SQL kimlik doğrulamasına alternatif olarak Microsoft Entra kimlik doğrulaması
Şunlar için geçerlidir:✅ Microsoft Fabric'te SQL analiz uç noktası ve Ambarı
Bu makale, kullanıcıların ve müşterilerin SQL kimlik doğrulamasından Microsoft Fabric içinde Microsoft Entra kimlik doğrulamasına geçiş yapmak için kullanabilecekleri teknik yöntemleri kapsar. Microsoft Entra kimlik doğrulaması, lakehouse'un SQL analiz uç noktasında veya Microsoft Fabric'teki Warehouse'da oturum açmak için SQL kimlik doğrulaması aracılığıyla kullanıcı adlarına ve parolalara alternatiftir. Microsoft Entra kimlik doğrulaması, güvenli bir veri platformu oluşturmak için önerilir ve hayati önem taşır.
Bu makale, Ambar veya Lakehouse SQL analiz uç noktası gibi Microsoft Fabric öğelerinde SQL kimlik doğrulamasına alternatif olarak Microsoft Entra kimlik doğrulamasına odaklanır.
Dokuda Microsoft Entra kimlik doğrulamasının avantajları
Microsoft Fabric'in temel ilkelerinden biri tasarım gereği güvenlidir. Microsoft Entra, güçlü veri koruma, idare ve uyumluluk sağlayarak Microsoft Fabric'in güvenliğinin ayrılmaz bir parçasıdır.
Microsoft Entra çeşitli nedenlerle Microsoft Fabric'in güvenliğinde önemli bir rol oynar:
- Kimlik doğrulaması: Doku içindeki işlemler için erişim belirteçleri veren Microsoft Entra Id'yi kullanarak kullanıcıları ve hizmet sorumlularını doğrulayın.
- Güvenli erişim: Dokuya yapılan istekleri koruyarak herhangi bir cihazdan veya ağdan bulut uygulamalarına güvenli bir şekilde bağlanın.
- Koşullu erişim: Yöneticiler kullanıcı bağlamlarını değerlendiren, erişimi denetleyebilen veya ek doğrulama adımlarını uygulayan ilkeler ayarlayabilir.
- Tümleştirme: Microsoft Entra ID, Doku da dahil olmak üzere tüm Microsoft SaaS teklifleriyle sorunsuz bir şekilde çalışır ve cihazlar ve ağlar arasında kolay erişim sağlar.
- Geniş platform: Doku portalı, SQL bağlantı dizesi, REST API veya XMLA uç noktası aracılığıyla herhangi bir yöntem aracılığıyla Microsoft Entra Id ile Microsoft Fabric'e erişim elde edin.
Microsoft Entra, kullanıcı adları ve parolalarla sınırlı geleneksel SQL kimlik doğrulamasına üstün bir alternatif sunan eksiksiz bir Sıfır Güven ilkesi benimser. Bu yaklaşım:
- Kullanıcının kimliğe bürünmesini engeller.
- Kullanıcı kimliği, ortam, cihazlar vb. göz önünde bulundurularak ayrıntılı erişim denetimini etkinleştirir.
- Microsoft Entra çok faktörlü kimlik doğrulaması gibi gelişmiş güvenliği destekler.
Doku yapılandırması
Ambar veya Lakehouse SQL analiz uç noktasıyla kullanmak için Microsoft Entra kimlik doğrulaması hem Kiracı hem de Çalışma Alanı ayarlarında yapılandırma gerektirir.
Kiracı ayarı
Kiracınızdaki bir Doku yöneticisinin, SPN'nin SQL bağlantı dizesi doku ambarı veya SQL analiz uç noktası öğeleri için arabirim oluşturması için gerekli olan Doku API'lerine hizmet asıl adları (SPN) erişimine izin vermesi gerekir.
Bu ayar Geliştirici ayarları bölümünde bulunur ve Hizmet sorumluları Doku API'lerini kullanabilir olarak etiketlenmiştir. Etkin olduğundan emin olun.
Çalışma alanı ayarı
Çalışma alanınızdaki bir Doku yöneticisi, doku öğelerine erişmek için bir kullanıcıya veya SPN'ye erişim vermelidir.
Bir Kullanıcıya veya SPN'ye erişim izni verilebilen iki araç vardır:
Bir role kullanıcı veya SPN üyeliği verme: Herhangi bir çalışma alanı rolü (Yönetici, Üye, Katkıda Bulunan veya Görüntüleyici) SQL bağlantı dizesiyle ambar veya lakehouse öğelerine bağlanmak için yeterlidir.
- Çalışma Alanı'ndaki Erişimi yönet seçeneğinde Katkıda Bulunan rolünü atayın. Daha fazla bilgi için bkz . Hizmet rolleri.
belirli bir öğeye kullanıcı veya SPN atama: Lakehouse'un belirli bir Ambar veya SQL analiz uç noktasına erişim izni verin. Doku yöneticisi farklı izin düzeylerinden seçim yapabilir.
- İlgili Ambar veya SQL analizi uç noktası öğesine gidin.
- Diğer seçenekler'i ve ardından İzinleri Yönet'i seçin. Kullanıcı ekle'yi seçin.
- Kişilere erişim izni sağla sayfasına Kullanıcı veya SPN ekleyin.
- Kullanıcıya veya SPN'ye gerekli izinleri atayın. Yalnızca bağlantı izinleri vermek için Ek izin yok'u seçin.
Sistem tarafından Kullanıcıya veya SPN'ye verilen varsayılan izinleri değiştirebilirsiniz. İzinleri gerektiği gibi değiştirmek için T-SQL GRANT ve DENY komutlarını veya rollere üyelik eklemek için ALTER ROLE komutlarını kullanın.
Şu anda SPN'ler ile GRANT/DENYayrıntılı izin yapılandırması için kullanıcı hesabı olarak işleve sahip değildir.
Kullanıcı kimlikleri ve hizmet asıl adları (SPN) desteği
Doku, ambar ve SQL analiz uç noktası öğelerine SQL bağlantılarında Microsoft Entra kullanıcıları ve hizmet asıl adları (SPN) için kimlik doğrulama ve yetkilendirmeyi yerel olarak destekler.
- Kullanıcı kimlikleri, bir kuruluştaki her kullanıcının benzersiz kimlik bilgileridir.
- SPN'ler bir kiracı içindeki uygulama nesnelerini temsil eder ve bu uygulamaların kimliğini doğrulama ve yetkilendirme rolünü üstlenerek uygulama örnekleri için kimlik görevi görür.
Tablosal veri akışı (TDS) desteği
Doku, bir bağlantı dizesi bağlandığınızda SQL Server ile aynı Tablosal Veri Akışı (TDS) protokolunu kullanır.
Doku, SQL Veritabanı Altyapısı ile bir ürüne bağlanabilen tüm uygulama veya araçlarla uyumludur. SQL Server örnek bağlantısına benzer şekilde, TDS 1433 numaralı TCP bağlantı noktasında çalışır. Doku SQL bağlantısı ve SQL bağlantı dizesi bulma hakkında daha fazla bilgi için bkz. Bağlantı.
Örnek bir SQL bağlantı dizesi şöyle görünür: <guid_unique_your_item>.datawarehouse.fabric.microsoft.com.
Uygulamalar ve istemci araçları, bağlantı dizesi bağlantı özelliğini bir Microsoft Entra kimlik doğrulama modu seçmek üzere ayarlayabilirAuthentication. Aşağıdaki tabloda, Microsoft Entra çok faktörlü kimlik doğrulaması (MFA) desteği de dahil olmak üzere farklı Microsoft Entra kimlik doğrulama modları ayrıntılı olarak açıklanmaktadır.
| Kimlik doğrulama modu | Senaryolar | Açıklamalar |
|---|---|---|
| Microsoft Entra Interactive | Kullanıcı kimlik doğrulamasının etkileşimli olarak gerçekleşebileceği durumlarda veya kimlik bilgisi doğrulaması için el ile müdahalenin kabul edilebilir olduğu durumlarda uygulamalar veya araçlar tarafından kullanılır. | Kuruluş kurallarını zorunlu kılmak için MFA ve Microsoft Entra Koşullu Erişim ilkelerini etkinleştirin. |
| Microsoft Entra Hizmet Sorumlusu | Uygulamalar tarafından insan müdahalesi olmadan güvenli kimlik doğrulaması için kullanılır ve en çok uygulama tümleştirmesi için uygundur. | Microsoft Entra Koşullu Erişim ilkelerini etkinleştirmeniz önerilir. |
| Microsoft Entra Parolası | Uygulamalar uyumsuzluk nedeniyle SPN tabanlı kimlik doğrulamasını kullanamıyorsa veya birçok kullanıcı için genel bir kullanıcı adı ve parola gerektiriyorsa ya da başka yöntemler uygulanabilirse. | MFA kapalı olmalıdır ve koşullu erişim ilkeleri ayarlanamaz. Bu çözümü seçmeden önce müşterinin güvenlik ekibiyle doğrulamanızı öneririz. |
Microsoft Entra kimlik doğrulaması için sürücü desteği
SQL sürücülerinin çoğu başlangıçta Microsoft Entra kimlik doğrulaması desteğiyle birlikte gelse de, son güncelleştirmeler SPN tabanlı kimlik doğrulamasını içerecek şekilde uyumluluğu genişletti. Bu geliştirme, sürücü yükseltmeleri ve Microsoft Entra kimlik doğrulaması desteği ekleyerek çeşitli uygulamalar ve araçlar için Microsoft Entra kimlik doğrulamasına geçiş işlemini basitleştirir.
Ancak bazen konak makinede Microsoft Entra kimlik doğrulamasını kolaylaştırmak için belirli bağlantı noktalarını veya güvenlik duvarlarını etkinleştirme gibi ek ayarların yapılması gerekir.
Uygulamalar ve araçlar, sürücüleri Microsoft Entra kimlik doğrulamasını destekleyen sürümlere yükseltmeli ve SQL bağlantı dizesi , ActiveDirectoryInteractiveveya ActiveDirectoryServicePrincipalgibi ActiveDirectoryPasswordbir kimlik doğrulama modu anahtar sözcüğü eklemelidir.
Doku, OLE DB Microsoft.Data.SqlClientve ODBC ve JDBC gibi genel sürücüler de dahil olmak üzere Microsoft'un yerel sürücüleriyle uyumludur. Uygulamaların Doku ile çalışması için geçiş, Microsoft Entra ID tabanlı kimlik doğrulamasını kullanmak üzere yeniden yapılandırma yoluyla yönetilebilir.
Daha fazla bilgi için bkz . Microsoft Fabric'te veri ambarı bağlantısı.
Microsoft OLE DB
SQL Server için OLE DB Sürücüsü, OLE DB için tasarlanmış ve ilk olarak SQL Server 2005 (9.x) ile yayımlanan tek başına bir veri erişim API'sidir. Genişletilmiş özellikler 18.5.0 sürümüne sahip SPN tabanlı kimlik doğrulamasını içerdiğinden, önceki sürümlerden mevcut kimlik doğrulama yöntemlerine eklenir.
| Kimlik doğrulama modu | SQL bağlantı dizesi |
|---|---|
| Microsoft Entra Interactive | Microsoft Entra etkileşimli kimlik doğrulaması |
| Microsoft Entra Hizmet Sorumlusu | Microsoft Entra Hizmet Sorumlusu kimlik doğrulaması |
| Microsoft Entra Parolası | Microsoft Entra kullanıcı adı ve parola kimlik doğrulaması |
SPN tabanlı kimlik doğrulaması ile OLE DB kullanan bir C# kod parçacığı için bkz . System.Data.OLEDB.Connect.cs.
Microsoft ODBC Sürücüsü
SQL Server için Microsoft ODBC Sürücüsü, SQL Server'a bağlanmak için yerel kod API'leri kullanan uygulamalar için çalışma zamanı desteği içeren tek bir dinamik bağlantı kitaplığıdır (DLL). Uygulamaların Doku ile tümleştirilmesi için en son sürümü kullanmanız önerilir.
ODBC ile Microsoft Entra kimlik doğrulaması hakkında daha fazla bilgi için bkz . ODBC Sürücüsü örnek koduyla Microsoft Entra Id kullanma.
| Kimlik Doğrulaması Modu | SQL Bağlantı Dizesi |
|---|---|
| Microsoft Entra Interactive | DRIVER={ODBC Driver 18 for SQL Server};SERVER=<SQL Connection String>;DATABASE=<DB Name>;UID=<Client_ID@domain>;PWD=<Secret>;Authentication=ActiveDirectoryInteractive |
| Microsoft Entra Hizmet Sorumlusu | DRIVER={ODBC Driver 18 for SQL Server};SERVER=<SQL Connection String>;DATABASE=<DBName>;UID=<Client_ID@domain>;PWD=<Secret>;Authentication=ActiveDirectoryServicePrincipal |
| Microsoft Entra Parolası | DRIVER={ODBC Driver 18 for SQL Server};SERVER=<SQL Connection String>;DATABASE=<DBName>;UID=<Client_ID@domain>;PWD=<Secret>;Authentication=ActiveDirectoryPassword |
SPN tabanlı kimlik doğrulaması ile ODBC kullanan bir python kod parçacığı için bkz . pyodbc-dw-connectivity.py.
Microsoft JDBC Sürücüsü
SQL Server için Microsoft JDBC Sürücüsü, Java platformunda bulunan standart JDBC uygulama programı arabirimleri (API'ler) aracılığıyla veritabanı bağlantısı sağlayan bir Type 4 JDBC sürücüsüdür.
Sürüm 9.2'den başlayarak ve mssql-jdbcActiveDirectoryInteractiveActiveDirectoryServicePrincipal için ActiveDirectoryPassword 12.2 ve üzeri sürümlerde desteklenmektedir. Bu sürücü, bağımlılık olarak ek jar'lar gerektirir ve bu, uygulamanızda kullanılan sürümüyle mssql-driver uyumlu olmalıdır. Daha fazla bilgi için bkz. Microsoft JDBC Sürücü Özellik bağımlılıkları ve İstemci kurulum gereksinimi.
| Kimlik Doğrulaması Modu | Daha Fazla Bilgi |
|---|---|
| Microsoft Entra Interactive | ActiveDirectoryInteractive kimlik doğrulama modunu kullanarak bağlanma |
| Microsoft Entra Hizmet Sorumlusu | ActiveDirectoryServicePrincipal kimlik doğrulama modunu kullanarak bağlanma |
| Microsoft Entra Parolası | ActiveDirectoryPassword kimlik doğrulama modunu kullanarak bağlanma |
SPN tabanlı kimlik doğrulaması ile JDBC kullanan bir java kod parçacığı için bkz . fabrictoolbox/dw_connect.java ve örnek pom dosyası pom.xml.
.NET Core'da Microsoft.Data.SqlClient (C#)
Microsoft.Data.SqlClient, Microsoft SQL Server ve Azure SQL Veritabanı için bir veri sağlayıcısıdır. .NET Framework ve .NET Core'da bağımsız olarak yaşayan iki System.Data.SqlClient bileşenin birleşimidir ve Microsoft SQL Server veritabanlarına erişmek için bir sınıf kümesi sağlar.
Microsoft.Data.SqlClient tüm yeni ve gelecekteki geliştirmeler için önerilir.
| Kimlik Doğrulaması Modu | Daha Fazla Bilgi |
|---|---|
| Microsoft Entra Interactive | Etkileşimli kimlik doğrulamayı kullanma |
| Microsoft Entra Hizmet Sorumlusu | Hizmet sorumlusu kimlik doğrulamayı kullanma |
| Microsoft Entra Parolası | Parola Kimlik Doğrulamasını Kullanma |
SPN'leri kullanan kod parçacıkları: