Megosztás a következőn keresztül:

Microsoft Entra-hitelesítés az SQL-hitelesítés alternatívaként

  • Cikk

A következőkre vonatkozik:✅ SQL Analytics-végpont és Warehouse a Microsoft Fabricben

Ez a cikk azokat a technikai módszereket ismerteti, amelyekkel a felhasználók és az ügyfelek áttérhetnek az SQL-hitelesítésről a Microsoft Entra-hitelesítésre a Microsoft Fabricen belül. A Microsoft Entra-hitelesítés a felhasználónevek és jelszavak alternatíva az SQL-hitelesítésen keresztül a lakehouse vagy a Microsoft Fabric-adattárház SQL Analytics-végpontjára való bejelentkezéshez. A Microsoft Entra-hitelesítés ajánlott és létfontosságú a biztonságos adatplatform létrehozásához.

Ez a cikk a Microsoft Entra-hitelesítésre összpontosít, mint az SQL-hitelesítés alternatívaként a Microsoft Fabric-elemekben, például a Warehouse vagy a Lakehouse SQL Analytics-végpontokban.

A Microsoft Entra-hitelesítés előnyei a Fabricben

A Microsoft Fabric egyik alapelve a biztonságos tervezés. A Microsoft Entra a Microsoft Fabric biztonságának szerves részét képezi az erős adatvédelem, szabályozás és megfelelőség biztosításával.

A Microsoft Entra számos okból fontos szerepet játszik a Microsoft Fabric biztonságában:

  • Hitelesítés: Felhasználók és szolgáltatásnevek ellenőrzése a Microsoft Entra ID használatával, amely hozzáférési jogkivonatokat biztosít a Fabricen belüli műveletekhez.
  • Biztonságos hozzáférés: Csatlakozzon biztonságosan a felhőalkalmazásokhoz bármilyen eszközről vagy hálózatról, védve a Fabricnek küldött kéréseket.
  • Feltételes hozzáférés: A rendszergazdák olyan szabályzatokat állíthatnak be, amelyek értékelik a felhasználói környezetet, szabályozhatják a hozzáférést, vagy további ellenőrzési lépéseket hajthatnak végre.
  • Integráció: A Microsoft Entra ID zökkenőmentesen működik az összes Microsoft SaaS-ajánlattal, beleértve a Fabricet is, így könnyen elérheti az eszközöket és a hálózatokat.
  • Széles platform: Hozzáférés a Microsoft Fabrichez a Microsoft Entra-azonosítóval bármilyen módszerrel, akár a Fabric portálon, az SQL kapcsolati sztring, a REST API-on vagy az XMLA-végponton keresztül.

A Microsoft Entra teljes Teljes felügyelet szabályzatot vezet be, amely kiváló alternatívát kínál a hagyományos SQL-hitelesítés helyett, amely a felhasználónevekre és jelszavakra korlátozódik. Ez a megközelítés:

  • Megakadályozza a felhasználók megszemélyesítését.
  • Lehetővé teszi a részletes hozzáférés-vezérlést a felhasználói identitás, a környezet, az eszközök stb. figyelembevételével.
  • Támogatja a fejlett biztonságot, például a Microsoft Entra többtényezős hitelesítést.

Hálókonfiguráció

A Warehouse vagy a Lakehouse SQL Analytics-végponttal való használathoz a Microsoft Entra-hitelesítéshez a bérlői és a munkaterületi beállításokban is konfigurálnia kell.

Bérlői beállítás

A bérlő fabric-rendszergazdájának engedélyeznie kell a szolgáltatásnévneveket (SPN) a Fabric API-khoz, amelyek szükségesek ahhoz, hogy az SPN az SQL-kapcsolati sztring felületet biztosíthassa a Fabric-raktárhoz vagy az SQL Analytics-végpontelemekhez.

Ez a beállítás a Fejlesztői beállítások szakaszban található, és a címkével ellátott szolgáltatásnevek használhatják a Fabric API-kat. Győződjön meg arról, hogy engedélyezve van.

Képernyőkép a Bérlői beállítások lapon található Fejlesztői beállítások lap Fabric portáljáról.

Munkaterület beállítása

A munkaterület háló rendszergazdájának hozzáférést kell adnia egy felhasználónak vagy egy egyszerű szolgáltatásnévnek a Fabric-elemek eléréséhez.

Két módon lehet hozzáférést biztosítani egy felhasználónak vagy szolgáltatási főnév (SPN) esetén:

  • Felhasználó vagy spN-tagság megadása szerepkörhöz: Bármely munkaterületi szerepkör (rendszergazda, tag, közreműködő vagy megjelenítő) elegendő ahhoz, hogy SQL-kapcsolati sztringgel rendelkező raktár- vagy tóházelemekhez csatlakozzon.

    1. A Munkaterület hozzáférés-kezelés lehetőségében rendelje hozzá a közreműködői szerepkört. További információ: Szolgáltatásszerepkörök.

  • Felhasználó vagy SPN hozzárendelése egy adott elemhez: Hozzáférés biztosítása egy Lakehouse adott Warehouse- vagy SQL Analytics-végpontja számára. A hálógazdák különböző jogosultsági szintek közül választhatnak.

    1. Lépjen a megfelelő Warehouse- vagy SQL Analytics-végpontelemre.
    2. Válassza a További beállítások lehetőséget, majd az Engedélyek kezelése lehetőséget. Válassza a Felhasználó hozzáadása lehetőséget.
    3. Adja hozzá a felhasználót vagy az egyszerű felhasználónevet a Hozzáférés biztosítása a felhasználóknak lapon.
    4. Rendelje hozzá a szükséges engedélyeket egy felhasználóhoz vagy egy Szolgáltatási Principal Névhez (SPN). Ha nem szeretne további engedélyeket megadni, csak a kapcsolódási engedélyeket adja meg.

    Képernyőkép a Személyek hozzáférésének engedélyezése lap Háló portáljáról.

Módosíthatja a rendszer által a felhasználónak vagy az egyszerű szolgáltatásnévnek adott alapértelmezett engedélyeket. A T-SQL GRANT és a DENY parancsokkal szükség szerint módosíthatja az engedélyeket, vagy az ALTER ROLE-t a szerepkörökhöz való tagság hozzáadásához.

Az SPN-k jelenleg nem rendelkeznek a felhasználói fiókokkal a részletes engedélykonfigurációhoz GRANT/DENY.

Felhasználói identitások és egyszerű szolgáltatásnevek (SPN-ek) támogatása

A Fabric natív módon támogatja a Microsoft Entra-felhasználók és szolgáltatásnevek (SPN) hitelesítését és engedélyezését a raktári és SQL Analytics-végpontelemekhez kapcsolódó SQL-kapcsolatokban.

  • A felhasználói identitások a szervezet minden felhasználójának egyedi hitelesítő adatai.
  • Az SPN-k a bérlőn belüli alkalmazásobjektumokat jelölik, és identitásként szolgálnak az alkalmazások példányai számára, figyelembe véve az alkalmazások hitelesítésének és engedélyezésének szerepét.

Táblázatos adatfolyam (TDS) támogatása

A Fabric az SQL Serverhez hasonlóan a Táblázatos adatfolyam (TDS) protokollt használja, amikor egy kapcsolati sztring csatlakozik.

A Fabric kompatibilis minden olyan alkalmazással vagy eszközzel, amely képes csatlakozni egy termékhez az SQL Database Engine-rel. Az SQL Server-példánykapcsolathoz hasonlóan a TDS az 1433-at futtató TCP-porton működik. További információ a Fabric SQL-kapcsolatról és az SQL-kapcsolati sztring megkereséséről: Kapcsolat.

A minta SQL-kapcsolati sztring a következőképpen néz ki: <guid_unique_your_item>.datawarehouse.fabric.microsoft.com.

Az alkalmazások és az ügyféleszközök beállíthatják a Authentication kapcsolati tulajdonságot a kapcsolati sztring a Microsoft Entra hitelesítési mód kiválasztásához. Az alábbi táblázat részletesen ismerteti a Microsoft Entra különböző hitelesítési módjait, beleértve a Microsoft Entra többtényezős hitelesítés (MFA) támogatását is.

Hitelesítési mód Forgatókönyvek Megjegyzések
Microsoft Entra Interactive Az alkalmazások vagy eszközök olyan helyzetekben használják, amikor a felhasználói hitelesítés interaktív módon történhet, vagy ha elfogadható, hogy manuális beavatkozást alkalmazzon a hitelesítő adatok ellenőrzéséhez. Az MFA és a Microsoft Entra feltételes hozzáférési szabályzatok aktiválása a szervezeti szabályok kényszerítéséhez.
Microsoft Entra szolgáltatásnév Az alkalmazások az alkalmazásintegrációhoz leginkább megfelelő, emberi beavatkozás nélküli biztonságos hitelesítéshez használják. Ajánlott engedélyezni a Microsoft Entra feltételes hozzáférési szabályzatokat.
Microsoft Entra jelszó Ha az alkalmazások nem tudják használni az SPN-alapú hitelesítést kompatibilitás miatt, vagy általános felhasználónevet és jelszót igényelnek sok felhasználó számára, vagy ha más módszerek nem érhetők el. Az MFA-nak ki kell kapcsolnia, és nem állíthatók be feltételes hozzáférési szabályzatok. Javasoljuk, hogy mielőtt ezt a megoldást választja, javasoljuk, hogy érvényesítse az ügyfél biztonsági csapatát.

Microsoft Entra hitelesítési módokat és döntési pontokat megjelenítő folyamatábra.

A Microsoft Entra-hitelesítés illesztőprogram-támogatása

Bár az SQL-illesztőprogramok többsége kezdetben a Microsoft Entra-hitelesítés támogatását kapta, a legutóbbi frissítések kiterjesztették a kompatibilitást az SPN-alapú hitelesítésre. Ez a fejlesztés leegyszerűsíti a Microsoft Entra-hitelesítésre való áttérést a különböző alkalmazások és eszközök esetében az illesztőprogramok frissítésével és a Microsoft Entra-hitelesítés támogatásának hozzáadásával.

Néha azonban további beállításokat is módosítani kell, például engedélyezni kell bizonyos portokat vagy tűzfalakat a Microsoft Entra hitelesítésének megkönnyítéséhez a gazdaszámítógépen.

Az alkalmazásoknak és eszközöknek frissíteniük kell az illesztőprogramokat a Microsoft Entra-hitelesítést támogató verziókra, és hozzá kell adniuk egy hitelesítési mód kulcsszóját az SQL-kapcsolati sztring, például ActiveDirectoryInteractive, ActiveDirectoryServicePrincipalvagy ActiveDirectoryPassword.

A Fabric kompatibilis a Microsoft natív illesztőprogramjaival, köztük az OLE DB-vel, valamint az olyan általános illesztőprogramokkal, Microsoft.Data.SqlClientmint az ODBC és a JDBC. A Hálóval való együttműködésre való áttérés a Microsoft Entra ID-alapú hitelesítés használatával történő újrakonfigurálással kezelhető.

További információ: Kapcsolat az adattárházhoz a Microsoft Fabricben.

Microsoft OLE DB

Az SQL Serverhez készült OLE DB-illesztő egy önálló adatelérési API, amelyet az OLE DB-hez terveztek, és először az SQL Server 2005-ben (9.x) jelent meg. Mivel a bővített funkciók közé tartozik az SPN-alapú hitelesítés a 18.5.0-s verzióval, hozzáadva a korábbi verziókból származó meglévő hitelesítési módszereket.

Hitelesítési mód SQL-kapcsolati sztring
Microsoft Entra Interactive Microsoft Entra interaktív hitelesítés
Microsoft Entra szolgáltatásnév Microsoft Entra szolgáltatásnév hitelesítése
Microsoft Entra jelszó Microsoft Entra felhasználónév és jelszó-hitelesítés

Az SPN-alapú hitelesítéssel rendelkező OLE DB-t használó C#-kódrészleteket lásd: System.Data.OLEDB.Connect.cs.

Microsoft ODBC-illesztőprogram

Az SQL ServerHez készült Microsoft ODBC-illesztőprogram egyetlen dinamikus csatolású kódtár (DLL), amely futtatási idejű támogatást tartalmaz natív kód api-kat használó alkalmazásokhoz az SQL Serverhez való csatlakozáshoz. Javasoljuk, hogy a fabricbe integrálható alkalmazások legújabb verzióját használja.

További információ a Microsoft Entra ODBC-vel történő hitelesítéséről: A Microsoft Entra ID használata az ODBC-illesztő mintakódjával.

Hitelesítési mód SQL-kapcsolati sztring
Microsoft Entra Interactive DRIVER={ODBC Driver 18 for SQL Server};SERVER=<SQL Connection String>;DATABASE=<DB Name>;UID=<Client_ID@domain>;PWD=<Secret>;Authentication=ActiveDirectoryInteractive
Microsoft Entra szolgáltatásnév DRIVER={ODBC Driver 18 for SQL Server};SERVER=<SQL Connection String>;DATABASE=<DBName>;UID=<Client_ID@domain>;PWD=<Secret>;Authentication=ActiveDirectoryServicePrincipal
Microsoft Entra jelszó DRIVER={ODBC Driver 18 for SQL Server};SERVER=<SQL Connection String>;DATABASE=<DBName>;UID=<Client_ID@domain>;PWD=<Secret>;Authentication=ActiveDirectoryPassword

Ha az ODBC-t spn-alapú hitelesítéssel használó Python-kódrészletet keres, tekintse meg pyodbc-dw-connectivity.py.

Microsoft JDBC-illesztőprogram

Az SQL ServerHez készült Microsoft JDBC-illesztő egy 4-es típusú JDBC-illesztő, amely a Java-platformon elérhető szabványos JDBC-alkalmazásprogramozási felületeken (API-kon) keresztül biztosítja az adatbázis-kapcsolatot.

A 9.2-es mssql-jdbc verziótól kezdődően a 12.2-es és újabb verziók támogatják ActiveDirectoryInteractiveActiveDirectoryServicePrincipalActiveDirectoryPassword és támogatják. Ehhez az illesztőprogramhoz további jarok szükségesek függőségként, amelyeknek kompatibilisnek kell lenniük az mssql-driver alkalmazásban használt verzióval. További információ: Microsoft JDBC-illesztőprogram és ügyfélbeállítási követelményének funkciófüggőségei.

Hitelesítési mód További információ
Microsoft Entra Interactive Csatlakozás ActiveDirectoryInteractive hitelesítési móddal
Microsoft Entra szolgáltatásnév Csatlakozás ActiveDirectoryServicePrincipal hitelesítési móddal
Microsoft Entra jelszó Csatlakozás ActiveDirectoryPassword hitelesítési móddal

Az SPN-alapú hitelesítéssel rendelkező JDBC-t használó Java-kódrészleteket lásd: fabrictoolbox/dw_connect.java és pom-mintafájl pom.xml.

Microsoft.Data.SqlClient a .NET-ben

Ez a kódtár Microsoft.Data.SqlClient az SQL Server újabb platformfüggetlen adatszolgáltatója, amelynek célja a csak Windows rendszerű régebbi System.Data.SqlClient lecserélése.

Támogatott platformok:

  • .NET 8.0 és újabb verziók
  • .NET-keretrendszer 4.6.2 és újabb verziók

Microsoft.Data.SqlClient a két System.Data.SqlClient összetevő egysége, amely osztályokat biztosít az SQL Database Engine-adatbázisok eléréséhez. Microsoft.Data.SqlClient minden új fejlesztéshez ajánlott.

Hitelesítési mód További információ
Microsoft Entra Interactive Interaktív hitelesítés használata
Microsoft Entra szolgáltatásnév Egyszerű szolgáltatáshitelesítés használata
Microsoft Entra jelszó Jelszó-hitelesítés használata

Kódrészletek SPN-ek használatával:

Kapcsolódó tartalom