Hitelesítés az SQL Database-ben a Microsoft Fabricben
A következőre vonatkozik:✅ SQL-adatbázis a Microsoft Fabricben
Ez a cikk az SQL-adatbázisok hitelesítését ismerteti.
A Többi Microsoft Fabric-elemtípushoz hasonlóan az SQL-adatbázisok is a Microsoft Entra-hitelesítésre támaszkodnak.
Ha sikeresen hitelesíteni szeretne egy SQL-adatbázist, egy Microsoft Entra-felhasználónak, egy szolgáltatásnévnek vagy csoportnak olvasási jogosultsággal kell rendelkeznie az adatbázishoz a Fabricben. A Microsoft Entra-identitásoknak a Fabric-munkaterületekhez vagy egy adott adatbázishoz való hozzáférésének biztosításáról a Fabric hozzáférési vezérlői című témakörben talál további információt.
Ha meg szeretné keresni az SQL-adatbázis kapcsolati sztring a Fabricben, olvassa el a Csatlakozás az SQL-adatbázishoz a Microsoft Fabricben című témakört.
Feljegyzés
Ahhoz, hogy a szolgáltatásnevek csatlakozni tudjanak a Fabrichez és az SQL-adatbázisokhoz, engedélyeznie kell azt is, hogy a szolgáltatásnevek használhassák a Fabric APIIs Fabric bérlőbeállítását. A bérlői beállítások engedélyezéséről a Háló-bérlő beállításai című témakörben olvashat.
Csatlakozás SQL-adatbázishoz Microsoft Entra-hitelesítéssel
Microsoft Entra-hitelesítéssel az alábbiakkal csatlakozhat egy adatbázishoz:
- A Microsoft Entra-hitelesítést támogató SQL-eszközök, köztük az SQL Server Management Studio és a Visual Studio Code mssql-bővítménye.
- A Microsoft Entra-hitelesítést támogató SQL-ügyfélillesztőket használó alkalmazások, beleértve az SqlClientet, a JDBC-t, az ODBC-t és az OLE DB-t.
Az alkalmazásoknak és eszközöknek frissíteniük kell az illesztőprogramokat a Microsoft Entra-hitelesítést támogató verziókra, és hozzá kell adniuk egy hitelesítési mód kulcsszóját az SQL-kapcsolati sztring, például ActiveDirectoryInteractive, ActiveDirectoryServicePrincipalvagy ActiveDirectoryPassword.
Adatbázis-felhasználók létrehozása Microsoft Entra-identitásokhoz
Ha sql-hozzáférés-vezérlőket szeretne konfigurálni a Transact-SQL használatával, először létre kell hoznia a Microsoft Entra-identitásoknak megfelelő adatbázis-felhasználókat – felhasználókat, szolgáltatásneveket vagy csoportokat – a CREATE USER (Transact-SQL) használatával.
Nem szükséges adatbázis-felhasználókat létrehozni, ha hálóhozzáférés-vezérlőket (munkaterületi szerepköröket vagy elemengedélyeket) használ. Nem kell felhasználókat létrehoznia, amikor sql-adatbázisszintű szerepköröket kezel a Fabric Portalról sem – a portál automatikusan létrehozza a felhasználókat, ha szükséges.
Adatbázis-felhasználók létrehozása Microsoft Entra-felhasználóként való csatlakozáskor
Ha Microsoft Entra-felhasználóként csatlakozik az adatbázishoz, a FROM EXTERNAL PROVIDER záradékkal kell CREATE USER felhasználókat létrehoznia a Microsoft Entra-tagok számára. FROM EXTERNAL PROVIDER ellenőrzi a megadott egyszerű nevet a Microsoft Entrával, lekéri az egyszerű azonosítót (a felhasználó vagy csoport objektumazonosítóját, alkalmazásazonosítóját vagy ügyfélazonosítóját), és az azonosítót a felhasználó biztonsági azonosítójaként (SID) tárolja az SQL-metaadatokban. A záradék használatakor FROM EXTERNAL PROVIDER a Microsoft Entra címtárolvasói szerepkörének tagjának kell lennie. Az alábbi T-SQL-példaszkriptekkel FROM EXTERNAL PROVIDER Microsoft Entra-felhasználó, a Microsoft Entra szolgáltatásnév vagy a Microsoft Entra egy csoportja alapján hozhat létre felhasználót.
-- Create a user for a Microsoft Entra user
CREATE USER [alice@contoso.com] FROM EXTERNAL PROVIDER;
-- Create a user for a service principal in Microsoft Entra
CREATE USER [HRApp] FROM EXTERNAL PROVIDER;
-- Create a user for a group in Microsoft Entra
CREATE USER [HR] FROM EXTERNAL PROVIDER;
Adatbázis-felhasználók létrehozása Microsoft Entra szolgáltatásnévként való csatlakozáskor
Ha egy alkalmazás egy szolgáltatásnévvel rendelkező adatbázishoz csatlakozik, az alkalmazásnak ki kell adnia CREATE USER a SID - és TYPE-záradékokat , hogy felhasználókat hozzon létre a Microsoft Entra-tagok számára. A megadott egyszerű név nincs érvényesítve a Microsoft Entra-ban. Az alkalmazás (alkalmazásfejlesztő) felelőssége, hogy érvényes nevet, érvényes SID-et és felhasználói objektumtípust adjon meg.
Ha a megadott tag egy felhasználó vagy csoport a Microsoft Entra-ban, a SID-nek az adott felhasználó vagy csoport objektumazonosítójának kell lennie a Microsoft Entra-ban. Ha a megadott egyszerű szolgáltatásnév a Microsoft Entra szolgáltatásnév, a SID-nek a Microsoft Entra szolgáltatásnév alkalmazásazonosítójának (ügyfélazonosítójának) kell lennie. A Microsoft Entrától beszerzett objektumazonosítókat és alkalmazásazonosítókat (ügyfélazonosítókat) bináris (16) értékre kell konvertálni.
Az argumentum értékének a TYPE következőnek kell lennie:
E- ha a megadott Microsoft Entra-tag felhasználó vagy szolgáltatásnév.X- ha a megadott Microsoft Entra-tag egy csoport.
A következő T-SQL-példaszkript létrehoz egy adatbázis-felhasználót a Microsoft Entra-felhasználó számára, amely bob@contoso.coma Microsoft Entra-felhasználó objektumazonosítójára állítja az új felhasználó SID-azonosítóját. A rendszer átalakítja a felhasználó objektumazonosítójának egyedi azonosítóját, majd összefűzi egy utasítással CREATE USER . Cserélje le <unique identifier sid> a felhasználó objektumazonosítójára a Microsoft Entra-ban.
DECLARE @principal_name SYSNAME = 'bob@contoso.com';
DECLARE @objectId UNIQUEIDENTIFIER = '<unique identifier sid>'; -- user's object ID in Microsoft Entra
-- Convert the guid to the right type
DECLARE @castObjectId NVARCHAR(MAX) = CONVERT(VARCHAR(MAX), CONVERT (VARBINARY(16), @objectId), 1);
-- Construct command: CREATE USER [@principal_name] WITH SID = @castObjectId, TYPE = E;
DECLARE @cmd NVARCHAR(MAX) = N'CREATE USER [' + @principal_name + '] WITH SID = ' + @castObjectId + ', TYPE = E;'
EXEC (@cmd);
Az alábbi példa létrehoz egy adatbázis-felhasználót a Microsoft Entra szolgáltatásnévhez, amely a HRAppmicrosoft entrai szolgáltatásnév ügyfélazonosítójára állítja az új felhasználó SID-azonosítóját.
DECLARE @principal_name SYSNAME = 'HRApp';
DECLARE @clientId UNIQUEIDENTIFIER = '<unique identifier sid>'; -- principal's client ID in Microsoft Entra
-- Convert the guid to the right type
DECLARE @castClientId NVARCHAR(MAX) = CONVERT(VARCHAR(MAX), CONVERT (VARBINARY(16), @clientId), 1);
-- Construct command: CREATE USER [@principal_name] WITH SID = @castClientId, TYPE = E;
DECLARE @cmd NVARCHAR(MAX) = N'CREATE USER [' + @principal_name + '] WITH SID = ' + @castClientId + ', TYPE = E;'
EXEC (@cmd);
Az alábbi példa létrehoz egy adatbázis-felhasználót a Microsoft Entra csoport számára, amely a csoport HRobjektumazonosítójára állítja az új felhasználó SID-azonosítóját.
DECLARE @group_name SYSNAME = 'HR';
DECLARE @objectId UNIQUEIDENTIFIER = '<unique identifier sid>'; -- principal's object ID in Microsoft Entra
-- Convert the guid to the right type
DECLARE @castObjectId NVARCHAR(MAX) = CONVERT(VARCHAR(MAX), CONVERT (VARBINARY(16), @objectId), 1);
-- Construct command: CREATE USER [@groupName] WITH SID = @castObjectId, TYPE = X;
DECLARE @cmd NVARCHAR(MAX) = N'CREATE USER [' + @principal_name + '] WITH SID = ' + @castObjectId + ', TYPE = X;'
EXEC (@cmd);
Korlátozások
- A Microsoft Entra ID az egyetlen identitásszolgáltató sql-adatbázis a Fabricben. Az SQL-hitelesítés nem támogatott.
- A bejelentkezések (kiszolgálónevek) nem támogatottak.
Kapcsolódó tartalom
- CREATE USER (Transact-SQL)
- ALTER USER (Transact-SQL)
- DROP USER (Transact-SQL)
- Adatbázis-felhasználó létrehozása
- Microsoft Entra-bejelentkezések és nemunique megjelenítési névvel rendelkező felhasználók (előzetes verzió)
- Engedélyezés az SQL Database-ben a Microsoft Fabricben
- Csatlakozás az SQL-adatbázishoz a Microsoft Fabricben