Microsoft Entra -todentaminen vaihtoehtona SQL-todennukselle
Koskee:✅ SQL-analytiikan päätepiste ja Microsoft Fabric -varasto
Tässä artikkelissa käsitellään teknisiä menetelmiä, joita käyttäjät ja asiakkaat voivat käyttää siirtymiseen SQL-todennuksesta Microsoft Entra -todennukseen Microsoft Fabricissa. Microsoft Entra -todennus on vaihtoehto käyttäjänimille ja salasanoille SQL-todennuksen kautta, kun se kirjautuvat Lakehousen tai Microsoft Fabricin Warehousen SQL-analytiikan päätepisteeseen. Microsoft Entra -todentaminen on suositeltavaa ja elintärkeää suojatun tietoympäristön luomisessa.
Tässä artikkelissa keskitytään Microsoft Entra -todentamiseen vaihtoehtona SQL-todennukselle Microsoft Fabric -kohteissa, kuten Warehouse- tai Lakehouse SQL -analytiikan päätepisteessä.
Microsoft Entra -todentamisen edut Fabricissa
Yksi Microsoft Fabricin keskeisistä periaatteista on suunnittelun suojaama. Microsoft Entra on olennainen osa Microsoft Fabricin suojausta varmistamalla vahvan tietosuojan, hallinnon ja vaatimustenmukaisuuden.
Microsoft Entralla on tärkeä rooli Microsoft Fabricin suojauksessa useista syistä:
- Todentaminen: Tarkista käyttäjät ja palvelun päänimet Microsoft Entra -tunnuksella, joka myöntää käyttöoikeustunnuksia Fabric-toiminnoille.
- Suojattu käyttö: Muodosta turvallinen yhteys minkä tahansa laitteen tai verkon pilvisovelluksiin Fabriciin tehtyjen suojauspyyntöjen avulla.
- Ehdollinen käyttö: Järjestelmänvalvojat voivat määrittää käytäntöjä, jotka arvioivat käyttäjän kirjautumiskontekstia, hallitsevat käyttöoikeutta tai valvovat ylimääräisiä tarkistusvaiheita.
- Integrointi: Microsoft Entra ID toimii saumattomasti kaikkien Microsoft SaaS -tarjousten kanssa, fabric mukaan lukien, mikä helpottaa käytön kaikissa laitteissa ja verkoissa.
- Laaja ympäristö: Pääset käyttämään Microsoft Fabricia Microsoft Entra -tunnuksella millä tahansa menetelmällä, joko Fabric-portaalin, SQL-yhteysmerkkijonon, REST API:n tai XMLA-päätepisteen kautta.
Microsoft Entra ottaa käyttöön täydellisen Zero Trust -käytännön, joka tarjoaa paremman vaihtoehdon perinteiselle SQL-todennukselle, joka on rajoitettu käyttäjänimiin ja salasanoihin. Tämä lähestymistapa:
- Estää käyttäjäksi tekeytymisen.
- Ottaa käyttöön tarkan käytön hallinnan käyttäjätietojen, ympäristön, laitteiden jne.
- Tukee edistynyttä suojausta, kuten Microsoft Entran monimenetelmäistä todentamista.
Fabric-määritys
Microsoft Entra -todentaminen Warehouse- tai Lakehouse SQL -analytiikan päätepisteen kanssa edellyttää määritystä sekä vuokraaja- että työtila-asetuksissa.
Vuokraaja-asetukset
Vuokraajasi Fabric-järjestelmänvalvojan on sallittava palvelun päänimien (SPN) käyttöoikeus Fabric-ohjelmointirajapintoihin. Tämä on tarpeen SQL-yhteysmerkkijonojen käyttöliittymässä Fabric warehouse- tai SQL-analytiikan päätepistekohteisiin.
Tämä asetus löytyy Kehittäjän asetukset -osiosta, ja se on merkitty nimellä Palvelun päänimet voivat käyttää Fabric-ohjelmointirajapintoja. Varmista, että se on Käytössä.
Työtila-asetus
Työtilasi Fabric-järjestelmänvalvojan on myönnettävä käyttäjälle tai PALVELUN PÄÄNIMElle oikeus käyttää Fabric-kohteita.
Käyttäjälle tai palvelun päänimelle voidaan myöntää käyttöoikeus kahdella tavalla:
Myönnä roolille käyttäjän/SPN:n jäsenyys: Mikä tahansa työtilan rooli (järjestelmänvalvoja, jäsen, osallistuja tai katselija) riittää yhteyden muodostamiseen varasto- tai Lakehouse-kohteisiin SQL-yhteysmerkkijonolla.
- Määritä Osallistuja-rooli Työtilan Käyttöoikeuksien hallinta -kohdassa. Lisätietoja on kohdassa Palveluroolit.
Määritä käyttäjä/SPN tiettyyn kohteeseen: myönnä käyttöoikeus tiettyyn Lakehousen Warehouse- tai SQL-analytiikan päätepisteeseen. Fabric-järjestelmänvalvoja voi valita eri käyttöoikeustasoilta.
- Siirry asianmukaiseen Warehousen tai SQL-analytiikan päätepistekohteeseen.
- Valitse Lisää vaihtoehtoja ja sitten Käyttöoikeuksien hallinta. Valitse Lisää käyttäjä.
- Lisää käyttäjä/palvelun päänimi Myönnä käyttäjille käyttöoikeus -sivulla.
- Määritä tarvittavat käyttöoikeudet käyttäjälle/palvelun päänimelle. Valitse Ei lisäkäyttöoikeuksia vain yhteyden käyttöoikeuksien myöntämiseksi.
Voit muuttaa järjestelmän käyttäjälle tai palvelun päänimelle annettuja oletusoikeuksia. T-SQL GRANT - ja DENY-komentojen avulla voit muuttaa käyttöoikeuksia tarpeen mukaan tai ALTER-ROOLIA jäsenyyden lisäämiseksi rooleihin.
Tällä hetkellä palvelun päänimeä ei voi määrittää käyttäjätileinä kohteen yksityiskohtaisia käyttöoikeusmäärityksiä GRANT/DENYvarten.
Käyttäjätietojen ja palvelun päänimien tuki
Fabric tukee todennusta ja valtuutusta Microsoft Entra -käyttäjille ja palvelun päänimille (SPN) SQL-yhteyksissä varaston ja SQL-analytiikan päätepistekohteisiin.
- Käyttäjätiedot ovat yksilöiviä tunnistetietoja jokaiselle organisaation käyttäjälle.
- Palvelun päänukset edustavat vuokraajan sovellusobjekteja ja toimivat sovellusten esiintymien käyttäjätietona, ja ne ottavat tehtäväkseen näiden sovellusten todentamisen ja valtuutuksen.
Taulukkomuotoisen tietovirran (TDS) tuki
Fabric käyttää TDS (Tabular Data Stream) -protokollaa, joka on sama kuin SQL Serverissä yhdistettäessä yhteysmerkkijonolla.
Fabric on yhteensopiva minkä tahansa sovelluksen tai työkalun kanssa, joka pystyy muodostamaan yhteyden tuotteeseen SQL-tietokantamoduulin kanssa. SQL Server -esiintymäyhteyden tapaan TDS toimii TCP-portissa 1433. Lisätietoja Fabric SQL -yhteydestä ja SQL-yhteysmerkkijonon etsimisestä on kohdassa Yhteydet.
SQL-yhteysmerkkijonoesimerkkijono näyttää tältä: <guid_unique_your_item>.datawarehouse.fabric.microsoft.com.
Sovellukset ja asiakastyökalut voivat valita Authentication Microsoft Entra -todennustilan määrittämällä yhteysominaisuuden yhteysmerkkijonossa. Seuraavassa taulukossa on eri Microsoft Entra -todennustilat, mukaan lukien Microsoft Entran monifaktoritodennuksen (MFA) tuki.
| Todennustila | Skenaariot | Kommentit |
|---|---|---|
| Microsoft Entra Interactive | Sovellusten tai työkalujen käytössä tilanteissa, joissa käyttäjän todentaminen voi tapahtua vuorovaikutteisesti tai kun voidaan hyväksyä manuaalisia toimenpiteitä tunnistetietojen tarkistamiseen. | Aktivoi monimenetelmäisen todentamisen ja Microsoft entran ehdolliset käyttöoikeuskäytännöt organisaation sääntöjen valvomiseksi. |
| Microsoft Entra -palvelun päänimi | Sovellukset käyttävät sitä turvalliseen todentamiseen ilman ihmisen toimia, jotka soveltuvat parhaiten sovellusten integrointiin. | Microsoft Entran ehdollisten käyttöoikeuksien käytännöt kannattaa ottaa käyttöön. |
| Microsoft Entra Password | Jos sovellukset eivät voi käyttää SPN-pohjaista todentamista yhteensopimattomuuden vuoksi, vaatia yleisluontoista käyttäjänimeä ja salasanaa useille käyttäjille tai jos muita menetelmiä ei ole mahdollista käyttää. | Monimenetelmäinen todentaminen on oltava poissa käytöstä, eikä ehdollisia käyttöoikeuskäytäntöjä voi määrittää. Suosittelemme vahvistusta asiakkaan tietoturvatiimin kanssa ennen tämän ratkaisun valitsemista. |
Kuljettajan tuki Microsoft Entra -todennukselle
Vaikka suurin osa SQL-ohjaimista sai alun perin tuen Microsoft Entra -todennukselle, viimeaikaiset päivitykset ovat laajentaneet yhteensopivuutta sisältämään SPN-pohjaisen todentamisen. Tämä parannus yksinkertaistaa siirtymistä Microsoft Entra -todennukseen eri sovelluksissa ja työkaluissa ohjainpäivitysten kautta ja lisäämällä tuen Microsoft Entra -todennukselle.
Joskus on kuitenkin tarpeen säätää lisäasetuksia, kuten tiettyjen porttien tai palomuurien käyttöönottoa Microsoft Entra -todennuksen helpottamiseksi isäntäkoneessa.
Sovellusten ja työkalujen on päivitettävä ohjaimet versioihin, jotka tukevat Microsoft Entra -todentamista, ja lisättävä todentamistilan avainsana SQL-yhteysmerkkijonoon, kuten ActiveDirectoryInteractive, ActiveDirectoryServicePrincipaltai ActiveDirectoryPassword.
Fabric on yhteensopiva Microsoftin alkuperäisten ohjainten, kuten OLE DB:n, , ja yleisten ohjainten, kuten ODBC:n ja JDBC:n, Microsoft.Data.SqlClientkanssa. Fabric-sovellusten siirtymää voidaan hallita määrittämällä uudelleen käyttämään Microsoft Entra ID -pohjaista todennusta.
Lisätietoja on artikkelissa Yhteydet tietovarastoinniin Microsoft Fabricissa.
Microsoft OLE DB
OLE DB Driver for SQL Server on erillinen tietojen käytön ohjelmointirajapinta, joka on suunniteltu OLE DB:lle ja julkaistu ensimmäisen kerran SQL Server 2005:llä (9.x). Koska laajennetut ominaisuudet sisältävät SPN-pohjaisen todennuksen versiolla 18.5.0, se lisätään aiempien versioiden aiemmin luotuihin todennusmenetelmiin.
| Todennustila | SQL-yhteysmerkkijono |
|---|---|
| Microsoft Entra Interactive | Vuorovaikutteinen Microsoft Entra -todentaminen |
| Microsoft Entra -palvelun päänimi | Microsoft Entra -palvelun päänimi -todennus |
| Microsoft Entra Password | Microsoft Entra käyttäjänimen ja salasanan todentaminen |
Jos haluat C#-koodikatkelman, joka käyttää OLE DB:tä ja SPN-pohjaista todennusta, katso System.Data.OLEDB.Connect.cs.
Microsoft ODBC Driver
Microsoft ODBC Driver for SQL Server on yksittäinen dynaamisen linkin kirjasto (DLL), joka sisältää suorituksenaikaisen tuen sovelluksille, jotka käyttävät alkuperäiskoodin ohjelmointirajapintoja yhteyden muodostamiseen SQL Serveriin. On suositeltavaa käyttää viimeisintä versiota sovelluksille, jotka integroituvat Fabriciin.
Lisätietoja Microsoft Entra -todennuksesta ODBC:n kanssa on artikkelissa Microsoft Entra -tunnuksen käyttäminen ODBC-ohjaimen esimerkkikoodin kanssa.
| Todennustila | SQL-yhteysmerkkijono |
|---|---|
| Microsoft Entra Interactive | DRIVER={ODBC Driver 18 for SQL Server};SERVER=<SQL Connection String>;DATABASE=<DB Name>;UID=<Client_ID@domain>;PWD=<Secret>;Authentication=ActiveDirectoryInteractive |
| Microsoft Entra -palvelun päänimi | DRIVER={ODBC Driver 18 for SQL Server};SERVER=<SQL Connection String>;DATABASE=<DBName>;UID=<Client_ID@domain>;PWD=<Secret>;Authentication=ActiveDirectoryServicePrincipal |
| Microsoft Entra Password | DRIVER={ODBC Driver 18 for SQL Server};SERVER=<SQL Connection String>;DATABASE=<DBName>;UID=<Client_ID@domain>;PWD=<Secret>;Authentication=ActiveDirectoryPassword |
Jos käytät ODBC:tä ja SPN-pohjaista todennusta, katso pyodbc-dw-connectivity.py.
Microsoft JDBC Driver
Microsoft JDBC Driver for SQL Server on tyypin 4 JDBC-ohjain, joka tarjoaa tietokantayhteyden Java-ympäristössä saatavilla olevien JDBC-ohjelmointirajapintojen kautta.
Versiosta 9.2 alkaen se sisältää tuen ille ja ActiveDirectoryServicePrincipalActiveDirectoryPassword :lleActiveDirectoryInteractive, mssql-jdbc ja on tuettu versioissa 12.2 ja sitä uudemmissa versioissa. Tämä ohjain edellyttää riippuvuuksina lisäpurkkeja, joiden on oltava yhteensopivia sovelluksessa käytetyn mssql-driver version kanssa. Lisätietoja on aiheessa JDBC-ohjaimen ominaisuuksien riippuvuudet ja asiakkaan asennusvaatimus.
| Todennustila | Lisätietoja |
|---|---|
| Microsoft Entra Interactive | Yhdistäminen ActiveDirectoryInteractive-todennustilan avulla |
| Microsoft Entra -palvelun päänimi | Yhdistäminen ActiveDirectoryServicePrincipal-todennustilan avulla |
| Microsoft Entra Password | Yhdistäminen ActiveDirectoryPassword-todennustilan avulla |
JDBC:tä ja SPN-pohjaista todennusta käyttävä java-koodikatkelmi on kohdassa Fabrictoolbox/dw_connect.java ja mallipom-tiedosto pom.xml.
Microsoft.Data.SqlClient in .NET Core (C#)
Microsoft.Data.SqlClient on Microsoft SQL Serverin ja Azure SQL Databasen tietopalvelu. Se koostuu kahdesta System.Data.SqlClient erillisestä osasta, jotka elävät itsenäisesti .NET Framework- ja .NET Core -palveluissa, ja se tarjoaa joukon luokkia Microsoft SQL Server -tietokantojen käyttöä varten. Microsoft.Data.SqlClient on suositeltavaa kaikille uusille ja tuleville kehityksille.
| Todennustila | Lisätietoja |
|---|---|
| Microsoft Entra Interactive | Vuorovaikutteisen todentamisen käyttäminen |
| Microsoft Entra -palvelun päänimi | Palvelun päänimen todentamisen käyttäminen |
| Microsoft Entra Password | Salasanan todentamisen käyttäminen |
Koodikatkelmia, jotka käyttävät palvelun päänimiä: