Aktivera Microsoft Entra-autentisering för Azure-SSIS Integration Runtime
GÄLLER FÖR:
Azure Data Factory Azure Synapse Analytics (förhandsversion)
Dricks
Prova Data Factory i Microsoft Fabric, en allt-i-ett-analyslösning för företag. Microsoft Fabric omfattar allt från dataflytt till datavetenskap, realtidsanalys, business intelligence och rapportering. Lär dig hur du startar en ny utvärderingsversion kostnadsfritt!
Den här artikeln visar hur du aktiverar Microsoft Entra-autentisering med den angivna system-/användartilldelade hanterade identiteten för din Azure Data Factory (ADF) eller Azure Synapse och använder den i stället för konventionella autentiseringsmetoder (till exempel SQL-autentisering) för att:
Skapa en Azure-SSIS Integration Runtime (IR) som i sin tur etablerar SSIS-katalogdatabasen (SSISDB) i Azure SQL Database-servern/Managed Instance åt dig.
Anslut till olika Azure-resurser när du kör SSIS-paket på Azure-SSIS IR.
Mer information om den hanterade identiteten för din ADF finns i Hanterad identitet för Data Factory och Azure Synapse.
Kommentar
I det här scenariot används Microsoft Entra-autentisering med den angivna system-/användartilldelade hanterade identiteten för din ADF endast i etableringen och efterföljande startåtgärder för din Azure-SSIS IR som i sin tur etablerar och eller ansluter till SSISDB. För SSIS-paketkörningar ansluter din Azure-SSIS IR fortfarande till SSISDB för att hämta paket med SQL-autentisering med fullständigt hanterade konton (AzureIntegrationServiceDbo och AzureIntegrationServiceWorker) som skapas under SSISDB-etablering.
Om du vill använda funktionen för användartilldelad hanterad identitet i Anslutningshanteraren måste T.ex. SSIS IR etableras med samma användartilldelade hanterade identitet som används i Anslutningshanteraren.
Om du redan har skapat din Azure-SSIS IR med SQL-autentisering kan du inte konfigurera om den för att använda Microsoft Entra-autentisering via PowerShell just nu, men du kan göra det via Azure-portalen/ADF-appen.
Kommentar
Vi rekommenderar att du använder Azure Az PowerShell-modulen för att interagera med Azure. Se Installera Azure PowerShell för att komma igång. Information om hur du migrerar till Az PowerShell-modulen finns i artikeln om att migrera Azure PowerShell från AzureRM till Az.
Aktivera Microsoft Entra-autentisering i Azure SQL Database
Azure SQL Database har stöd för att skapa en databas med en Microsoft Entra-användare. Först måste du skapa en Microsoft Entra-grupp med den angivna system-/användartilldelade hanterade identiteten för din ADF som medlem. Därefter måste du ange en Microsoft Entra-användare som Active Directory-administratör för din Azure SQL Database-server och sedan ansluta till den i SQL Server Management Studio (SSMS) med den användaren. Slutligen måste du skapa en innesluten användare som representerar Microsoft Entra-gruppen, så att den angivna system-/användartilldelade hanterade identiteten för din ADF kan användas av Azure-SSIS IR för att skapa SSISDB åt dig.
Skapa en Microsoft Entra-grupp med den angivna system-/användartilldelade hanterade identiteten för din ADF som medlem
Du kan använda en befintlig Microsoft Entra-grupp eller skapa en ny med Hjälp av Azure AD PowerShell.
Logga in med
Connect-AzureAD, kör följande cmdlet för att skapa en grupp och spara den i en variabel:$Group = New-AzureADGroup -DisplayName "SSISIrGroup" ` -MailEnabled $false ` -SecurityEnabled $true ` -MailNickName "NotSet"Kommentar
Azure AD- och MSOnline PowerShell-moduler är inaktuella från och med den 30 mars 2024. Mer information finns i utfasningsuppdateringen. Efter det här datumet är stödet för dessa moduler begränsat till migreringshjälp till Microsoft Graph PowerShell SDK och säkerhetskorrigeringar. De inaktuella modulerna fortsätter att fungera till och med mars 30 2025.
Vi rekommenderar att du migrerar till Microsoft Graph PowerShell för att interagera med Microsoft Entra-ID (tidigare Azure AD). Vanliga migreringsfrågor finns i Vanliga frågor och svar om migrering. Obs! Versioner 1.0.x av MSOnline kan uppleva störningar efter den 30 juni 2024.
Resultatet ser ut som i följande exempel, som även visar variabelvärdet:
$Group ObjectId DisplayName Description -------- ----------- ----------- 6de75f3c-8b2f-4bf4-b9f8-78cc60a18050 SSISIrGroupLägg till den angivna system-/användartilldelade hanterade identiteten för din ADF i gruppen. Du kan följa artikeln Hanterad identitet för Data Factory eller Azure Synapse för att hämta objekt-ID för angivet system/användartilldelad hanterad identitet för din ADF (t.ex. 765ad4ab-XXXX-XXXX-XXXX-51ed985819dc, men använd inte program-ID för detta ändamål).
Add-AzureAdGroupMember -ObjectId $Group.ObjectId -RefObjectId 765ad4ab-XXXX-XXXX-XXXX-51ed985819dcDu kan också kontrollera gruppmedlemskapet efteråt.
Get-AzureAdGroupMember -ObjectId $Group.ObjectId
Konfigurera Microsoft Entra-autentisering för Azure SQL Database
Du kan konfigurera och hantera Microsoft Entra-autentisering för Azure SQL Database med hjälp av följande steg:
I Azure-portalen väljer du Alla tjänster –> SQL-servrar i det vänstra navigeringsfältet.
Välj den Azure SQL Database-server som ska konfigureras med Microsoft Entra-autentisering.
I avsnittet Inställningar på bladet väljer du Active Directory-administratör.
I kommandofältet väljer du Ange administratör.
Välj ett Microsoft Entra-användarkonto som ska göras till administratör för servern och välj sedan Välj.
I kommandofältet väljer du Spara.
Skapa en innesluten användare i Azure SQL Database som representerar Microsoft Entra-gruppen
För nästa steg behöver du SSMS.
Starta SSMS.
I dialogrutan Anslut till server anger du servernamnet i fältet Servernamn.
I fältet Autentisering väljer du Active Directory – Universal med MFA-stöd (du kan också använda de andra två Active Directory-autentiseringstyperna, se Konfigurera och hantera Microsoft Entra-autentisering för Azure SQL Database).
I fältet Användarnamn anger du namnet på det Microsoft Entra-konto som du angav som serveradministratör, t.ex. testuser@xxxonline.com.
Välj Anslut och slutför inloggningsprocessen.
Expandera mappen Databases ->System Databases i Object Explorer.
Högerklicka på huvuddatabasen och välj Ny fråga.
I frågefönstret anger du följande T-SQL-kommando och väljer Kör i verktygsfältet.
CREATE USER [SSISIrGroup] FROM EXTERNAL PROVIDERKommandot bör slutföras och skapa en innesluten användare som representerar gruppen.
Rensa frågefönstret, ange följande T-SQL-kommando och välj Kör i verktygsfältet.
ALTER ROLE dbmanager ADD MEMBER [SSISIrGroup]Kommandot bör slutföras, vilket ger den inneslutna användaren möjlighet att skapa en databas (SSISDB).
Om din SSISDB skapades med SQL-autentisering och du vill växla till att använda Microsoft Entra-autentisering för din Azure-SSIS IR för att komma åt den måste du först kontrollera att stegen ovan för att bevilja behörigheter till huvuddatabasen har slutförts. Högerklicka sedan på SSISDB-databasen och välj Ny fråga.
I frågefönstret anger du följande T-SQL-kommando och väljer Kör i verktygsfältet.
CREATE USER [SSISIrGroup] FROM EXTERNAL PROVIDERKommandot bör slutföras och skapa en innesluten användare som representerar gruppen.
Rensa frågefönstret, ange följande T-SQL-kommando och välj Kör i verktygsfältet.
ALTER ROLE db_owner ADD MEMBER [SSISIrGroup]Kommandot bör slutföras, vilket ger den inneslutna användaren möjlighet att komma åt SSISDB.
Aktivera Microsoft Entra-autentisering på Azure SQL Managed Instance
Azure SQL Managed Instance har stöd för att skapa en databas med den angivna system-/användartilldelade hanterade identiteten för din ADF direkt. Du behöver inte ansluta den angivna system-/användartilldelade hanterade identiteten för din ADF till en Microsoft Entra-grupp eller skapa en innesluten användare som representerar den gruppen i Azure SQL Managed Instance.
Konfigurera Microsoft Entra-autentisering för Azure SQL Managed Instance
Följ stegen i Etablera en Microsoft Entra-administratör för Azure SQL Managed Instance.
Lägg till den angivna system-/användartilldelade hanterade identiteten för din ADF eller Azure Synapse som användare i Azure SQL Managed Instance
För nästa steg behöver du SSMS.
Starta SSMS.
Anslut till Azure SQL Managed Instance med ett SQL Server-konto som är en sysadmin. Det här är en tillfällig begränsning som tas bort när stödet för Microsoft Entra-serverhuvudkonton (inloggningar) på Azure SQL Managed Instance blir allmänt tillgängligt. Följande fel visas om du försöker använda ett Microsoft Entra-administratörskonto för att skapa inloggningen: Msg 15247, Nivå 16, Delstat 1, Rad 1 Användaren har inte behörighet att utföra den här åtgärden.
Expandera mappen Databases ->System Databases i Object Explorer.
Högerklicka på huvuddatabasen och välj Ny fråga.
I frågefönstret kör du följande T-SQL-skript för att lägga till den angivna system-/användartilldelade hanterade identiteten för din ADF som användare.
CREATE LOGIN [{your managed identity name}] FROM EXTERNAL PROVIDER ALTER SERVER ROLE [dbcreator] ADD MEMBER [{your managed identity name}] ALTER SERVER ROLE [securityadmin] ADD MEMBER [{your managed identity name}]Om du använder den systemhanterade identiteten för din ADF ska ditt hanterade identitetsnamn vara ditt ADF-namn. Om du använder en användartilldelad hanterad identitet för din ADF ska ditt hanterade identitetsnamn vara det angivna användartilldelade hanterade identitetsnamnet.
Kommandot bör slutföras, vilket ger den system-/användartilldelade hanterade identiteten för din ADF möjlighet att skapa en databas (SSISDB).
Om din SSISDB skapades med SQL-autentisering och du vill växla till att använda Microsoft Entra-autentisering för din Azure-SSIS IR för att komma åt den måste du först kontrollera att stegen ovan för att bevilja behörigheter till huvuddatabasen har slutförts. Högerklicka sedan på SSISDB-databasen och välj Ny fråga.
I frågefönstret anger du följande T-SQL-kommando och väljer Kör i verktygsfältet.
CREATE USER [{your managed identity name}] FOR LOGIN [{your managed identity name}] WITH DEFAULT_SCHEMA = dbo ALTER ROLE db_owner ADD MEMBER [{your managed identity name}]Kommandot bör slutföras, vilket ger den system-/användartilldelade hanterade identiteten för din ADF möjlighet att komma åt SSISDB.
Etablera Azure-SSIS IR i Azure-portalen/ADF-appen
När du etablerar din Azure-SSIS IR i Azure-portalen/ADF-appen går du till sidan Distributionsinställningar och markerar kryssrutan Skapa SSIS-katalog (SSISDB) som hanteras av Azure SQL Database-servern/Hanterad instans för att lagra dina projekt/paket/miljöer/körningsloggar och väljer antingen Använd Microsoft Entra-autentisering med den systemhanterade identiteten för Data Factory eller Använd Microsoft Entra-autentisering med en användartilldelad hanterad identitet för Data Factory kryssruta för att välja Microsoft Entra-autentiseringsmetod för Azure-SSIS IR för åtkomst till din databasserver som är värd för SSISDB.
Mer information finns i Skapa en Azure-SSIS IR i ADF.
Etablera Azure-SSIS IR med PowerShell
Gör följande för att etablera din Azure-SSIS IR med PowerShell:
Installera Azure PowerShell-modulen .
Ange
CatalogAdminCredentialinte parameter i skriptet. Till exempel:Set-AzDataFactoryV2IntegrationRuntime -ResourceGroupName $ResourceGroupName ` -DataFactoryName $DataFactoryName ` -Name $AzureSSISName ` -Description $AzureSSISDescription ` -Type Managed ` -Location $AzureSSISLocation ` -NodeSize $AzureSSISNodeSize ` -NodeCount $AzureSSISNodeNumber ` -Edition $AzureSSISEdition ` -MaxParallelExecutionsPerNode $AzureSSISMaxParallelExecutionsPerNode ` -CatalogServerEndpoint $SSISDBServerEndpoint ` -CatalogPricingTier $SSISDBPricingTier Start-AzDataFactoryV2IntegrationRuntime -ResourceGroupName $ResourceGroupName ` -DataFactoryName $DataFactoryName ` -Name $AzureSSISName
Köra SSIS-paket med Microsoft Entra-autentisering med den angivna system-/användartilldelade hanterade identiteten för din ADF
När du kör SSIS-paket på Azure-SSIS IR kan du använda Microsoft Entra-autentisering med den angivna system-/användartilldelade hanterade identiteten för din ADF för att ansluta till olika Azure-resurser. För närvarande stöder vi Microsoft Entra-autentisering med den angivna system-/användartilldelade hanterade identiteten för din ADF på följande anslutningshanterare.