A Microsoft Entra-hitelesítés használata a Synapse SQL-lel való hitelesítéshez

A Microsoft Entra-hitelesítés az Azure Synapse Analyticshez a Microsoft Entra-azonosítóban található identitások használatával csatlakozik.

A Microsoft Entra-hitelesítéssel központilag kezelheti az Azure Synapse-hoz hozzáféréssel rendelkező felhasználói identitásokat az engedélykezelés egyszerűsítése érdekében. Ez az alábbi előnyökkel jár:

• Alternatívát kínál a rendszeres felhasználónév és jelszó-hitelesítés helyett.
• Segít megállítani a felhasználói identitások terjedését a kiszolgálókon.
• Lehetővé teszi a jelszóváltást egyetlen helyen.
• Az ügyfelek külső (Microsoft Entra ID) csoportokkal kezelhetik az engedélyeket.
• Kiküszöbölheti a jelszavak tárolását azáltal, hogy engedélyezi az integrált Windows-hitelesítést és a Microsoft Entra ID által támogatott egyéb hitelesítési formákat.
• A Microsoft Entra ID támogatja az Azure Synapse-hez csatlakozó alkalmazások jogkivonatalapú hitelesítését.
• A Microsoft Entra-hitelesítés támogatja az ADFS-t (tartomány-összevonást) vagy a helyi Microsoft Entra-azonosító natív felhasználó-/jelszó-hitelesítését tartományszinkronizálás nélkül.
• A Microsoft Entra ID támogatja az Active Directory univerzális hitelesítést használó SQL Server Management Studióból származó kapcsolatokat, amelyek többtényezős hitelesítést (MFA) is tartalmaznak. Az MFA számos egyszerű ellenőrzési lehetőséggel rendelkezik, például telefonhívással, szöveges üzenettel, pin-kóddal ellátott intelligens kártyákkal vagy mobilalkalmazás-értesítésekkel. További információ: SSMS-támogatás a Synapse SQL-vel történő Többtényezős Microsoft Entra-hitelesítéshez.
• A Microsoft Entra ID támogatja az Active Directory interaktív hitelesítést használó SQL Server Data Tools (SSDT) hasonló kapcsolatait. További információ: Microsoft Entra ID-támogatás az SQL Server Data Tools (SSDT)-ben.

A konfigurációs lépések a következő eljárásokat tartalmazzák a Microsoft Entra-hitelesítés konfigurálásához és használatához.

1. Microsoft Entra-azonosító létrehozása és feltöltése.
2. Microsoft Entra-identitás létrehozása
3. Szerepkör hozzárendelése a létrehozott Microsoft Entra-identitáshoz a Synapse-munkaterületen
4. Csatlakozás a Synapse Studióba Microsoft Entra-identitások használatával.

Microsoft Entra-továbbítás az Azure Synapse Analyticsben

Az Azure Synapse Analytics lehetővé teszi a data lake-beli adatok elérését a Microsoft Entra-identitás használatával.

A különböző adatmotorokban tiszteletben álló fájlok és adatok hozzáférési jogosultságainak meghatározása lehetővé teszi a Data Lake-megoldások egyszerűsítését azáltal, hogy egyetlen helyen definiálja az engedélyeket ahelyett, hogy több helyen kellene definiálnia őket.

Az architektúra megbízhatósága

Az alábbi magas szintű diagram a Microsoft Entra-hitelesítés Synapse SQL-lel való használatának megoldásarchitektúráját foglalja össze. A Microsoft Entra natív felhasználói jelszavának támogatásához a rendszer csak a felhőrészt és az Azure AD/Synapse Synapse SQL-t veszi figyelembe. Az összevont hitelesítés (vagy a Windows hitelesítő adataihoz tartozó felhasználó/jelszó) támogatásához az ADFS-blokktal való kommunikációra van szükség. A nyilak kommunikációs útvonalakat jelölnek.

Az alábbi ábra azokat az összevonási, megbízhatósági és üzemeltetési kapcsolatokat mutatja be, amelyek lehetővé teszik az ügyfél számára, hogy jogkivonat elküldésével csatlakozzon egy adatbázishoz. A jogkivonatot egy Microsoft Entra-azonosító hitelesíti, és az adatbázis megbízhatónak minősíti.

Az 1. ügyfél egy Microsoft Entra-azonosítót jelölhet natív felhasználókkal, vagy összevont felhasználókkal rendelkező Microsoft Entra-azonosítót. A 2. ügyfél egy lehetséges megoldást jelent, beleértve az importált felhasználókat is; ebben a példában egy összevont Microsoft Entra-azonosítóból származik, amelyben az ADFS szinkronizálva van a Microsoft Entra-azonosítóval.

Fontos tisztában lenni azzal, hogy a Microsoft Entra-hitelesítést használó adatbázisokhoz való hozzáféréshez az üzemeltetési előfizetés a Microsoft Entra-azonosítóhoz van társítva. Ugyanazt az előfizetést kell használni az Azure SQL Database-t vagy dedikált SQL-készletet futtató SQL Server létrehozásához.

Rendszergazda istrator struktúra

A Microsoft Entra-hitelesítés használatakor két Rendszergazda istrator-fiók található a Synapse SQL-hez, az eredeti SQL-rendszergazda (SQL-hitelesítés használatával) és a Microsoft Entra-rendszergazda. Csak a Microsoft Entra-fiókon alapuló rendszergazda hozhatja létre az első Microsoft Entra-azonosítót tartalmazó adatbázis-felhasználót egy felhasználói adatbázisban.

A Microsoft Entra rendszergazdai bejelentkezés lehet Microsoft Entra-felhasználó vagy Microsoft Entra-csoport. Ha a rendszergazda csoportfiók, azt bármely csoporttag használhatja, így több Microsoft Entra-rendszergazda is használhatja a Synapse SQL-példányhoz.

A csoportfiók rendszergazdaként való használata javítja a kezelhetőséget azáltal, hogy lehetővé teszi a csoporttagok központi hozzáadását és eltávolítását a Microsoft Entra-azonosítóban anélkül, hogy módosítaná a felhasználókat vagy engedélyeket az Azure Synapse Analytics-munkaterületen. Egyszerre csak egy Microsoft Entra-rendszergazda (felhasználó vagy csoport) konfigurálható.

Permissions

Új felhasználók létrehozásához rendelkeznie kell az ALTER ANY USER adatbázis engedélyével. Az ALTER ANY USER engedély bármely adatbázis-felhasználónak adható. Az ALTER ANY USER engedélyt az SQL-rendszergazda és a Microsoft Entra rendszergazdai fiókjai, valamint az CONTROL ON DATABASEALTER ON DATABASE adatbázis-felhasználók és az db_owner adatbázis-szerepkör tagjai is birtokolják.

Ha tartalmazott adatbázis-felhasználót szeretne létrehozni a Synapse SQL-ben, Microsoft Entra-identitással kell csatlakoznia az adatbázishoz vagy a példányhoz. Az első tárolt adatbázis-felhasználó létrehozásához csatlakoznia kell az adatbázishoz egy Microsoft Entra-rendszergazdával (aki az adatbázis tulajdonosa).

A Microsoft Entra-hitelesítés csak akkor lehetséges, ha a Microsoft Entra rendszergazdája a Synapse SQL-hez lett létrehozva. Ha a Microsoft Entra rendszergazdáját eltávolították a kiszolgálóról, a Korábban a Synapse SQL-ben létrehozott Microsoft Entra-felhasználók már nem tudnak csatlakozni az adatbázishoz a Microsoft Entra hitelesítő adataikkal.

Helyi hitelesítés letiltása

Ha csak a Microsoft Entra-hitelesítést engedélyezi, központilag kezelheti az Azure Synapse-erőforrásokhoz, például az SQL-készletekhez való hozzáférést. Ha le szeretné tiltani a helyi hitelesítést a Synapse-ban a munkaterület létrehozásakor, válassza a Csak a Microsoft Entra-hitelesítés használata hitelesítési módszerként lehetőséget. Az SQL-Rendszergazda istrator-bejelentkezés továbbra is létrejön, de le lesz tiltva. A helyi hitelesítést később engedélyezheti egy Azure-tulajdonos vagy a Synapse-munkaterület közreműködője.

A helyi hitelesítést az Azure Portalon történő munkaterület létrehozása után is letilthatja. A helyi hitelesítés nem tiltható le, amíg létre nem jön egy Microsoft Entra-rendszergazda az Azure Synapse-munkaterülethez.

A Microsoft Entra funkciói és korlátozásai

• A Microsoft Entra ID következő tagjai kiépíthetők a Synapse SQL-ben:

  • Natív tagok: A Microsoft Entra-azonosítóban létrehozott tag a felügyelt tartományban vagy egy ügyféltartományban. További információ: Saját tartománynév hozzáadása a Microsoft Entra-azonosítóhoz.
  • Összevont tartománytagok: A Microsoft Entra-azonosítóban létrehozott tag összevont tartománnyal. További információ: Active Directory összevonási szolgáltatások (AD FS) üzembe helyezése az Azure-ban.
  • Importált tagok más Azure AD-ből, akik natív vagy összevont tartománytagok.
  • Biztonsági csoportként létrehozott Active Directory-csoportok.

• A kiszolgálói szerepkörrel rendelkező db_owner csoporthoz tartozó Microsoft Entra-felhasználók nem használhatják a CREATE DATABA Standard kiadás SCOPED CREDENTIAL szintaxist a Synapse SQL-ben. A következő hibaüzenet jelenik meg:

  SQL Error [2760] [S0001]: The specified schema name 'user@mydomain.com' either does not exist or you do not have permission to use it.

  Adja meg a db_owner szerepkört közvetlenül az egyes Microsoft Entra-felhasználóknak a CREATE DATABA Standard kiadás SCOPED CREDENTIAL probléma megoldásához.

• Ezek a rendszerfüggvények NULL értékeket adnak vissza, amikor a Microsoft Entra-tagok alatt hajtják végre:

  • SUSER_ID()
  • SUSER_NAME(<admin ID>)
  • SUSER_SNAME(<admin SID>)
  • SUSER_ID(<admin name>)
  • SUSER_SID(<admin name>)

Csatlakozás Microsoft Entra-identitások használata

A Microsoft Entra-hitelesítés az alábbi módszereket támogatja az adatbázishoz való csatlakozáshoz a Microsoft Entra-identitások használatával:

• Microsoft Entra jelszó
• A Microsoft Entra integrálva
• Microsoft Entra Universal és MFA
• Alkalmazásjogkivonat-hitelesítés használata

A Microsoft Entra-kiszolgálónevek (bejelentkezések) esetében a következő hitelesítési módszerek támogatottak:

• Microsoft Entra jelszó
• A Microsoft Entra integrálva
• Microsoft Entra Universal és MFA

Additional considerations

• A kezelhetőség javítása érdekében javasoljuk, hogy rendszergazdaként kiépítsen egy dedikált Microsoft Entra-csoportot.
• A Synapse SQL-készletekhez bármikor csak egy Microsoft Entra-rendszergazda (felhasználó vagy csoport) konfigurálható.
  • A Synapse SQL-hez tartozó Microsoft Entra-kiszolgálónevek (bejelentkezések) hozzáadása lehetővé teszi több Microsoft Entra-kiszolgálónév (bejelentkezés) létrehozását, amelyek hozzáadhatók a sysadmin szerepkörhöz.
• A Synapse SQL-hez tartozó Microsoft Entra-rendszergazda kezdetben csak Microsoft Entra-fiókkal tud csatlakozni a Synapse SQL-hez. Az Active Directory rendszergazdája konfigurálhatja a Microsoft Entra-adatbázis további felhasználóit.
• Javasoljuk, hogy a kapcsolat időtúllépését 30 másodpercre állítsa.
• Az SQL Server 2016 Management Studio és az SQL Server Data Tools for Visual Studio 2015 (14.0.60311.1April 2016-os vagy újabb verzió) támogatja a Microsoft Entra-hitelesítést. (A Microsoft Entra-hitelesítést a .NET-keretrendszer SqlServer adatszolgáltatója; legalább .NET-keretrendszer 4.6-os verzió). Tehát ezeknek az eszközöknek és adatrétegű alkalmazásoknak a legújabb verziói (DAC és . A BACPAC) használhatja a Microsoft Entra-hitelesítést.
• A 15.0.1-es verziótól kezdve az sqlcmd segédprogram és a bcp segédprogram támogatja az Active Directory interaktív hitelesítést az MFA-val.
• Az SQL Server Data Tools for Visual Studio 2015 használatához legalább a Data Tools 2016. áprilisi verziója szükséges (14.0.60311.1-es verzió). A Microsoft Entra-felhasználók jelenleg nem jelennek meg az SSDT Object Explorerben. Kerülő megoldásként tekintse meg a felhasználókat a sys.database_principals.
• Az SQL Serverhez készült Microsoft JDBC Driver 6.0 támogatja a Microsoft Entra-hitelesítést. Lásd még a Csatlakozás ion tulajdonságainak beállítását.
• A Microsoft Entra rendszergazdai fiókja szabályozza a dedikált készletekhez való hozzáférést, míg a Synapse RBAC-szerepkörök a kiszolgáló nélküli készletekhez való hozzáférés szabályozására szolgálnak, például a Synapse Rendszergazda istrator és a Synapse SQL Rendszergazda istrator szerepkörrel. Synapse RBAC-szerepkörök konfigurálása a Synapse Studióval további információkért lásd : Synapse RBAC-szerepkör-hozzárendelések kezelése a Synapse Studióban.
• Ha egy felhasználó Microsoft Entra-rendszergazdaként és Synapse Rendszergazda istratorként van konfigurálva, majd eltávolítja a Microsoft Entra rendszergazdai szerepköréből, akkor a felhasználó elveszíti a hozzáférést a Synapse dedikált SQL-készleteihez. Ezeket el kell távolítani, majd hozzá kell adni a Synapse Rendszergazda istrator szerepkörhöz a dedikált SQL-készletekhez való hozzáférés visszanyeréséhez.

Következő lépések

• A Synapse SQL hozzáférésének és vezérlésének áttekintéséért lásd a Synapse SQL hozzáférés-vezérlését.
• További információ az adatbázis résztvevőivel kapcsolatban: Résztvevők.
• További információ az adatbázis-szerepkörökkel kapcsolatban: Adatbázis-szerepkörök.