Microsoft Entra-godkendelse som et alternativ til SQL-godkendelse
Gælder for:✅ SQL Analytics-slutpunkt og warehouse i Microsoft Fabric
Denne artikel omhandler tekniske metoder, som brugere og kunder kan bruge til at skifte fra SQL-godkendelse til Microsoft Entra-godkendelse i Microsoft Fabric. Microsoft Entra-godkendelse er et alternativ til brugernavne og adgangskoder via SQL-godkendelse for at logge på SQL Analytics-slutpunktet for lakehouse'et eller lageret i Microsoft Fabric. Microsoft Entra-godkendelse anbefales og er vigtig for at oprette en sikker dataplatform.
I denne artikel fokuseres der på Microsoft Entra-godkendelse som et alternativ til SQL-godkendelse i Microsoft Fabric-elementer, f.eks. et Warehouse- eller Lakehouse SQL Analytics-slutpunkt.
Fordele ved Microsoft Entra-godkendelse i Fabric
Et af Microsoft Fabrics kerneprincipper er sikkert med design. Microsoft Entra er en integreret del af Microsoft Fabric's sikkerhed ved at sikre stærk databeskyttelse, styring og overholdelse af angivne standarder.
Microsoft Entra spiller en afgørende rolle i Microsoft Fabric's sikkerhed af flere årsager:
- Godkendelse: Kontrollér brugere og tjenesteprincipaler ved hjælp af Microsoft Entra ID, som giver adgangstokens til handlinger i Fabric.
- Sikker adgang: Opret sikker forbindelse til cloudapps fra en hvilken som helst enhed eller et netværk, og beskyt anmodninger, der er foretaget til Fabric.
- Betinget adgang: Administratorer kan angive politikker, der vurderer konteksten for brugerlogon, styrer adgangen eller gennemtvinger ekstra bekræftelsestrin.
- Integration: Microsoft Entra ID fungerer problemfrit sammen med alle Microsoft SaaS-tilbud, herunder Fabric, hvilket giver nem adgang på tværs af enheder og netværk.
- Bred platform: Få adgang til Microsoft Fabric med Microsoft Entra ID via en hvilken som helst metode, uanset om det er via Fabric-portalen, SQL forbindelsesstreng, REST API eller XMLA-slutpunktet.
Microsoft Entra vedtager en komplet Nul tillid politik og tilbyder et bedre alternativ til traditionel SQL-godkendelse, der er begrænset til brugernavne og adgangskoder. Denne fremgangsmåde:
- Forhindrer bruger repræsentering.
- Aktiverer detaljeret adgangskontrol under hensyntagen til brugeridentitet, miljø, enheder osv.
- Understøtter avanceret sikkerhed, f.eks . Microsoft Entra multifactor-godkendelse.
Strukturkonfiguration
Microsoft Entra-godkendelse til brug med et SQL Analytics-slutpunkt for warehouse eller Lakehouse kræver konfiguration i både lejer- og arbejdsområdeindstillinger.
Lejerindstilling
En Fabric-administrator i din lejer skal tillade tjenesteprincipalnavne (SPN) adgang til Fabric-API'er, der er nødvendige for, at SPN'et kan bruges til SQL forbindelsesstreng s til Fabric warehouse- eller SQL Analytics-slutpunktselementer.
Denne indstilling er placeret i afsnittet Udviklerindstillinger og er mærket som Tjenesteprincipaler kan bruge Fabric API'er. Kontrollér, at den er aktiveret.
Indstilling for arbejdsområde
En Fabric-administrator i dit arbejdsområde skal give en bruger eller SPN adgang til Fabric-elementer.
Der er to måder, hvorpå en bruger/SPN kan tildeles adgang:
Tildel en bruger/SPN-medlemskab til en rolle: En hvilken som helst rolle i arbejdsområdet (administrator, medlem, bidragyder eller fremviser) er tilstrækkelig til at oprette forbindelse til lagerelementer eller lakehouse-elementer med en SQL-forbindelsesstreng.
- I indstillingen Administrer adgang i arbejdsområdet skal du tildele rollen Bidragyder . Du kan få flere oplysninger under Tjenesteroller.
Tildel en bruger/SPN til et bestemt element: Giv adgang til et bestemt lager- eller SQL-analyseslutpunkt for et Lakehouse. En Fabric-administrator kan vælge mellem forskellige tilladelsesniveauer.
- Gå til det relevante lager- eller SQL Analytics-slutpunktselement.
- Vælg Flere indstillinger og derefter Administrer tilladelser. Vælg Tilføj bruger.
- Tilføj brugeren/SPN'et på siden Giv personer adgang .
- Tildel de nødvendige tilladelser til et bruger-/SPN. Vælg ingen yderligere tilladelser for kun at tildele forbindelsestilladelser.
Du kan ændre de standardtilladelser, der er givet til brugeren eller SPN af systemet. Brug kommandoerne T-SQL GRANT og DENY til at ændre tilladelser efter behov eller ALTER ROLE for at føje medlemskab til roller.
I øjeblikket har SPN'er ikke mulighed for at bruge som brugerkonti til detaljeret tilladelseskonfiguration med GRANT/DENY.
Understøttelse af brugeridentiteter og tjenesteprincipalnavne (SPN'er)
Fabric understøtter oprindeligt godkendelse og godkendelse for Microsoft Entra-brugere og SPN (Service Principal Names) i SQL-forbindelser til lager- og SQL Analytics-slutpunktselementer.
- Brugeridentiteter er de entydige legitimationsoplysninger for hver bruger i en organisation.
- SPN'er repræsenterer programobjekter i en lejer og fungerer som identitet for forekomster af programmer og påtager sig rollen som godkendelse og godkendelse af disse programmer.
Understøttelse af TDS (tabular data stream)
Fabric bruger TDS-protokollen (Tabular Data Stream) på samme måde som SQL Server, når du opretter forbindelse til en forbindelsesstreng.
Fabric er kompatibel med ethvert program eller værktøj, der kan oprette forbindelse til et produkt med SQL Database Engine. På samme måde som med en SQL Server-forekomstforbindelse fungerer TDS på TCP-port 1433. Du kan finde flere oplysninger om Fabric SQL-forbindelse og søgning efter SQL-forbindelsesstreng under Forbindelse.
Et eksempel på en SQL-forbindelsesstreng ser ud som: <guid_unique_your_item>.datawarehouse.fabric.microsoft.com.
Programmer og klientværktøjer kan angive forbindelsesegenskaben Authentication i forbindelsesstreng for at vælge en Microsoft Entra-godkendelsestilstand. Følgende tabel indeholder oplysninger om de forskellige Microsoft Entra-godkendelsestilstande, herunder understøttelse af Microsoft Entra Multifactor-godkendelse (MFA).
| Godkendelsestilstand | Scenarier | Kommentarer |
|---|---|---|
| Microsoft Entra Interactive | Bruges af programmer eller værktøjer i situationer, hvor brugergodkendelse kan forekomme interaktivt, eller når det er acceptabelt at foretage manuel indgriben i forbindelse med bekræftelse af legitimationsoplysninger. | Aktivér politikker for betinget adgang til MFA og Microsoft Entra for at gennemtvinge organisationsregler. |
| Microsoft Entra-tjenesteprincipal | Bruges af apps til sikker godkendelse uden menneskelig indgriben, der er mest velegnet til programintegration. | Det anbefales at aktivere politikker for betinget adgang til Microsoft Entra. |
| Adgangskode til Microsoft Entra | Når programmer ikke kan bruge SPN-baseret godkendelse på grund af inkompatibilitet eller kræver et generisk brugernavn og en standardadgangskode for mange brugere, eller hvis andre metoder ikke er effektive. | MFA skal være slået fra, og der kan ikke angives nogen politikker for betinget adgang. Vi anbefaler, at du validerer med kundens sikkerhedsteam, før du vælger denne løsning. |
Driversupport til Microsoft Entra-godkendelse
Selvom de fleste SQL-drivere oprindeligt understøtter Microsoft Entra-godkendelse, har de seneste opdateringer udvidet kompatibiliteten til at omfatte SPN-baseret godkendelse. Denne forbedring forenkler skiftet til Microsoft Entra-godkendelse for forskellige programmer og værktøjer via driveropgraderinger og tilføjelse af understøttelse af Microsoft Entra-godkendelse.
Nogle gange er det dog nødvendigt at justere yderligere indstillinger, f.eks. aktivering af visse porte eller firewalls for at lette Microsoft Entra-godkendelse på værtscomputeren.
Programmer og værktøjer skal opgradere drivere til versioner, der understøtter Microsoft Entra-godkendelse, og tilføje et nøgleord for godkendelsestilstand i deres SQL-forbindelsesstreng, f.eksActiveDirectoryInteractive. , ActiveDirectoryServicePrincipaleller ActiveDirectoryPassword.
Fabric er kompatibel med Microsofts oprindelige drivere, herunder OLE DB, Microsoft.Data.SqlClientog generiske drivere som ODBC og JDBC. Overgangen for programmer til at arbejde med Fabric kan administreres ved at omkonfigurere for at bruge Microsoft Entra ID-baseret godkendelse.
Du kan få flere oplysninger under Forbindelse til datawarehousing i Microsoft Fabric.
Microsoft OLE DB
OLE DB-driveren til SQL Server er en separat dataadgangs-API, der er udviklet til OLE DB og udgivet første gang med SQL Server 2005 (9.x). Siden da omfatter udvidede funktioner SPN-baseret godkendelse med version 18.5.0 og føjer til de eksisterende godkendelsesmetoder fra tidligere versioner.
| Godkendelsestilstand | SQL-forbindelsesstreng |
|---|---|
| Microsoft Entra Interactive | Interaktiv Microsoft Entra-godkendelse |
| Microsoft Entra-tjenesteprincipal | Godkendelse af microsoft entra-tjenesteprincipal |
| Adgangskode til Microsoft Entra | Godkendelse af brugernavn og adgangskode til Microsoft Entra |
Du kan finde et kodestykke af typen C# ved hjælp af OLE DB med SPN-baseret godkendelse under System.Data.OLEDB.Connect.cs.
Microsoft ODBC-driver
Microsoft ODBC-driveren til SQL Server er et enkelt DLL-bibliotek (dynamic-link library), der indeholder understøttelse af kørselstid for programmer, der bruger API'er med oprindelig kode til at oprette forbindelse til SQL Server. Det anbefales at bruge den nyeste version til programmer, der kan integreres med Fabric.
Du kan finde flere oplysninger om Microsoft Entra-godkendelse med ODBC under Brug af Microsoft Entra-id sammen med eksempelkoden for ODBC-driveren.
| Godkendelsestilstand | SQL-forbindelsesstreng |
|---|---|
| Microsoft Entra Interactive | DRIVER={ODBC Driver 18 for SQL Server};SERVER=<SQL Connection String>;DATABASE=<DB Name>;UID=<Client_ID@domain>;PWD=<Secret>;Authentication=ActiveDirectoryInteractive |
| Microsoft Entra-tjenesteprincipal | DRIVER={ODBC Driver 18 for SQL Server};SERVER=<SQL Connection String>;DATABASE=<DBName>;UID=<Client_ID@domain>;PWD=<Secret>;Authentication=ActiveDirectoryServicePrincipal |
| Adgangskode til Microsoft Entra | DRIVER={ODBC Driver 18 for SQL Server};SERVER=<SQL Connection String>;DATABASE=<DBName>;UID=<Client_ID@domain>;PWD=<Secret>;Authentication=ActiveDirectoryPassword |
Du kan finde et pythonkodestykke ved hjælp af ODBC med SPN-baseret godkendelse under pyodbc-dw-connectivity.py.
Microsoft JDBC-driver
Microsoft JDBC-driveren til SQL Server er en Type 4 JDBC-driver, der leverer databaseforbindelse via de standard-API'er (JDBC Application Program Interfaces), der er tilgængelige på Java-platformen.
Fra og med version 9.2 mssql-jdbc introduceres understøttelse ActiveDirectoryInteractive af og ActiveDirectoryServicePrincipal, som understøttes i version 12.2 og nyere.ActiveDirectoryPassword Denne driver kræver yderligere jars som afhængigheder, som skal være kompatible med den version af , der mssql-driver bruges i dit program. Du kan få flere oplysninger under Funktionsafhængigheder for JDBC-driver og krav til klientinstallation.
| Godkendelsestilstand | Mere information |
|---|---|
| Microsoft Entra Interactive | Opret forbindelse ved hjælp af ActiveDirectoryInteractive-godkendelsestilstand |
| Microsoft Entra-tjenesteprincipal | Opret forbindelse ved hjælp af godkendelsestilstanden ActiveDirectoryServicePrincipal |
| Adgangskode til Microsoft Entra | Opret forbindelse ved hjælp af Godkendelsestilstand for ActiveDirectoryPassword |
Du kan finde et java-kodestykke ved hjælp af JDBC med SPN-baseret godkendelse under fabrictoolbox/dw_connect.java og eksempel på pom-fil pom.xml.
Microsoft.Data.SqlClient i .NET Core (C#)
Microsoft.Data.SqlClient er dataprovider for Microsoft SQL Server og Azure SQL Database. Det er en samling af de to System.Data.SqlClient komponenter, der lever uafhængigt af hinanden i Microsoft .NET Framework og .NET Core, hvilket giver et sæt klasser til adgang til Microsoft SQL Server-databaser. Microsoft.Data.SqlClient anbefales til al ny og fremtidig udvikling.
| Godkendelsestilstand | Mere information |
|---|---|
| Microsoft Entra Interactive | Brug af interaktiv godkendelse |
| Microsoft Entra-tjenesteprincipal | Brug af godkendelse af tjenesteprincipal |
| Adgangskode til Microsoft Entra | Brug af adgangskodegodkendelse |
Kodestykker ved hjælp af SPN'er: