pasos solo si el modelo de permisos del recurso de Azure Key Vault está establecido en Directiva de acceso de Vault:

1. Vaya a Azure Key Vault.

2. Seleccione la página Directivas de acceso.

3. Seleccione Agregar directiva de acceso.

   

4. En el menú desplegable Secrets permissions (Permisos de secretos), seleccione los permisos Obtener y Enumerar.

5. En Seleccionar entidad de seguridad, elija la identidad administrada del sistema de Microsoft Purview. Puede buscar la SAMI de Microsoft Purview mediante el nombre de instancia de Microsoft Purview o el id. de la aplicación de identidad administrada. Actualmente, no se admiten identidades compuestas (nombre de identidad administrada + identificador de aplicación).

   

6. Seleccione Agregar.

7. Seleccione Guardar para guardar la directiva de acceso.

   

Opción 2: Asignación de acceso mediante control de acceso basado en roles de Azure Key Vault

Siga estos pasos solo si el modelo de permisos del recurso de Azure Key Vault está establecido en Control de acceso basado en roles de Azure:

1. Vaya a Azure Key Vault.

2. Seleccione Access Control (IAM) (Control de acceso [IAM]) en el menú de navegación izquierdo.

3. Seleccione +Agregar.

4. Establezca el rol en Usuario de secretos de Key Vault e introduzca el nombre de su cuenta de Microsoft Purview en el cuadro de entrada Seleccionar. Después, seleccione Guardar para dar esta asignación de rol a su cuenta de Microsoft Purview.

   

Creación de conexiones de Azure Key Vault en la cuenta de Microsoft Purview

Para crear una credencial, primero debe asociar una o varias de las instancias de Azure Key Vault existentes a su cuenta de Microsoft Purview.

1. En Azure Portal, seleccione su cuenta de Microsoft Purview y abra el portal de gobernanza de Microsoft Purview. Vaya a Management Center (Centro de administración) en el estudio y, luego, a Credentiales (Credenciales).

2. En la página Credentials (Credenciales), seleccione Manage Key Vault connections (Administrar conexiones de Key Vault).

   

3. Seleccione + New (+ Nuevo) en la página Manage Key Vault connections (Administrar conexiones de Key Vault).

4. Rellene la información necesaria y seleccione Create (Crear).

5. Confirme que la instancia de Key Vault se ha asociado correctamente a la cuenta de Microsoft Purview, tal como se muestra en este ejemplo:

   

Creación de una credencial

Estos tipos de credenciales se admiten en Microsoft Purview:

• Autenticación básica: se agrega la contraseña como un secreto en el almacén de claves.
• Entidad de servicio: se agrega la clave de entidad de servicio como un secreto en el almacén de claves.
• Autenticación de SQL: se agrega la contraseña como un secreto en el almacén de claves.
• Autenticación de Windows: se agrega la contraseña como un secreto en el almacén de claves.
• Clave de cuenta: se agrega la clave de cuenta como un secreto en el almacén de claves.
• ARN de rol: en los orígenes de datos de Amazon S3, agregue su ARN de rol en AWS.
• Clave de consumidor: para los orígenes de datos de Salesforce, puede agregar la contraseña y el secreto de consumidor en el almacén de claves.
• Identidad administrada asignada por el usuario (versión preliminar): puede agregar credenciales de identidad administrada asignadas por el usuario. Para más información, consulte la sección creación de una identidad administrada asignada por el usuario a continuación.

Para obtener más información, vea Incorporación de un secreto a Key Vault y Creación de un rol de AWS para Microsoft Purview.

Después de almacenar los secretos en el almacén de claves:

1. En Microsoft Purview, vaya a la página Credenciales.

2. Cree la credencial seleccionando + New (+ Nuevo).

3. Proporcione la información necesaria. Seleccione el método de autenticación y una conexión a Key Vault desde la que seleccionar un secreto.

4. Una vez rellenados todos los detalles, seleccione Create (Crear).

   

5. Compruebe que la nueva credencial aparece en la vista de lista y que está preparada para usarse.

   

Administración de las conexiones del almacén de claves

1. Busque las conexiones del almacén de claves por el nombre.

   

2. Elimine una o más conexiones de almacén de claves.

   

Administración de las credenciales

1. Busque las credenciales por el nombre.

2. Seleccione y actualice una credencial existente.

3. Elimine una o varias credenciales.

Crear una identidad administrada asignada por el usuario

Las identidades administradas asignadas por el usuario (UAMI) permiten que los recursos de Azure se autentiquen directamente con otros recursos mediante la autenticación Azure Active Directory (Azure AD), sin necesidad de administrar esas credenciales. Le permiten autenticarse y asignar acceso igual que lo haría con una identidad administrada asignada por el sistema, un usuario de Azure AD, un grupo de Azure AD o una entidad de servicio. Las identidades administradas asignadas por el usuario se crean como su propio recurso (en lugar de conectarse a un recurso ya existente). Para más información sobre las identidades administradas, consulte la documentación de identidades administradas para recursos de Azure.

Los pasos siguientes le mostrarán cómo crear una UAMI para que la use Microsoft Purview.

Orígenes de datos admitidos para UAMI

• Azure Data Lake Gen 1
• Azure Data Lake Gen 2
• Azure SQL Database
• Instancia administrada de Azure SQL
• Grupos de SQL dedicados de Azure SQL
• Azure Blob Storage

Crear una identidad administrada asignada por el usuario

1. En Azure Portal, vaya a la cuenta de Microsoft Purview.

2. En la sección Identidades administradas del menú izquierdo, seleccione el botón + Agregar para agregar identidades administradas asignadas por el usuario.

   

3. Después de finalizar la configuración, vuelva a la cuenta de Microsoft Purview en Azure Portal. Si la identidad administrada se implementa correctamente, verá que el estado de la cuenta de Microsoft Purview es Correcto.

   

4. Una vez que la identidad administrada se haya implementado correctamente, vaya al portal de gobernanza de Microsoft Purview y seleccione el botón portal de gobernanza de Microsoft Purview.

5. En el portal de gobernanza de Microsoft Purview, vaya al Centro de administración y después a la sección Credenciales.

6. Para crear una identidad administrada asignada por el usuario, seleccione +Nuevo.

7. Seleccione el método de autenticación de identidad administrada y seleccione la identidad administrada asignada por el usuario en el menú desplegable.

   

   Nota

   Si el portal estaba abierto durante la creación de la identidad administrada asignada por el usuario, tendrá que actualizar el portal web de Microsoft Purview para cargar la configuración finalizada en Azure Portal.

8. Una vez rellenada toda la información, seleccione Crear.

Pasos siguientes

Creación de un conjunto de reglas de examen