A Microsoft Entra hitelesítés engedélyezése az Azure-SSIS integrációs futásidőhöz
A KÖVETKEZŐKRE VONATKOZIK: Azure Data Factory Azure Synapse Analytics (előzetes verzió)
Tipp.
Próbálja ki a Data Factoryt a Microsoft Fabricben, amely egy teljes körű elemzési megoldás a nagyvállalatok számára. A Microsoft Fabric az adattovábbítástól az adatelemzésig, a valós idejű elemzésig, az üzleti intelligenciáig és a jelentéskészítésig mindent lefed. Ismerje meg, hogyan indíthat új próbaverziót ingyenesen!
Ez a cikk bemutatja, hogyan engedélyezheti a Microsoft Entra-hitelesítést az Azure Data Factory (ADF) vagy az Azure Synapse megadott rendszer-/felhasználó által hozzárendelt felügyelt identitásával, és hogyan használhatja azt hagyományos hitelesítési módszerek (például SQL-hitelesítés) helyett a következő célokra:
Hozzon létre egy Azure-SSIS integrációs modult (IR), amely az Ön nevében SSIS-katalógusadatbázist (SSISDB) épít ki az Azure SQL Database-kiszolgálón/felügyelt példányon.
Csatlakozás különböző Azure-erőforrásokhoz, amikor SSIS-csomagokat futtat az Azure-SSIS IR-en.
Az ADF felügyelt identitásával kapcsolatos további információkért lásd a Data Factory és az Azure Synapse felügyelt identitását.
Feljegyzés
Ebben a forgatókönyvben az ADF-hez megadott rendszer-/felhasználó által hozzárendelt felügyelt identitással rendelkező Microsoft Entra-hitelesítést csak az Azure-SSIS integrációs modul kiépítési és későbbi indítási műveleteihez használják, amelyek az SSISDB kiépítését és csatlakozását végzik. Az SSIS-csomagok végrehajtása esetén az Azure-SSIS IR továbbra is csatlakozik az SSISDB-hez, hogy az SSISDB kiépítése során létrehozott teljes körűen felügyelt fiókokkal (AzureIntegrationServiceDbo és AzureIntegrationServiceWorker) rendelkező SQL-hitelesítéssel lekérje a csomagokat.
A kapcsolatkezelő felhasználó által hozzárendelt felügyelt identitás funkciójának használatához például az SSIS integrációs modult ugyanazzal a felhasználó által hozzárendelt felügyelt identitással kell kiépíteni, mint a kapcsolatkezelőben.
Ha már sql-hitelesítéssel hozta létre az Azure-SSIS integrációs modult, akkor jelenleg nem konfigurálhatja újra a Microsoft Entra-hitelesítés használatára a PowerShell használatával, de ezt az Azure Portalon/ADF-alkalmazáson keresztül teheti meg.
Feljegyzés
Javasoljuk, hogy az Azure Az PowerShell modult használja az Azure-ral való interakcióhoz. Az első lépésekhez tekintse meg az Azure PowerShell telepítését ismertető szakaszt. Az Az PowerShell-modulra történő migrálás részleteiről lásd: Az Azure PowerShell migrálása az AzureRM modulból az Az modulba.
A Microsoft Entra-hitelesítés engedélyezése az Azure SQL Database-ben
Az Azure SQL Database támogatja az adatbázis Microsoft Entra-felhasználóval való létrehozását. Először létre kell hoznia egy Microsoft Entra-csoportot az ADF-hez tagként megadott rendszer-/felhasználó által hozzárendelt felügyelt identitással. Ezután be kell állítania egy Microsoft Entra-felhasználót az Azure SQL Database-kiszolgáló Active Directory-rendszergazdájaként, majd csatlakoznia kell hozzá az SQL Server Management Studióban (SSMS) ezzel a felhasználóval. Végül létre kell hoznia egy, a Microsoft Entra csoportot képviselő, tartalmazott felhasználót, így az ADF-hez megadott rendszer-/felhasználó által hozzárendelt felügyelt identitást az Azure-SSIS IR használhatja az SSISDB létrehozásához az Ön nevében.
Microsoft Entra-csoport létrehozása a megadott rendszer-/felhasználó által hozzárendelt felügyelt identitással az ADF-hez tagként
Használhat egy meglévő Microsoft Entra-csoportot, vagy létrehozhat egy újat az Azure AD PowerShell használatával.
Telepítse az Azure AD PowerShell-modult .
Jelentkezzen be a használatával
Connect-AzureAD
, futtassa a következő parancsmagot egy csoport létrehozásához, és mentse azt egy változóba:$Group = New-AzureADGroup -DisplayName "SSISIrGroup" ` -MailEnabled $false ` -SecurityEnabled $true ` -MailNickName "NotSet"
Feljegyzés
Az Azure AD- és MSOnline PowerShell-modulok 2024. március 30-ától elavultak. További információkért olvassa el az elavulás frissítését. Ezen dátum után ezeknek a moduloknak a támogatása a Microsoft Graph PowerShell SDK-ra való migrálásra és a biztonsági javításokra korlátozódik. Az elavult modulok 2025. március 30-ától működnek tovább.
Javasoljuk, hogy migráljon a Microsoft Graph PowerShellbe a Microsoft Entra ID (korábbi nevén Azure AD) használatához. Gyakori migrálási kérdésekért tekintse meg a migrálással kapcsolatos gyakori kérdéseket. Megjegyzés: Az MSOnline 1.0.x verziói 2024. június 30. után fennakadást tapasztalhatnak.
Az eredmény a következő példához hasonlóan néz ki, amely a változó értékét is megjeleníti:
$Group ObjectId DisplayName Description -------- ----------- ----------- 6de75f3c-8b2f-4bf4-b9f8-78cc60a18050 SSISIrGroup
Adja hozzá az ADF-hez megadott rendszer-/felhasználó által hozzárendelt felügyelt identitást a csoporthoz. A Data Factory vagy az Azure Synapse felügyelt identitását követve lekérheti a megadott rendszer-/felhasználó által hozzárendelt felügyelt identitás objektumazonosítóját az ADF-hez (például 765ad4ab-XXXX-XXXX-XXXX-51ed985819dc), de ehhez ne használja az alkalmazásazonosítót.
Add-AzureAdGroupMember -ObjectId $Group.ObjectId -RefObjectId 765ad4ab-XXXX-XXXX-XXXX-51ed985819dc
Ezt követően a csoporttagság is ellenőrizhető.
Get-AzureAdGroupMember -ObjectId $Group.ObjectId
Microsoft Entra-hitelesítés konfigurálása az Azure SQL Database-hez
Az Alábbi lépések végrehajtásával konfigurálhatja és kezelheti az Azure SQL Database-hez készült Microsoft Entra-hitelesítést:
Az Azure Portalon válassza az Összes szolgáltatás –> SQL-kiszolgálók lehetőséget a bal oldali navigációs sávon.
Válassza ki a Microsoft Entra-hitelesítéssel konfigurálni kívánt Azure SQL Database-kiszolgálót.
A panel Gépház szakaszában válassza az Active Directory-rendszergazda lehetőséget.
A parancssávon válassza a Rendszergazda beállítása lehetőséget.
Válasszon ki egy Microsoft Entra felhasználói fiókot a kiszolgáló rendszergazdájaként, majd válassza a Kiválasztás lehetőséget .
A parancssávon válassza a Mentés lehetőséget .
Tartalmazott felhasználó létrehozása az Azure SQL Database-ben, amely a Microsoft Entra csoportot képviseli
Ehhez a következő lépéshez SSMS-re van szükség.
Indítsa el az SSMS-eket.
A Csatlakozás kiszolgálóhoz párbeszédpanelen adja meg a kiszolgáló nevét a Kiszolgálónév mezőben.
A Hitelesítés mezőben válassza az Active Directory – Univerzális MFA-támogatást (a másik két Active Directory-hitelesítési típust is használhatja, lásd: Microsoft Entra-hitelesítés konfigurálása és kezelése az Azure SQL Database-hez).
A Felhasználónév mezőbe írja be a kiszolgálói rendszergazdaként beállított Microsoft Entra-fiók nevét, például. testuser@xxxonline.com
Válassza Csatlakozás, és fejezze be a bejelentkezési folyamatot.
Az Object Explorerben bontsa ki az Adatbázisok –>System Databases mappát.
Kattintson a jobb gombbal a főadatbázisra, és válassza az Új lekérdezés lehetőséget.
A lekérdezési ablakban adja meg a következő T-SQL-parancsot, és válassza a Végrehajtás lehetőséget az eszköztáron.
CREATE USER [SSISIrGroup] FROM EXTERNAL PROVIDER
A parancsnak sikeresen végre kell hajtania, és létre kell hoznia egy tartalmazott felhasználót a csoport megjelenítéséhez.
Törölje a lekérdezési ablakot, írja be a következő T-SQL-parancsot, és válassza a Végrehajtás lehetőséget az eszköztáron.
ALTER ROLE dbmanager ADD MEMBER [SSISIrGroup]
A parancsnak sikeresen végre kell hajtania, és lehetővé kell tenni a benne foglalt felhasználó számára, hogy adatbázist (SSISDB) hozzon létre.
Ha az SSISDB SQL-hitelesítéssel lett létrehozva, és az Azure-SSIS integrációs modulhoz Microsoft Entra-hitelesítésre szeretne váltani, először győződjön meg arról, hogy a főadatbázis engedélyeinek megadására vonatkozó fenti lépések sikeresen befejeződtek. Ezután kattintson a jobb gombbal az SSISDB-adatbázisra, és válassza az Új lekérdezés lehetőséget.
A lekérdezési ablakban adja meg a következő T-SQL-parancsot, és válassza a Végrehajtás lehetőséget az eszköztáron.
CREATE USER [SSISIrGroup] FROM EXTERNAL PROVIDER
A parancsnak sikeresen végre kell hajtania, és létre kell hoznia egy tartalmazott felhasználót a csoport megjelenítéséhez.
Törölje a lekérdezési ablakot, írja be a következő T-SQL-parancsot, és válassza a Végrehajtás lehetőséget az eszköztáron.
ALTER ROLE db_owner ADD MEMBER [SSISIrGroup]
A parancsnak sikeresen végre kell hajtania, és lehetővé kell tenni a tartalmazott felhasználó számára az SSISDB elérését.
Microsoft Entra-hitelesítés engedélyezése felügyelt Azure SQL-példányon
A felügyelt Azure SQL-példány közvetlenül támogatja az adatbázis létrehozását a megadott rendszer-/felhasználó által hozzárendelt felügyelt identitással az ADF-hez. Nem kell csatlakoznia az ADF-hez megadott rendszer-/felhasználó által hozzárendelt felügyelt identitáshoz egy Microsoft Entra-csoporthoz, és nem kell létrehoznia egy, a csoportot képviselő felhasználót a felügyelt Azure SQL-példányban.
Microsoft Entra-hitelesítés konfigurálása felügyelt Azure SQL-példányhoz
Kövesse a Felügyelt Azure SQL-példányhoz készült Microsoft Entra-rendszergazda kiépítésének lépéseit.
Adja hozzá a megadott rendszer-/felhasználó által hozzárendelt felügyelt identitást az ADF-hez vagy az Azure Synapse-hez felhasználóként a felügyelt Azure SQL-példányban
Ehhez a következő lépéshez SSMS-re van szükség.
Indítsa el az SSMS-eket.
Csatlakozás a felügyelt Azure SQL-példányba a sysadmin nevű SQL Server-fiókkal. Ez egy ideiglenes korlátozás, amely akkor szűnik meg, ha általánosan elérhetővé válik a Felügyelt Azure SQL-példányon futó Microsoft Entra-kiszolgálónevek (bejelentkezések) támogatása. A következő hibaüzenet jelenik meg, ha Microsoft Entra-rendszergazdai fiókkal próbálja létrehozni a bejelentkezést: Msg 15247, Level 16, State 1, Line 1 Felhasználó nem rendelkezik engedéllyel a művelet végrehajtásához.
Az Object Explorerben bontsa ki az Adatbázisok –>System Databases mappát.
Kattintson a jobb gombbal a főadatbázisra, és válassza az Új lekérdezés lehetőséget.
A lekérdezési ablakban hajtsa végre a következő T-SQL-szkriptet az ADF-hez felhasználóként megadott rendszer-/felhasználó által hozzárendelt felügyelt identitás hozzáadásához.
CREATE LOGIN [{your managed identity name}] FROM EXTERNAL PROVIDER ALTER SERVER ROLE [dbcreator] ADD MEMBER [{your managed identity name}] ALTER SERVER ROLE [securityadmin] ADD MEMBER [{your managed identity name}]
Ha a rendszer által felügyelt identitást használja az ADF-hez, akkor a felügyelt identitás nevének az ADF-nek kell lennie. Ha felhasználó által hozzárendelt felügyelt identitást használ az ADF-hez, akkor a felügyelt identitás nevének a megadott felhasználó által hozzárendelt felügyelt identitásnévnek kell lennie.
A parancsnak sikeresen végre kell hajtania, így az ADF rendszer-/felhasználó által hozzárendelt felügyelt identitásának lehetővé kell tenni egy adatbázis (SSISDB) létrehozását.
Ha az SSISDB SQL-hitelesítéssel lett létrehozva, és az Azure-SSIS integrációs modulhoz Microsoft Entra-hitelesítésre szeretne váltani, először győződjön meg arról, hogy a főadatbázis engedélyeinek megadására vonatkozó fenti lépések sikeresen befejeződtek. Ezután kattintson a jobb gombbal az SSISDB-adatbázisra, és válassza az Új lekérdezés lehetőséget.
A lekérdezési ablakban adja meg a következő T-SQL-parancsot, és válassza a Végrehajtás lehetőséget az eszköztáron.
CREATE USER [{your managed identity name}] FOR LOGIN [{your managed identity name}] WITH DEFAULT_SCHEMA = dbo ALTER ROLE db_owner ADD MEMBER [{your managed identity name}]
A parancsnak sikeresen végre kell hajtania, így az ADF rendszer-/felhasználó által hozzárendelt felügyelt identitása számára lehetővé teszi az SSISDB elérését.
Azure-SSIS integrációs modul kiépítése az Azure Portalon/ADF-alkalmazásban
Amikor üzembe helyezi az Azure-SSIS integrációs modult az Azure Portalon/ADF-alkalmazásban, az Üzembe helyezési beállítások lapon jelölje be az Azure SQL Database-kiszolgáló/Felügyelt példány által üzemeltetett SSIS-katalógus (SSISDB) létrehozását a projektek/csomagok/környezetek/végrehajtási naplók tárolásához, és jelölje be a Microsoft Entra-hitelesítés használata a Data Factory rendszer által felügyelt identitásával, vagy a Microsoft Entra-hitelesítés használata a Data Factory felhasználó által hozzárendelt felügyelt identitásával jelölje be a Microsoft Entra hitelesítési módszer kiválasztását az Azure-SSIS IR-hez az SSISDB-t futtató adatbázis-kiszolgáló eléréséhez.
További információ: Azure-SSIS integrációs modul létrehozása az ADF-ben.
Azure-SSIS integrációs modul kiépítése a PowerShell-lel
Az Azure-SSIS integrációs modul PowerShell-lel való kiépítéséhez tegye a következőket:
Telepítse az Azure PowerShell-modult .
A szkriptben ne állítson be
CatalogAdminCredential
paramétert. Példa:Set-AzDataFactoryV2IntegrationRuntime -ResourceGroupName $ResourceGroupName ` -DataFactoryName $DataFactoryName ` -Name $AzureSSISName ` -Description $AzureSSISDescription ` -Type Managed ` -Location $AzureSSISLocation ` -NodeSize $AzureSSISNodeSize ` -NodeCount $AzureSSISNodeNumber ` -Edition $AzureSSISEdition ` -MaxParallelExecutionsPerNode $AzureSSISMaxParallelExecutionsPerNode ` -CatalogServerEndpoint $SSISDBServerEndpoint ` -CatalogPricingTier $SSISDBPricingTier Start-AzDataFactoryV2IntegrationRuntime -ResourceGroupName $ResourceGroupName ` -DataFactoryName $DataFactoryName ` -Name $AzureSSISName
SSIS-csomagok futtatása Microsoft Entra-hitelesítéssel az ADF-hez megadott rendszer-/felhasználó által hozzárendelt felügyelt identitással
Amikor SSIS-csomagokat futtat az Azure-SSIS IR-en, a Microsoft Entra-hitelesítést a megadott rendszer-/felhasználó által hozzárendelt felügyelt identitással használhatja az ADF-hez, hogy különböző Azure-erőforrásokhoz csatlakozzon. Jelenleg az alábbi kapcsolatkezelőkben támogatjuk a Microsoft Entra-hitelesítést az ADF-hez megadott rendszer-/felhasználó által hozzárendelt felügyelt identitással.