Κοινή χρήση μέσω

Έλεγχος ταυτότητας Microsoft Entra ως εναλλακτική στον έλεγχο ταυτότητας SQL

  • Άρθρο

Ισχύει για:✅ Τελικό σημείο ανάλυσης SQL και Αποθήκη στο Microsoft Fabric

Αυτό το άρθρο καλύπτει τεχνικές μεθόδους που μπορούν να χρησιμοποιήσουν οι χρήστες και οι πελάτες για τη μετάβαση από τον έλεγχο ταυτότητας SQL στον έλεγχο ταυτότητας Microsoft Entra εντός του Microsoft Fabric. Ο έλεγχος ταυτότητας της Microsoft Entra είναι μια εναλλακτική στα ονόματα χρηστών και τους κωδικούς πρόσβασης μέσω ελέγχου ταυτότητας SQL για είσοδο στο τελικό σημείο ανάλυσης SQL του lakehouse ή της Αποθήκης στο Microsoft Fabric. Συνιστάται ο έλεγχος ταυτότητας του Microsoft Entra και είναι ζωτικής σημασίας για τη δημιουργία μιας ασφαλούς πλατφόρμας δεδομένων.

Αυτό το άρθρο εστιάζει στον έλεγχο ταυτότητας της Microsoft Entra ως εναλλακτική στον έλεγχο ταυτότητας SQL σε στοιχεία Microsoft Fabric, όπως ένα τελικό σημείο ανάλυσης SQL Warehouse ή Lakehouse.

Πλεονεκτήματα ελέγχου ταυτότητας του Microsoft Entra στο Fabric

Μία από τις βασικές αρχές του Microsoft Fabric είναι η ασφάλεια στη σχεδίαση. Το Microsoft Entra είναι αναπόσπαστο μέρος της ασφάλειας του Microsoft Fabric εξασφαλίζοντας ισχυρή προστασία δεδομένων, διαχείριση και συμμόρφωση.

Το Microsoft Entra διαδραματίζει κρίσιμο ρόλο στην ασφάλεια του Microsoft Fabric για διάφορους λόγους:

  • Έλεγχος ταυτότητας: Επαληθεύστε τους χρήστες και τις οντότητες υπηρεσίας χρησιμοποιώντας το αναγνωριστικό Του Microsoft Entra, το οποίο εκχωρεί διακριτικά πρόσβασης για λειτουργίες εντός του Fabric.
  • Ασφαλής πρόσβαση: Συνδεθείτε με ασφάλεια σε εφαρμογές cloud από οποιαδήποτε συσκευή ή δίκτυο, προστατεύοντας τα αιτήματα που υποβάλλονται στο Fabric.
  • Πρόσβαση υπό όρους: Οι διαχειριστές μπορούν να ορίσουν πολιτικές που αξιολογούν το περιβάλλον σύνδεσης χρήστη, ελέγχουν την πρόσβαση ή επιβάλλουν επιπλέον βήματα επαλήθευσης.
  • Ενοποίηση: Το Αναγνωριστικό Microsoft Entra λειτουργεί απρόσκοπτα με όλες τις προσφορές Microsoft SaaS, συμπεριλαμβανομένου του Fabric, επιτρέποντας εύκολη πρόσβαση σε όλες τις συσκευές και τα δίκτυα.
  • Ευρεία πλατφόρμα: Αποκτήστε πρόσβαση στο Microsoft Fabric με το Microsoft Entra ID μέσω οποιασδήποτε μεθόδου, είτε μέσω της πύλης Fabric, της συμβολοσειράς σύνδεσης SQL, του API REST ή του τελικού σημείου XMLA.

Η Microsoft Entra υιοθετεί μια πλήρη πολιτική μηδενικής αξιοπιστίας, παρέχοντας μια ανώτερη εναλλακτική λύση στον παραδοσιακό έλεγχο ταυτότητας SQL που περιορίζεται σε ονόματα χρηστών και κωδικούς πρόσβασης. Αυτή η προσέγγιση:

  • Αποτρέπει την απομίμηση χρήστη.
  • Επιτρέπει λεπτομερή έλεγχο πρόσβασης εξετάζοντας την ταυτότητα χρήστη, το περιβάλλον, τις συσκευές κ.λπ.
  • Υποστηρίζει προηγμένη ασφάλεια, όπως έλεγχο ταυτότητας πολλών παραγόντων του Microsoft Entra.

Ρύθμιση παραμέτρων Fabric

Ο έλεγχος ταυτότητας Microsoft Entra για χρήση με ένα τελικό σημείο ανάλυσης SQL Warehouse ή Lakehouse απαιτεί ρύθμιση παραμέτρων τόσο στις ρυθμίσεις μισθωτή όσο και στον χώρο εργασίας.

Ρύθμιση μισθωτή

Ένας διαχειριστής Fabric στον μισθωτή σας πρέπει να επιτρέψει στα κύρια ονόματα υπηρεσίας (SPN) πρόσβαση στα API Fabric, απαραίτητα για το SPN στη διασύνδεση για συμβολοσειρές σύνδεσης SQL σε αποθήκη Fabric ή στοιχεία τελικού σημείου ανάλυσης SQL.

Αυτή η ρύθμιση βρίσκεται στην ενότητα Ρυθμίσεις προγραμματιστή και με την ετικέτα Κύριες υπηρεσίες μπορούν να χρησιμοποιήσουν API Fabric. Βεβαιωθείτε ότι είναι Ενεργοποιημένη.

Στιγμιότυπο οθόνης από την πύλη Fabric της σελίδας Ρυθμίσεις προγραμματιστή στις Ρυθμίσεις μισθωτή.

Ρύθμιση χώρου εργασίας

Ένας διαχειριστής Fabric στον χώρο εργασίας σας πρέπει να εκχωρήσει πρόσβαση για έναν χρήστη ή το SPN για να αποκτήσει πρόσβαση σε στοιχεία Fabric.

Υπάρχουν δύο τρόποι με τους οποίους ένας χρήστης/SPN μπορεί να αποκτήσει πρόσβαση:

  • Εκχώρηση συμμετοχής χρήστη/SPN σε έναν ρόλο: Οποιοσδήποτε ρόλος χώρου εργασίας (Διαχειριστής, Μέλος, Συμβάλλων ή Θεατής) επαρκεί για τη σύνδεση σε στοιχεία αποθήκης ή lakehouse με μια συμβολοσειρά σύνδεσης SQL.

    1. Στην επιλογή Διαχείριση πρόσβασης στον χώρο εργασίας, εκχωρήστε τον ρόλο Συμβάλλων. Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Ρόλοι υπηρεσίας.

  • Εκχώρηση χρήστη/SPN σε ένα συγκεκριμένο στοιχείο: Εκχώρηση πρόσβασης σε ένα συγκεκριμένο τελικό σημείο αποθήκης ή ανάλυσης SQL ενός Lakehouse. Ένας διαχειριστής Fabric μπορεί να επιλέξει από διαφορετικά επίπεδα δικαιωμάτων.

    1. Μεταβείτε στο σχετικό στοιχείο τελικού σημείου αποθήκης ή ανάλυσης SQL.
    2. Επιλέξτε Περισσότερες επιλογές και, στη συνέχεια , Διαχείριση δικαιωμάτων. Επιλέξτε Προσθήκη χρήστη.
    3. Προσθέστε το User/SPN στη σελίδα Εκχώρηση πρόσβασης ατόμων .
    4. Εκχωρήστε τα απαραίτητα δικαιώματα σε ένα χρήστη/SPN. Επιλέξτε χωρίς Πρόσθετα δικαιώματα για να εκχωρήσετε δικαιώματα σύνδεσης μόνο.

    Στιγμιότυπο οθόνης από την πύλη Fabric της σελίδας Εκχώρηση πρόσβασης σε άτομα.

Μπορείτε να τροποποιήσετε τα προεπιλεγμένα δικαιώματα που εκχωρούνται στον χρήστη ή το SPN από το σύστημα. Χρησιμοποιήστε τις εντολές T-SQL GRANT και DENY για να αλλάξετε τα δικαιώματα όπως απαιτείται ή να ΤΡΟΠΟΠΟΙΉΣΕτε τον ΡΌΛΟ για να προσθέσετε μέλη σε ρόλους.

Προς το παρόν, τα SPN δεν έχουν τη δυνατότητα ως λογαριασμοί χρήστη για λεπτομερείς ρυθμίσεις παραμέτρων δικαιωμάτων με GRANT/DENYτο .

Υποστήριξη για ταυτότητες χρηστών και κύρια ονόματα υπηρεσίας (SPN)

Το Fabric υποστηρίζει εγγενώς τον έλεγχο ταυτότητας και την εξουσιοδότηση για τους χρήστες του Microsoft Entra και τα κύρια ονόματα υπηρεσίας (SPN) σε συνδέσεις SQL σε στοιχεία τελικού σημείου αποθήκης και ανάλυσης SQL.

  • Οι ταυτότητες χρήστη είναι τα μοναδικά διαπιστευτήρια για κάθε χρήστη εντός ενός οργανισμού.
  • Τα SPN αντιπροσωπεύουν αντικείμενα εφαρμογής μέσα σε έναν μισθωτή και ενεργούν ως ταυτότητα για παρουσίες εφαρμογών, αναθέτει τον ρόλο του ελέγχου ταυτότητας και της εξουσιοδότησης αυτών των εφαρμογών.

Υποστήριξη για ροή δεδομένων σε μορφή πίνακα (TDS)

Το Fabric χρησιμοποιεί το πρωτόκολλο Data Stream (TDS) σε μορφή πίνακα, όπως και ο SQL Server, όταν συνδέεστε με μια συμβολοσειρά σύνδεσης.

Το Fabric είναι συμβατό με οποιαδήποτε εφαρμογή ή εργαλείο που μπορεί να συνδεθεί σε ένα προϊόν με τη μηχανή βάσης δεδομένων sql. Παρόμοια με μια σύνδεση παρουσίας SQL Server, το TDS λειτουργεί στη θύρα TCP 1433. Για περισσότερες πληροφορίες σχετικά με τη συνδεσιμότητα SQL Fabric και την εύρεση της συμβολοσειράς σύνδεσης SQL, ανατρέξτε στο θέμα Συνδεσιμότητα.

Ένα δείγμα συμβολοσειράς σύνδεσης SQL μοιάζει ως εξής: <guid_unique_your_item>.datawarehouse.fabric.microsoft.com.

Οι εφαρμογές και τα εργαλεία προγράμματος-πελάτη μπορούν να ορίσουν την Authentication ιδιότητα σύνδεσης στη συμβολοσειρά σύνδεσης για να επιλέξετε μια λειτουργία ελέγχου ταυτότητας microsoft Entra. Ο παρακάτω πίνακας περιγράφει τις διαφορετικές λειτουργίες ελέγχου ταυτότητας του Microsoft Entra, συμπεριλαμβανομένης της υποστήριξης για έλεγχο ταυτότητας πολλών παραγόντων (MFA) του Microsoft Entra.

Λειτουργία ελέγχου ταυτότητας Σενάρια Σχόλια
Microsoft Entra Interactive Χρησιμοποιείται από εφαρμογές ή εργαλεία σε περιπτώσεις όπου ο έλεγχος ταυτότητας χρήστη μπορεί να πραγματοποιηθεί αλληλεπιδραστικά ή όταν είναι αποδεκτό να υπάρχει χειροκίνητη παρέμβαση για επαλήθευση διαπιστευτηρίων. Ενεργοποιήστε τις πολιτικές πρόσβασης υπό όρους MFA και Microsoft Entra για την επιβολή κανόνων οργανισμού.
Κύρια υπηρεσία Microsoft Entra Χρησιμοποιείται από εφαρμογές για ασφαλή έλεγχο ταυτότητας χωρίς ανθρώπινη παρέμβαση, η πιο κατάλληλη για ενοποίηση εφαρμογών. Συνιστάται η ενεργοποίηση πολιτικών πρόσβασης υπό όρους για το Microsoft Entra.
Κωδικός πρόσβασης Microsoft Entra Όταν οι εφαρμογές δεν μπορούν να χρησιμοποιήσουν έλεγχο ταυτότητας βάσει SPN λόγω ασυμβατότητας ή να απαιτήσουν ένα γενικό όνομα χρήστη και κωδικό πρόσβασης για πολλούς χρήστες ή εάν άλλες μέθοδοι είναι ανέφικτες. Ο MFA πρέπει να είναι απενεργοποιημένος και δεν μπορούν να οριστούν πολιτικές πρόσβασης υπό όρους. Συνιστούμε την επικύρωση με την ομάδα ασφαλείας του πελάτη προτού επιλέξετε αυτήν τη λύση.

Διάγραμμα ροής που εμφανίζει τις λειτουργίες ελέγχου ταυτότητας και τα σημεία απόφασης του Microsoft Entra.

Υποστήριξη προγραμμάτων οδήγησης για έλεγχο ταυτότητας Microsoft Entra

Παρόλο που τα περισσότερα προγράμματα οδήγησης SQL αρχικά συνοδεύεται από υποστήριξη για τον έλεγχο ταυτότητας Microsoft Entra, οι πρόσφατες ενημερώσεις έχουν εκτεταμένη συμβατότητα για να συμπεριλάβουν έλεγχο ταυτότητας βάσει SPN. Αυτή η βελτίωση απλοποιεί τη μετάβαση στον έλεγχο ταυτότητας του Microsoft Entra για διάφορες εφαρμογές και εργαλεία μέσω αναβαθμίσεων προγραμμάτων οδήγησης και την προσθήκη υποστήριξης για τον έλεγχο ταυτότητας του Microsoft Entra.

Ωστόσο, ορισμένες φορές είναι απαραίτητο να προσαρμόσετε πρόσθετες ρυθμίσεις, όπως η ενεργοποίηση ορισμένων θυρών ή τείχους προστασίας, προκειμένου να διευκολυνθεί ο έλεγχος ταυτότητας της Microsoft Entra στον κεντρικό υπολογιστή.

Οι εφαρμογές και εργαλεία πρέπει να αναβαθμίσουν τα προγράμματα οδήγησης σε εκδόσεις που υποστηρίζουν έλεγχο ταυτότητας Microsoft Entra και να προσθέσουν μια λέξη-κλειδί για τη λειτουργία ελέγχου ταυτότητας στη συμβολοσειρά σύνδεσης SQL, όπως ActiveDirectoryInteractive, ActiveDirectoryServicePrincipalή ActiveDirectoryPassword.

Το Fabric είναι συμβατό με τα εγγενή προγράμματα οδήγησης της Microsoft, συμπεριλαμβανομένων των OLE DB, Microsoft.Data.SqlClientκαι των γενικών προγραμμάτων οδήγησης όπως το ODBC και το JDBC. Η διαχείριση της μετάβασης εφαρμογών σε εργασία με το Fabric μπορεί να γίνει μέσω επαναρύθμισης για χρήση ελέγχου ταυτότητας βάσει αναγνωριστικού Microsoft Entra.

Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Συνδεσιμότητα σε αποθήκευση δεδομένων στο Microsoft Fabric.

Microsoft OLE DB

Το πρόγραμμα οδήγησης OLE DB για SQL Server είναι ένα αυτόνομο API πρόσβασης δεδομένων που έχει σχεδιαστεί για OLE DB και κυκλοφόρησε για πρώτη φορά με SQL Server 2005 (9.x). Από τότε, οι ανεπτυγμένες δυνατότητες περιλαμβάνουν έλεγχο ταυτότητας βάσει SPN με έκδοση 18.5.0, προσθέτοντας στις υπάρχουσες μεθόδους ελέγχου ταυτότητας από προηγούμενες εκδόσεις.

Λειτουργία ελέγχου ταυτότητας Συμβολοσειρά σύνδεσης SQL
Microsoft Entra Interactive Αλληλεπιδραστικός έλεγχος ταυτότητας Microsoft Entra
Κύρια υπηρεσία Microsoft Entra Έλεγχος ταυτότητας κύριας υπηρεσίας Microsoft Entra
Κωδικός πρόσβασης Microsoft Entra Όνομα χρήστη και έλεγχος ταυτότητας κωδικού πρόσβασης του Microsoft Entra

Για ένα τμήμα κώδικα C# που χρησιμοποιεί το OLE DB με έλεγχο ταυτότητας βάσει SPN, ανατρέξτε στο θέμα System.Data.OLEDB.Connect.cs.

Πρόγραμμα οδήγησης ODBC της Microsoft

Το πρόγραμμα οδήγησης ODBC της Microsoft για SQL Server είναι μια μοναδική βιβλιοθήκη δυναμικής σύνδεσης (DLL) που περιέχει υποστήριξη χρόνου εκτέλεσης για εφαρμογές που χρησιμοποιούν API εγγενούς κώδικα για τη σύνδεση στον SQL Server. Συνιστάται να χρησιμοποιήσετε την πιο πρόσφατη έκδοση για εφαρμογές για ενσωμάτωση με το Fabric.

Για περισσότερες πληροφορίες σχετικά με τον έλεγχο ταυτότητας του Microsoft Entra με το ODBC, ανατρέξτε στο θέμα Χρήση του Microsoft Entra ID με το δείγμα κώδικα προγράμματος οδήγησης ODBC.

Λειτουργία ελέγχου ταυτότητας Συμβολοσειρά σύνδεσης SQL
Microsoft Entra Interactive DRIVER={ODBC Driver 18 for SQL Server};SERVER=<SQL Connection String>;DATABASE=<DB Name>;UID=<Client_ID@domain>;PWD=<Secret>;Authentication=ActiveDirectoryInteractive
Κύρια υπηρεσία Microsoft Entra DRIVER={ODBC Driver 18 for SQL Server};SERVER=<SQL Connection String>;DATABASE=<DBName>;UID=<Client_ID@domain>;PWD=<Secret>;Authentication=ActiveDirectoryServicePrincipal
Κωδικός πρόσβασης Microsoft Entra DRIVER={ODBC Driver 18 for SQL Server};SERVER=<SQL Connection String>;DATABASE=<DBName>;UID=<Client_ID@domain>;PWD=<Secret>;Authentication=ActiveDirectoryPassword

Για ένα τμήμα κώδικα python που χρησιμοποιεί το ODBC με έλεγχο ταυτότητας που βασίζεται στο SPN, ανατρέξτε στο θέμα pyodbc-dw-connectivity.py.

Πρόγραμμα οδήγησης Microsoft JDBC

Το πρόγραμμα οδήγησης Microsoft JDBC για SQL Server είναι ένα πρόγραμμα οδήγησης JDBC τύπου 4 που παρέχει συνδεσιμότητα βάσης δεδομένων μέσω των τυπικών διασυνδέσεων προγράμματος εφαρμογών JDBC (API) που είναι διαθέσιμες στην πλατφόρμα Java.

Ξεκινώντας από την έκδοση 9.2, mssql-jdbc παρουσιάζει την υποστήριξη για ActiveDirectoryInteractive και ActiveDirectoryServicePrincipal, με ActiveDirectoryPassword την υποστήριξη στις εκδόσεις 12.2 και νεότερες. Αυτό το πρόγραμμα οδήγησης απαιτεί πρόσθετα βάζα ως εξαρτήσεις, τα οποία πρέπει να είναι συμβατά με την έκδοση του mssql-driver που χρησιμοποιείται στην εφαρμογή σας. Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Εξαρτήσεις δυνατοτήτων του προγράμματος οδήγησης JDBC και Απαίτηση ρύθμισης προγράμματος-πελάτη.

Λειτουργία ελέγχου ταυτότητας περισσότερες πληροφορίες
Microsoft Entra Interactive Σύνδεση με χρήση της λειτουργίας ελέγχου ταυτότητας ActiveDirectoryInteractive
Κύρια υπηρεσία Microsoft Entra Σύνδεση με χρήση της λειτουργίας ελέγχου ταυτότητας ActiveDirectoryServicePrincipal
Κωδικός πρόσβασης Microsoft Entra Σύνδεση με χρήση της λειτουργίας ελέγχου ταυτότητας ActiveDirectoryPassword

Για ένα τμήμα κώδικα Java που χρησιμοποιεί το JDBC με έλεγχο ταυτότητας που βασίζεται στο SPN, ανατρέξτε στο θέμα fabrictoolbox/dw_connect.java και δείγμα αρχείου pom pom.xml.

Microsoft.Data.SqlClient στο .NET Core (C#)

Το Microsoft.Data.SqlClient είναι μια υπηρεσία παροχής δεδομένων για τον Microsoft SQL Server και τη Βάση δεδομένων SQL Azure. Πρόκειται για μια ένωση των δύο System.Data.SqlClient στοιχείων που βρίσκονται ανεξάρτητα στο .NET Framework και το .NET Core, παρέχοντας ένα σύνολο κλάσεων για την πρόσβαση σε βάσεις δεδομένων Microsoft SQL Server. Microsoft.Data.SqlClient Συνιστάται για κάθε νέα και μελλοντική ανάπτυξη.

Λειτουργία ελέγχου ταυτότητας περισσότερες πληροφορίες
Microsoft Entra Interactive Χρήση αλληλεπιδραστικού ελέγχου ταυτότητας
Κύρια υπηρεσία Microsoft Entra Χρήση ελέγχου ταυτότητας κύριας υπηρεσίας
Κωδικός πρόσβασης Microsoft Entra Χρήση ελέγχου ταυτότητας με κωδικό πρόσβασης

Τμήματα κώδικα που χρησιμοποιούν SPN:

Σχετικό περιεχόμενο