Volba metody ověřování ve fondech SQL bez serveru Azure Synapse
Ověřování bezserverového fondu SQL označuje, jak uživatelé při připojování ke koncovému bodu prokázali svou identitu. Podporují se dva typy ověřování:
Ověřování SQL
Tato metoda ověřování používá uživatelské jméno a heslo.
Ověřování Microsoft Entra
Tato metoda ověřování používá identity spravované id Microsoft Entra. Pro uživatele Microsoft Entra je možné povolit vícefaktorové ověřování. Kdykoliv to půjde, použijte ověřování pomocí Active Directory (integrované zabezpečení).
Autorizace
Autorizace odkazuje na to, co může uživatel dělat v databázi bezserverového fondu SQL a řídí se členstvími rolí databáze vašeho uživatelského účtu a oprávněními na úrovni objektů.
Pokud se používá ověřování SQL, uživatel SQL existuje pouze v bezserverovém fondu SQL a oprávnění jsou vymezena na objekty v bezserverovém fondu SQL. Přístup k zabezpečitelným objektům v jiných službách (například Azure Storage) nelze udělit uživateli SQL přímo, protože existuje pouze v oboru bezserverového fondu SQL. Uživatel SQL potřebuje získat autorizaci pro přístup k souborům v účtu úložiště.
Pokud se používá ověřování Microsoft Entra, může se uživatel přihlásit k bezserverovém fondu SQL a dalším službám, jako je Azure Storage, a může udělit oprávnění uživateli Microsoft Entra.
Přístup k účtům úložiště
Uživatel, který je přihlášený ke službě bezserverového fondu SQL, musí mít oprávnění k přístupu k souborům a dotazování na soubory ve službě Azure Storage. Bezserverový fond SQL podporuje následující typy autorizace:
Anonymní přístup
Přístup k veřejně dostupným souborům umístěným v účtech úložiště Azure, které umožňují anonymní přístup.
Sdílený přístupový podpis (SAS)
Poskytuje delegovaný přístup k prostředkům v účtu úložiště. Pomocí sdíleného přístupového podpisu můžete klientům udělit přístup k prostředkům v účtu úložiště bez sdílení klíčů účtu. Sas poskytuje podrobnou kontrolu nad typem přístupu, který udělujete klientům, kteří mají SAS: interval platnosti, udělená oprávnění, přijatelný rozsah IP adres, přijatelný protokol (https/http).
Spravovaná identita
Je funkce Microsoft Entra ID, která poskytuje služby Azure pro bezserverový fond SQL. Nasadí také automaticky spravovanou identitu v Microsoft Entra ID. Tuto identitu můžete použít k autorizaci žádosti o přístup k datům ve službě Azure Storage. Před přístupem k datům musí správce služby Azure Storage udělit spravované identitě oprávnění k přístupu k datům. Udělení oprávnění spravované identitě se provádí stejným způsobem jako udělení oprávnění jakémukoli jinému uživateli služby Microsoft Entra.
Identita uživatele
Označuje se také jako předávací typ autorizace, kde se identita uživatele Microsoft Entra přihlášeného do bezserverového fondu SQL používá k autorizaci přístupu k datům. Před přístupem k datům musí správce služby Azure Storage udělit oprávnění uživateli Microsoft Entra pro přístup k datům. Tento typ autorizace používá uživatele Microsoft Entra, který se přihlásil do bezserverového fondu SQL, a proto se nepodporuje pro typy uživatelů SQL.
Podporované typy autorizace pro uživatele databáze najdete v následující tabulce:
| Typ autorizace | Uživatel SQL | Uživatel Microsoft Entra |
|---|---|---|
| Identita uživatele | Nepodporováno | Podporováno |
| SAS | Podporováno | Podporováno |
| Spravovaná identita | Nepodporováno | Podporováno |
Podporované typy úložiště a autorizace najdete v následující tabulce:
| Typ autorizace | Blob Storage | ADLS Gen1 | ADLS Gen2 |
|---|---|---|---|
| Identita uživatele | Podporováno – token SAS se dá použít pro přístup k úložišti, které není chráněné bránou firewall. | Nepodporováno | Podporováno – token SAS se dá použít pro přístup k úložišti, které není chráněné bránou firewall. |
| SAS | Podporováno | Podporováno | Podporováno |
| Spravovaná identita | Podporováno | Podporováno | Podporováno |