Auswählen einer Authentifizierungsmethode in serverlosen SQL-Pools von Azure Synapse
Die Authentifizierung mit einem serverlosen SQL-Pool bezieht sich darauf, auf welche Weise Benutzer ihre Identität beim Herstellen der Verbindung mit dem Endpunkt nachweisen. Zwei Authentifizierungstypen werden unterstützt:
SQL-Authentifizierung
Diese Authentifizierungsmethode verwendet einen Benutzernamen und ein Kennwort.
Microsoft Entra-Authentifizierung
Die Authentifizierungsmethode verwendet von Microsoft Entra ID verwaltete Identitäten. Für MIcrosoft Entra-Benutzer*innen kann die Multi-Faktor-Authentifizierung aktiviert werden. Verwenden Sie immer die Active Directory-Authentifizierung (integrierte Sicherheit), wenn Sie die Möglichkeit dazu haben.
Authorization
Autorisierung bezieht sich darauf, welche Aufgaben ein Benutzer innerhalb einer Datenbank im serverlosen SQL-Pool ausführen kann. Dies wird durch datenbankbezogene Rollenmitgliedschaften und Berechtigungen auf Objektebene Ihres Benutzerkontos gesteuert.
Bei Verwendung der SQL-Authentifizierung ist der SQL-Benutzer nur im serverlosen SQL-Pool vorhanden, und Berechtigungen gelten für die Objekte im serverlosen SQL-Pool. Zugriff auf sicherungsfähige Objekte in anderen Diensten (etwa in Azure Storage) kann einem SQL-Benutzer nicht direkt gewährt werden, da er nur im serverlosen SQL-Pool vorhanden ist. Der SQL-Benutzer muss für den Zugriff auf die Dateien im Speicherkonto autorisiert werden.
Bei Verwendung der Microsoft Entra-Authentifizierung können Benutzer*innen sich beim serverlosen SQL-Pool und anderen Diensten wie z. B. Azure Storage anmelden und Microsoft Entra-Benutzer*innen Berechtigungen erteilen.
Zugriff auf Speicherkonten
Ein beim serverlosen SQL-Pool angemeldeter Benutzer benötigt eine Autorisierung, um auf die Dateien in Azure Storage zugreifen und Abfragen für die Dateien ausführen zu können. Serverlose SQL-Pools unterstützen die folgenden Autorisierungstypen:
Anonymer Zugriff
Dieser Autorisierungstyp wird für öffentliche Dateien verwendet, die in Azure-Speicherkonten gespeichert werden, die den anonymen Zugriff zulassen.
Shared Access Signature (SAS)
Dieser Autorisierungstyp bietet delegierten Zugriff auf Ressourcen im Speicherkonto. Mit einer SAS können Sie Clients Zugriff auf Ressourcen im Speicherkonto gewähren, ohne dafür Kontoschlüssel weitergeben zu müssen. Mit einer SAS können Sie präzise steuern, welche Art von Zugriff Sie Clients gewähren möchten, die über die SAS verfügen. Dazu stehen Parameter wie Gültigkeitsintervall, erteilte Berechtigungen, zulässiger IP-Adressbereich und zulässiges Protokoll (HTTPS/HTTP) zur Verfügung.
Verwaltete Identität
Ist ein Feature von Microsoft Entra ID, das Azure-Dienste für den serverlosen SQL-Pool bereitstellt. Es stellt außerdem eine automatisch verwaltete Identität in Microsoft Entra ID bereit. Diese Identität kann verwendet werden, um eine Anforderung für den Datenzugriff in Azure Storage zu autorisieren. Vor dem Zugriff auf die Daten muss der Azure Storage-Administrator der verwalteten Identität Zugriffsberechtigungen für die Daten erteilen. Das Erteilen von Berechtigungen für eine verwaltete Identität erfolgt auf die gleiche Weise wie das Erteilen von Berechtigungen für alle anderen Microsoft Entra-Benutzer*innen auch.
Benutzeridentität
Dieser Autorisierungstyp wird auch als „Passthrough“ bezeichnet. Dabei werden die Identitäten der Microsoft Entra-Benutzer*innen verwendet, die sich beim serverlosen SQL-Pool angemeldet haben, um den Zugriff auf die Daten zu autorisieren. Vor dem Zugriff auf die Daten müssen Azure Storage-Administrator*innen den Microsoft Entra-Benutzer*innen Berechtigungen für den Zugriff auf die Daten erteilen. Da bei diesem Autorisierungstyp die beim serverlosen SQL-Pool angemeldeten Microsoft Entra-Benutzer*innen verwendet werden, wird er für SQL-Benutzertypen nicht unterstützt.
In der folgenden Tabelle sind die Autorisierungstypen aufgeführt, die für Datenbankbenutzer unterstützt werden:
| Autorisierungstyp | SQL-Benutzer | Microsoft Entra-Benutzer*in |
|---|---|---|
| Benutzeridentität | Nicht unterstützt | Unterstützt |
| SAS | Unterstützt | Unterstützt |
| Verwaltete Identität | Nicht unterstützt | Unterstützt |
In der folgenden Tabelle sind unterstützte Speicher- und Autorisierungstypen aufgeführt:
| Autorisierungstyp | Blob Storage | ADLS Gen1 | ADLS Gen2 |
|---|---|---|---|
| Benutzeridentität | Unterstützt: Das SAS-Token kann verwendet werden, um auf Speicher zuzugreifen, der nicht durch eine Firewall geschützt wird. | Nicht unterstützt | Unterstützt: Das SAS-Token kann verwendet werden, um auf Speicher zuzugreifen, der nicht durch eine Firewall geschützt wird. |
| SAS | Unterstützt | Unterstützt | Unterstützt |
| Verwaltete Identität | Unterstützt | Unterstützt | Unterstützt |