Scegliere un metodo di autenticazione nei pool SQL serverless di Azure Synapse
Per autenticazione del pool SQL serverless si intende il modo in cui gli utenti dimostrano la loro identità quando si connettono all'endpoint. Sono supportati due tipi di autenticazione:
Autenticazione SQL
Questo metodo di autenticazione usa nome utente e password.
Autenticazione Microsoft Entra
Questo metodo di autenticazione usa le identità gestite da Microsoft Entra ID. Per gli utenti di Microsoft Entra, è possibile abilitare l'autenticazione a più fattori. Quando possibile, usare l'autenticazione di Active Directory (sicurezza integrata).
Autorizzazione
Per autorizzazione si intendono le operazioni che l'utente può eseguire in un database del pool SQL serverless, che sono controllate dalle appartenenze ai ruoli del database e dalle autorizzazioni a livello di oggetto dell'account utente.
Se si usa l'autenticazione SQL, l'utente SQL esiste solo nel pool SQL serverless e le autorizzazioni sono limitate all'ambito degli oggetti nel pool SQL serverless. L'accesso a oggetti a protezione diretta in altri servizi, ad esempio Archiviazione di Azure, non può essere concesso direttamente a un utente SQL, perché questo esiste solo nell'ambito del pool SQL serverless. L'utente SQL deve ottenere l'autorizzazione per accedere ai file nell'account di archiviazione.
Se si usa l'autenticazione di Azure Microsoft Entra, un utente può accedere al un pool SQL serverless e ad altri servizi, come Archiviazione di Azure, e può concedere le autorizzazioni all'utente di Microsoft Entra.
Accesso agli account di archiviazione
Un utente connesso al servizio pool SQL serverless deve essere autorizzato ad accedere ed eseguire query sui file in Archiviazione di Azure. Il pool SQL serverless supporta i tipi di autorizzazione seguenti:
Accesso anonimo
Consente di accedere a file disponibili pubblicamente presenti negli account di archiviazione di Azure che consentono l'accesso anonimo.
Firma di accesso condiviso
Fornisce accesso delegato alle risorse nell'account di archiviazione. Con una firma di accesso condiviso è possibile concedere ai client l'accesso alle risorse nell'account di archiviazione, senza condividere le chiavi dell'account. La firma di accesso condiviso offre un controllo granulare sul tipo di accesso concesso ai client a cui viene assegnata, tra cui intervallo di validità, autorizzazioni concesse, intervallo di indirizzi IP accettabile e protocollo accettabile (HTTPS/HTTP).
Identità gestita.
Funzionalità di Microsoft Entra ID che fornisce servizi di Azure per il pool SQL serverless. Distribuisce anche un'identità gestita automaticamente in Microsoft Entra ID. Questa identità può essere usata per autorizzare la richiesta di accesso ai dati in Archiviazione di Azure. Prima di accedere ai dati, l'amministratore di Archiviazione di Azure deve concedere le apposite autorizzazioni all'identità gestita. La concessione delle autorizzazioni all'identità gestita viene eseguita allo stesso modo della concessione dell'autorizzazione a qualsiasi altro utente di Microsoft Entra.
Identità utente
Nota anche come "pass-through", è un tipo di autorizzazione in cui l'identità dell'utente di Microsoft Entra che ha effettuato l'accesso al pool SQL serverless viene usata per autorizzare l'accesso ai dati. Prima di accedere ai dati, l'amministratore di Archiviazione di Azure deve concedere le autorizzazioni all'utente di Microsoft Entra per l'accesso ai dati. Questo tipo di autorizzazione usa l'utente di Microsoft Entra che ha eseguito l'accesso al pool SQL serverless, pertanto non è supportato per i tipi di utente SQL.
I tipi di autorizzazione supportati per gli utenti del database sono disponibili nella tabella seguente:
| Tipo di autorizzazione | Utente SQL | Utente di Microsoft Entra |
|---|---|---|
| Identità utente | Non supportato | Supportato |
| SAS | Supportata | Supportata |
| Identità gestita | Non supportato | Supportato |
I tipi di archiviazione e autorizzazione supportati sono disponibili nella tabella seguente:
| Tipo di autorizzazione | Archiviazione BLOB | ADLS Gen1 | ADLS Gen2 |
|---|---|---|---|
| Identità utente | Supportato: è possibile usare un token SAS non protetto con firewall | Non supportato | Supportato: è possibile usare un token SAS non protetto con firewall |
| SAS | Supportata | Supportato | Supportata |
| Identità gestita | Supportata | Supportato | Supportata |