Elección de un método de autenticación en grupos de SQL sin servidor de Azure Synapse
La autenticación del grupo de SQL sin servidor hace referencia a cómo prueban los usuarios su identidad al conectarse al punto de conexión. Se admiten dos tipos de autenticación:
Autenticación de SQL
Este método de autenticación utiliza un nombre de usuario y una contraseña.
Autenticación de Microsoft Entra
Este método de autenticación usa identidades administradas por Microsoft Entra ID. Para los usuarios de Microsoft Entra, se puede habilitar la autenticación multifactor. Use la autenticación de Active Directory (seguridad integrada) siempre que sea posible.
Autorización
La autorización hace referencia a las acciones que puede llevar a cabo un usuario en una base de datos del grupo de SQL sin servidor, algo que controlan los permisos de nivel de objeto y las pertenencias a roles de bases de datos de la cuenta de usuario.
Si se usa la autenticación de SQL, el usuario de SQL solo existe en el grupo de SQL sin servidor y los permisos se limitan a los objetos de ese grupo. No se puede conceder directamente a un usuario de SQL el acceso a los objetos protegibles de otros servicios (como Azure Storage), ya que solo existe en el ámbito del grupo de SQL sin servidor. El usuario de SQL necesita obtener autorización para acceder a los archivos de la cuenta de almacenamiento.
Si se usa la autenticación de Microsoft Entra, un usuario puede iniciar sesión en un grupo de SQL sin servidor y otros servicios, como Azure Storage, y puede conceder permisos al usuario de Microsoft Entra.
Acceso a las cuentas de almacenamiento
Un usuario que haya iniciado sesión en el servicio del grupo de SQL sin servidor debe estar autorizado para acceder a los archivos de Azure Storage y realizar consultas en ellos. El grupo de SQL sin servidor admite los siguientes tipos de autorización:
Acceso anónimo
Acceder a los archivos disponibles públicamente ubicados en cuentas de almacenamiento de Azure que permitan el acceso anónimo.
Firma de acceso compartido (SAS)
Proporciona acceso delegado a los recursos de la cuenta de almacenamiento. Con una SAS, puede conceder a los clientes acceso a los recursos de su cuenta de almacenamiento sin compartir las claves de la cuenta. Una SAS le ofrece un control detallado sobre el tipo de acceso que concede a los clientes que tienen una SAS: intervalo de validez, permisos concedidos, intervalo de direcciones IP aceptable y protocolo aceptable (https/http).
Identidad administrada.
Es una característica de Microsoft Entra ID que proporciona servicios de Azure para el grupo de SQL sin servidor. Además, implementa una identidad administrada automáticamente en Microsoft Entra ID. Esta identidad se puede usar para autorizar la solicitud de acceso a los datos de Azure Storage. Antes de acceder a los datos, el administrador de Azure Storage debe conceder permisos a la identidad administrada para acceder a los datos. La concesión de permisos a la identidad administrada se realiza de la misma forma que la concesión de permisos a cualquier otro usuario de Microsoft Entra.
Identidad de usuario
También conocida como "paso a través", es un tipo de autorización en el que la identidad del usuario de Microsoft Entra que inició sesión en el grupo de SQL sin servidor se usa para autorizar el acceso a los datos. Antes de acceder a los datos, el administrador de Azure Storage debe conceder permisos al usuario de Microsoft Entra para acceder a los datos. Este tipo de autorización utiliza el usuario de Microsoft Entra que inició sesión en el grupo de SQL sin servidor, por lo que no se admite para los tipos de usuario de SQL.
Los tipos de autorización admitidos para los usuarios de base de datos se pueden encontrar en la tabla siguiente:
Tipo de autorización | Usuario de SQL | Usuario de Microsoft Entra |
---|---|---|
Identidad de usuario | No compatible | Compatible |
SAS | Compatible | Compatible |
Identidad administrada | No compatible | Compatible |
Los tipos de autorización y almacenamiento admitidos se pueden encontrar en la tabla siguiente:
Tipo de autorización | Blob Storage | ADLS Gen1 | ADLS Gen2 |
---|---|---|---|
Identidad del usuario | Admitido. El token de SAS se puede usar para acceder a un almacenamiento que no esté protegido con un firewall. | No compatible | Admitido. El token de SAS se puede usar para acceder a un almacenamiento que no esté protegido con un firewall. |
SAS | Compatible | Admitido | Compatible |
Identidad administrada | Compatible | Admitido | Compatible. |