Настройка проверки подлинности Microsoft Entra для Azure-SSIS Integration Runtime
ОБЛАСТЬ ПРИМЕНЕНИЯ:
Фабрика данных Azure Azure Synapse Analytics (предварительная версия)
Совет
Попробуйте использовать фабрику данных в Microsoft Fabric, решение для аналитики с одним интерфейсом для предприятий. Microsoft Fabric охватывает все, от перемещения данных до обработки и анализа данных в режиме реального времени, бизнес-аналитики и отчетности. Узнайте, как бесплатно запустить новую пробную версию !
В этой статье показано, как включить проверку подлинности Microsoft Entra с указанным управляемым удостоверением, назначенным системой или пользователем для Фабрика данных Azure (ADF) или Azure Synapse, и использовать его вместо обычных методов проверки подлинности (например, для проверки подлинности SQL):
Создание среды выполнения интеграции (IR) Azure-SSIS, которая будет в свою очередь подготавливать каталог базы данных SSIS (SSISDB) на сервере Базе данных или в Управляемом экземпляре SQL Azure от вашего имени.
Подключение к различным ресурсам Azure при запуске пакетов служб SSIS в Azure-SSIS IR.
Дополнительные сведения об управляемом удостоверении для ADF см. в разделе Управляемое удостоверение для Фабрики данных и Azure Synapse.
Примечание.
В этом сценарии проверка подлинности Microsoft Entra с указанным управляемым удостоверением, назначенным системой или пользователем для ADF, используется только в подготовке и последующих начальных операциях azure-SSIS IR, которые в свою очередь будут подготавливать и подключаться к SSISDB. Для выполнения пакетов SSIS ваша среда Azure-SSIS IR будет по-прежнему подключаться к SSISDB для получения пакетов с использованием проверки подлинности SQL с полностью управляемыми учетными записями (AzureIntegrationServiceDbo и AzureIntegrationServiceWorker), которые создаются во время подготовки SSISDB.
Для использования функции управляемого удостоверения , назначаемого пользователем диспетчера соединений, диспетчер соединений OLEDB, например, SSIS IR необходимо подготовить с тем же управляемым удостоверением, назначаемое пользователем, которое используется в диспетчере соединений.
Если вы уже создали azure-SSIS IR с помощью проверки подлинности SQL, вы не можете перенастроить его для использования проверки подлинности Microsoft Entra через PowerShell в настоящее время, но это можно сделать с помощью приложения портал Azure/ADF.
Примечание.
Мы рекомендуем использовать модуль Azure Az PowerShell для взаимодействия с Azure. Чтобы начать работу, см. статью Установка Azure PowerShell. Дополнительные сведения см. в статье Перенос Azure PowerShell с AzureRM на Az.
Включение проверки подлинности Microsoft Entra в База данных SQL Azure
База данных SQL Azure поддерживает создание базы данных с помощью пользователя Microsoft Entra. Сначала необходимо создать группу Microsoft Entra с указанным управляемым удостоверением, назначенным системой или пользователем, для ADF в качестве члена. Затем необходимо задать пользователя Microsoft Entra в качестве администратора Active Directory для сервера База данных SQL Azure, а затем подключиться к нему в SQL Server Management Studio (SSMS) с помощью этого пользователя. Наконец, необходимо создать автономного пользователя, представляющего группу Microsoft Entra, поэтому указанное управляемое удостоверение, назначаемое системой или пользователем для ADF, можно использовать Azure-SSIS IR для создания SSISDB от вашего имени.
Создайте группу Microsoft Entra с указанным управляемым удостоверением, назначенным системой или пользователем, для ADF в качестве члена
Вы можете использовать существующую группу Microsoft Entra или создать новую с помощью Azure AD PowerShell.
Установите модуль Azure AD PowerShell.
Войдите с помощью командлета
Connect-AzureADи выполните следующий командлет, чтобы создать группу и сохранить ее в переменной:$Group = New-AzureADGroup -DisplayName "SSISIrGroup" ` -MailEnabled $false ` -SecurityEnabled $true ` -MailNickName "NotSet"Примечание.
Модули Azure AD и MSOnline PowerShell устарели с 30 марта 2024 г. Дополнительные сведения см. в обновлении об отмене. После этой даты поддержка этих модулей ограничена поддержкой миграции в пакет SDK Для Microsoft Graph PowerShell и исправления безопасности. Устаревшие модули будут продолжать функционировать до 30 марта 2025 года.
Рекомендуется перенести в Microsoft Graph PowerShell для взаимодействия с идентификатором Microsoft Entra (ранее — Azure AD). Часто задаваемые вопросы о миграции см. в разделе "Вопросы и ответы о миграции". Примечание. Версии 1.0.x MSOnline могут возникнуть сбоем после 30 июня 2024 г.
Результат будет выглядеть как в следующем примере и содержать значение переменной.
$Group ObjectId DisplayName Description -------- ----------- ----------- 6de75f3c-8b2f-4bf4-b9f8-78cc60a18050 SSISIrGroupДобавьте назначаемое системой или пользователем управляемое удостоверение для ADF на портале Azure. Чтобы получить идентификатор объекта указанного управляемого удостоверения, назначаемого системой или пользователем, для вашей ADF (например, 765ad4ab-XXXX-XXXX-XXXX-51ed985819dc), выполните инструкции, приведенные в статье Управляемое удостоверение для Фабрики данных или Azure Synapse. Не используйте для этой цели идентификатор приложения.
Add-AzureAdGroupMember -ObjectId $Group.ObjectId -RefObjectId 765ad4ab-XXXX-XXXX-XXXX-51ed985819dcЧленство в группе можно также проверить позже.
Get-AzureAdGroupMember -ObjectId $Group.ObjectId
Настройка проверки подлинности Microsoft Entra для База данных SQL Azure
Вы можете настроить проверку подлинности Microsoft Entra и управлять ими для База данных SQL Azure, выполнив следующие действия.
На портале Azure в левой панели навигации выберите Все службы ->Серверы SQL Server.
Выберите сервер База данных SQL Azure для настройки проверки подлинности Microsoft Entra.
В разделе колонки Параметры выберите Администратор Active Directory.
На панели команд щелкните Задать администратора.
Выберите учетную запись пользователя Microsoft Entra, чтобы сделать администратора сервера, а затем нажмите кнопку "Выбрать".
В командной строке выберите Сохранить.
Создание автономного пользователя в База данных SQL Azure, представляющего группу Microsoft Entra
Для следующего шага требуется SSMS.
Запустите SSMS.
В диалоговом окне Подключение к серверу в поле Имя сервера введите имя сервера.
В поле проверки подлинности выберите Active Directory — универсальная с поддержкой MFA (вы также можете использовать другие два типа проверки подлинности Active Directory, см. раздел "Настройка проверки подлинности Microsoft Entra" для База данных SQL Azure).
В поле "Имя пользователя" введите имя учетной записи Microsoft Entra, заданной администратором сервера, например. testuser@xxxonline.com
Выберите Подключить и выполните процесс входа в систему.
В обозревателе объектов разверните папку Базы данных ->Системные базы данных.
Щелкните правой кнопкой мыши базу данных master и выберите Создать запрос.
В окне запроса введите следующую команду T-SQL и щелкните Выполнить на панели инструментов.
CREATE USER [SSISIrGroup] FROM EXTERNAL PROVIDERВ результате выполнения команды должен быть создан автономный пользователь для представления группы.
Сотрите данные в окне запроса, введите следующую команду T-SQL и щелкните Выполнить на панели инструментов:
ALTER ROLE dbmanager ADD MEMBER [SSISIrGroup]После выполнения этой команды автономный пользователь сможет создать базу данных (SSISDB).
Если служба SSISDB была создана с помощью проверки подлинности SQL и вы хотите переключиться на использование проверки подлинности Microsoft Entra для доступа к azure-SSIS IR, сначала убедитесь, что приведенные выше действия по предоставлению разрешений базе данных master успешно завершены. Щелкните базу данных SSISDB правой кнопкой мыши и выберите пункт Создать запрос.
В окне запроса введите следующую команду T-SQL и щелкните Выполнить на панели инструментов.
CREATE USER [SSISIrGroup] FROM EXTERNAL PROVIDERВ результате выполнения команды должен быть создан автономный пользователь для представления группы.
Сотрите данные в окне запроса, введите следующую команду T-SQL и щелкните Выполнить на панели инструментов:
ALTER ROLE db_owner ADD MEMBER [SSISIrGroup]В результате выполнения команды автономный пользователь получает права на доступ к SSISDB.
Включение проверки подлинности Microsoft Entra в Управляемый экземпляр SQL Azure
Управляемый экземпляр SQL Azure поддерживает создание базы данных с использованием назначаемого системой или пользователем управляемого удостоверения для ADF напрямую. Вам не нужно присоединять указанное управляемое удостоверение, назначаемое системой или пользователем, для ADF в группу Microsoft Entra, а также не создавать автономного пользователя, представляющего эту группу в Управляемый экземпляр SQL Azure.
Настройка проверки подлинности Microsoft Entra для Управляемый экземпляр SQL Azure
Выполните действия, описанные в статье "Подготовка администратора Microsoft Entra для Управляемый экземпляр SQL Azure".
Добавление управляемого удостоверения, назначаемого системой или пользователем, для ADF или Azure Synapse в качестве пользователя в Управляемом экземпляре SQL Azure
Для следующего шага требуется SSMS.
Запустите SSMS.
Подключитесь к Управляемому экземпляру SQL Azure с помощью учетной записи SQL Server с правами системного администратора. Это временное ограничение, которое будет удалено после того, как поддержка субъектов сервера Microsoft Entra (имена входа) в Управляемый экземпляр SQL Azure станет общедоступной. Если вы попытаетесь использовать учетную запись администратора Microsoft Entra для создания имени входа: Msg 15247, Level 16, State 1, Line 1 User не имеет разрешения на выполнение этого действия.
В обозревателе объектов разверните папку Базы данных ->Системные базы данных.
Щелкните правой кнопкой мыши базу данных master и выберите Создать запрос.
В окне запроса выполните следующий скрипт T-SQL, чтобы добавить назначаемое системой или пользователем управляемое удостоверение для ADF в качестве пользователя.
CREATE LOGIN [{your managed identity name}] FROM EXTERNAL PROVIDER ALTER SERVER ROLE [dbcreator] ADD MEMBER [{your managed identity name}] ALTER SERVER ROLE [securityadmin] ADD MEMBER [{your managed identity name}]Если вы используете назначаемое системой управляемое удостоверение для ADF, имя управляемого удостоверения должно быть именем ADF. Если для ADF используется управляемое удостоверение, назначаемое пользователем, то имя управляемого удостоверения должно совпадать с именем этого удостоверения.
После выполнения этой команды назначаемое системой или пользователем управляемое удостоверение для ADF получит возможность для создания базы данных (SSISDB).
Если служба SSISDB была создана с помощью проверки подлинности SQL и вы хотите переключиться на использование проверки подлинности Microsoft Entra для доступа к azure-SSIS IR, сначала убедитесь, что приведенные выше действия по предоставлению разрешений базе данных master успешно завершены. Щелкните базу данных SSISDB правой кнопкой мыши и выберите пункт Создать запрос.
В окне запроса введите следующую команду T-SQL и щелкните Выполнить на панели инструментов.
CREATE USER [{your managed identity name}] FOR LOGIN [{your managed identity name}] WITH DEFAULT_SCHEMA = dbo ALTER ROLE db_owner ADD MEMBER [{your managed identity name}]После выполнения этой команды назначаемое системой или пользователем управляемое удостоверение для ADF получит доступ к SSISDB.
Подготовка Azure SSIS IR на портале Azure или в приложении ADF
При подготовке среды выполнения интеграции Azure-SSIS в приложении портал Azure/ADF на странице параметров развертывания выберите элемент Create SSIS catalog (SSISDB), размещенный База данных SQL Azure server/Управляемый экземпляр для хранения проектов, пакетов или сред или журналов выполнения проверка и выберите Используйте проверку подлинности Microsoft Entra с системным управляемым удостоверением для фабрики данных или используйте проверку подлинности Microsoft Entra с управляемым удостоверением, назначенным пользователем для фабрики данных проверка, чтобы выбрать метод проверки подлинности Microsoft Entra для Azure-SSIS IR для доступа к серверу базы данных, на котором размещен SSISDB.
Дополнительные сведения см. в статье Создание среды выполнения интеграции Azure-SSIS IR в ADF.
Подготовка Azure-SSIS IR с помощью PowerShell
Чтобы подготовить к работе среду выполнения интеграции Azure-SSIS с помощью PowerShell, сделайте следующее:
Установите модуль Azure PowerShell.
Не задавайте в скрипте параметр
CatalogAdminCredential. Например:Set-AzDataFactoryV2IntegrationRuntime -ResourceGroupName $ResourceGroupName ` -DataFactoryName $DataFactoryName ` -Name $AzureSSISName ` -Description $AzureSSISDescription ` -Type Managed ` -Location $AzureSSISLocation ` -NodeSize $AzureSSISNodeSize ` -NodeCount $AzureSSISNodeNumber ` -Edition $AzureSSISEdition ` -MaxParallelExecutionsPerNode $AzureSSISMaxParallelExecutionsPerNode ` -CatalogServerEndpoint $SSISDBServerEndpoint ` -CatalogPricingTier $SSISDBPricingTier Start-AzDataFactoryV2IntegrationRuntime -ResourceGroupName $ResourceGroupName ` -DataFactoryName $DataFactoryName ` -Name $AzureSSISName
Запуск пакетов служб SSIS с помощью проверки подлинности Microsoft Entra с указанным управляемым удостоверением, назначенным системой или пользователем для ADF.
При запуске пакетов служб SSIS в Azure-SSIS IR можно использовать проверку подлинности Microsoft Entra с указанным управляемым удостоверением, назначенным системой или пользователем, для подключения ADF к различным ресурсам Azure. В настоящее время мы поддерживаем проверку подлинности Microsoft Entra с указанным управляемым удостоверением, назначенным системой или пользователем для ADF, на следующих диспетчерах подключений.