Учетные данные для проверки подлинности источника в Microsoft Purview

В этой статье описывается создание учетных данных в Microsoft Purview. Эти сохраненные учетные данные позволяют быстро повторно использовать и применять сохраненные сведения для проверки источников данных.

Предварительные требования

• Хранилище ключей Azure. Чтобы узнать, как создать хранилище ключей, см. краткое руководство. Создание хранилища ключей с помощью портал Azure.

Введение

Учетные данные — это сведения о проверке подлинности, которые Microsoft Purview может использовать для проверки подлинности в зарегистрированных источниках данных. Объект учетных данных можно создать для различных типов сценариев проверки подлинности, таких как обычная проверка подлинности, требующая имени пользователя или пароля. Сбор учетных данных определенных сведений, необходимых для проверки подлинности, в зависимости от выбранного типа метода проверки подлинности. Учетные данные используют существующие секреты Azure Key Vault для получения конфиденциальных сведений о проверке подлинности в процессе создания учетных данных.

В Microsoft Purview существует несколько вариантов, которые можно использовать в качестве метода проверки подлинности для сканирования источников данных, например следующие параметры. Узнайте из каждой статьи об источнике данных о поддерживаемой проверке подлинности.

• Управляемое удостоверение, назначаемое системой Microsoft Purview
• Управляемое удостоверение, назначаемое пользователем (предварительная версия)
• Ключ учетной записи (с использованием Key Vault)
• Проверка подлинности SQL (с использованием Key Vault)
• Субъект-служба (с помощью Key Vault)
• Ключ потребителя (с помощью Key Vault)
• И многое другое

Прежде чем создавать учетные данные, рассмотрите типы источников данных и требования к сети, чтобы решить, какой метод проверки подлинности необходим для вашего сценария.

Настройка проверок с помощью управляемого удостоверения, назначаемого системой Microsoft Purview

Если для настройки проверок используется управляемое удостоверение Microsoft Purview, назначаемое системой (SAMI), вам не нужно создавать учетные данные и связывать хранилище ключей с Microsoft Purview для их хранения. Подробные инструкции по добавлению SAMI Microsoft Purview для доступа к сканированию источников данных см. в следующих разделах проверки подлинности для конкретных источников данных:

• Хранилище BLOB-объектов Azure
• Azure Data Lake Storage 1-го поколения
• Azure Data Lake Storage 2-го поколения
• База данных Azure SQL
• Управляемый экземпляр SQL Azure
• Рабочая область Azure Synapse
• Azure Synapse выделенных пулов SQL (ранее — хранилище данных SQL)

Предоставьте Microsoft Purview доступ к Key Vault Azure

Чтобы предоставить Microsoft Purview доступ к Key Vault Azure, необходимо подтвердить два действия.

• Доступ в брандмауэре к azure Key Vault
• Разрешения Microsoft Purview на Key Vault Azure

Доступ в брандмауэре к Azure Key Vault

Если ваш Key Vault Azure отключил доступ к общедоступной сети, у вас есть два варианта, чтобы разрешить доступ для Microsoft Purview.

• Доверенные службы Майкрософт
• Подключения к частной конечной точке

Доверенные службы Майкрософт

Microsoft Purview указан как одна из доверенных служб Azure Key Vault, поэтому если доступ к общедоступной сети отключен на Key Vault Azure, вы можете включить доступ только к доверенным службам Майкрософт, и microsoft Purview будет включен.

Этот параметр можно включить в Key Vault Azure на вкладке Сеть.

В нижней части страницы в разделе Исключение включите параметр Разрешить доверенным службам Майкрософт обойти эту функцию брандмауэра .

Подключения к частной конечной точке

Чтобы подключиться к azure Key Vault с помощью частных конечных точек, следуйте документации по частной конечной точке Azure Key Vault.

Примечание.

Параметр подключения к частной конечной точке поддерживается при использовании среды выполнения интеграции Azure в управляемой виртуальной сети для сканирования источников данных. Для локальной среды выполнения интеграции необходимо включить доверенные службы Майкрософт.

Разрешения Microsoft Purview на Key Vault Azure

В настоящее время azure Key Vault поддерживает две модели разрешений:

• Вариант 1. Политики доступа
• Вариант 2. Контроль доступа на основе ролей

Перед назначением доступа к управляемому удостоверению Microsoft Purview, назначаемому системой (SAMI), сначала определите модель разрешений azure Key Vault из Key Vault политики доступа к ресурсам в меню. Выполните следующие действия на основе соответствующей модели разрешений.

Вариант 1. Назначение доступа с помощью политики доступа Key Vault

Выполните следующие действия, только если модель разрешений в ресурсе Key Vault Azure имеет значение Политика доступа к хранилищу.

1. Перейдите к Key Vault Azure.

2. Выберите страницу Политики доступа .

3. Выберите Добавить политику доступа.

   

4. В раскрывающемся списке Разрешения секретов выберите Получить и Получить разрешения.

5. В поле Выбрать субъект выберите управляемое системное удостоверение Microsoft Purview. Вы можете выполнить поиск по SAMI Microsoft Purview, используя имя экземпляра Microsoft Purview или идентификатор приложения с управляемым удостоверением. В настоящее время мы не поддерживаем составные удостоверения (имя управляемого удостоверения + идентификатор приложения).

   

6. Нажмите Добавить.

7. Нажмите кнопку Сохранить , чтобы сохранить политику доступа.

   

Вариант 2. Назначение доступа с помощью Key Vault управления доступом на основе ролей Azure

Выполните следующие действия, только если для модели разрешений в ресурсе Key Vault Azure задано управление доступом на основе ролей Azure.

1. Перейдите к Key Vault Azure.

2. Выберите контроль доступа (IAM) в меню навигации слева.

3. Выберите + Добавить.

4. Задайте для параметра Рользначение Key Vault Секретный пользователь и введите имя учетной записи Microsoft Purview в поле Выбор входных данных. Затем нажмите кнопку Сохранить, чтобы предоставить это назначение роли учетной записи Microsoft Purview.

   

Создание подключений Azure Key Vault в учетной записи Microsoft Purview

Прежде чем создавать учетные данные, сначала свяжите один или несколько существующих экземпляров azure Key Vault с учетной записью Microsoft Purview.

1. Откройте портал управления Microsoft Purview, выполнив следующие действия.

   • Перейдите непосредственно к https://web.purview.azure.com учетной записи Microsoft Purview и выберите ее.
   • Откройте портал Azure, найдите и выберите учетную запись Microsoft Purview, которую вы хотите использовать для получения общей папки. Откройте портал управления Microsoft Purview.

2. Перейдите в Центр управления в студии, а затем перейдите к учетным данным.

3. На странице Учетные данные выберите Управление Key Vault подключениями.

   

4. Выберите + Создать на странице Управление подключениями Key Vault.

5. Укажите необходимые сведения, а затем нажмите кнопку Создать.

6. Убедитесь, что Key Vault успешно связан с вашей учетной записью Microsoft Purview, как показано в этом примере:

   

Создание учетных данных

В Microsoft Purview поддерживаются следующие типы учетных данных:

• Обычная проверка подлинности. Пароль добавляется в хранилище ключей в качестве секрета.
• Субъект-служба. Вы добавляете ключ субъекта-службы в качестве секрета в хранилище ключей.
• Проверка подлинности SQL. Пароль добавляется в качестве секрета в хранилище ключей.
• проверка подлинности Windows. Пароль добавляется в качестве секрета в хранилище ключей.
• Ключ учетной записи. Ключ учетной записи добавляется в качестве секрета в хранилище ключей.
• Role ARN. Для источника данных Amazon S3 добавьте свою роль ARN в AWS.
• Ключ потребителя. Для источников данных Salesforce можно добавить пароль и секрет потребителя в хранилище ключей.
• Управляемое удостоверение, назначаемое пользователем (предварительная версия). Вы можете добавить учетные данные управляемого удостоверения, назначаемые пользователем. Дополнительные сведения см. в разделе Создание управляемого удостоверения, назначаемого пользователем , ниже.

Дополнительные сведения см. в разделах Добавление секрета в Key Vault и Создание новой роли AWS для Microsoft Purview.

После сохранения секретов в хранилище ключей:

1. В Microsoft Purview перейдите на страницу Учетные данные.

2. Создайте учетные данные, выбрав + Создать.

3. Укажите необходимые сведения. Выберите метод проверки подлинности и Key Vault подключение, из которого следует выбрать секрет.

4. После заполнения всех сведений нажмите кнопку Создать.

   

5. Убедитесь, что новые учетные данные отображаются в представлении списка и готовы к использованию.

   

Управление подключениями к хранилищу ключей

1. Поиск и поиск Key Vault подключений по имени

   

2. Удаление одного или нескольких подключений Key Vault

   

Управление учетными данными

1. Поиск и поиск учетных данных по имени.

2. Выберите и внесите обновления в существующие учетные данные.

3. Удалите одну или несколько учетных данных.

Создание управляемого удостоверения, назначаемого пользователем

Управляемые удостоверения, назначаемые пользователем (UAMI), позволяют ресурсам Azure выполнять проверку подлинности непосредственно с другими ресурсами с помощью проверки подлинности Azure Active Directory (Azure AD) без необходимости управлять этими учетными данными. Они позволяют проходить проверку подлинности и назначать доступ так же, как с управляемым удостоверением, назначаемого системой, Azure AD пользователя, Azure AD группы или субъекта-службы. Управляемые удостоверения, назначаемые пользователем, создаются как собственный ресурс (а не подключаются к уже существующему ресурсу). Дополнительные сведения об управляемых удостоверениях см. в документации по управляемым удостоверениям для ресурсов Azure.

Ниже показано, как создать UAMI для Microsoft Purview.

Поддерживаемые источники данных для UAMI

• Azure Data Lake 1-го поколения
• Azure Data Lake 2-го поколения
• База данных Azure SQL
• Управляемый экземпляр SQL Azure
• Azure SQL выделенных пулов SQL
• Хранилище BLOB-объектов Azure

Создание управляемого удостоверения, назначаемого пользователем

1. В портал Azure перейдите к учетной записи Microsoft Purview.

2. В разделе Управляемые удостоверения в меню слева нажмите кнопку + Добавить , чтобы добавить управляемые удостоверения, назначаемые пользователем.

   

3. После завершения настройки вернитесь к учетной записи Microsoft Purview в портал Azure. Если управляемое удостоверение успешно развернуто, вы увидите состояние учетной записи Microsoft Purview как Успешно.

   

4. После успешного развертывания управляемого удостоверения перейдите на портал управления Microsoft Purview, нажав кнопку Открыть портал управления Microsoft Purview .

5. На портале управления Microsoft Purview перейдите в Центр управления в студии, а затем перейдите в раздел Учетные данные.

6. Создайте управляемое удостоверение, назначаемое пользователем, выбрав +Создать.

7. Выберите метод проверки подлинности управляемого удостоверения и выберите управляемое удостоверение, назначаемое пользователем, в раскрывающемся меню.

   

   Примечание.

   Если портал был открыт во время создания управляемого удостоверения, назначаемого пользователем, необходимо обновить веб-портал Microsoft Purview, чтобы загрузить параметры, завершенные в портал Azure.

8. После заполнения всех сведений выберите Создать.

Удаление управляемого удостоверения, назначаемого пользователем

1. В портал Azure перейдите к учетной записи Microsoft Purview.

2. В разделе Управляемые удостоверения в меню слева выберите удостоверение, которое нужно удалить.

3. Нажмите кнопку Удалить .

4. После успешного удаления управляемого удостоверения перейдите на портал управления Microsoft Purview, нажав кнопку Открыть портал управления Microsoft Purview .

5. Перейдите в Центр управления в студии, а затем перейдите в раздел Учетные данные.

6. Выберите удостоверение, которое нужно удалить, а затем нажмите кнопку Удалить .

Примечание.

Если вы удалили управляемое удостоверение, назначаемое пользователем, в портал Azure, необходимо удалить исходный идентификатор и создать новое на портале управления Microsoft Purview.

Дальнейшие действия

Создание набора правил проверки