Microsoft Entra-godkjenning som et alternativ til SQL-godkjenning
Gjelder for:✅ SQL Analytics-endepunkt og Warehouse i Microsoft Fabric
Denne artikkelen dekker tekniske metoder som brukere og kunder kan bruke til overgang fra SQL-godkjenning til Microsoft Entra-godkjenning i Microsoft Fabric. Microsoft Entra-godkjenning er et alternativ til brukernavn og passord via SQL-godkjenning for å logge på SQL Analytics-endepunktet for lakehouse eller Warehouse i Microsoft Fabric. Microsoft Entra-godkjenning er tilrådelig og viktig for å opprette en sikker dataplattform.
Denne artikkelen fokuserer på Microsoft Entra-godkjenning som et alternativ til SQL-godkjenning i Microsoft Fabric-elementer, for eksempel et lager- eller Lakehouse SQL-analyseendepunkt.
Fordeler med Microsoft Entra-godkjenning i Fabric
Et av Microsoft Fabrics kjerneprinsipper er sikkert ved utforming. Microsoft Entra er en integrert del av Microsoft Fabrics sikkerhet ved å sikre sterk databeskyttelse, styring og samsvar.
Microsoft Entra spiller en viktig rolle i Microsoft Fabrics sikkerhet av flere grunner:
- Godkjenning: Bekreft brukere og tjenestekontohavere som bruker Microsoft Entra ID, som gir tilgangstokener for operasjoner i Fabric.
- Sikker tilgang: Koble sikkert til skyapper fra alle enheter eller nettverk, og beskytt forespørsler til Fabric.
- Betinget tilgang: Administratorer kan angi policyer som vurderer brukerpåloggingskontekst, kontrolltilgang eller håndhever ekstra bekreftelsestrinn.
- Integrering: Microsoft Entra ID fungerer sømløst med alle Microsoft SaaS-tilbud, inkludert Fabric, som gir enkel tilgang på tvers av enheter og nettverk.
- Bred plattform: Få tilgang til Microsoft Fabric med Microsoft Entra ID via en hvilken som helst metode, enten gjennom Fabric-portalen, SQL tilkoblingsstreng, REST API eller XMLA-endepunktet.
Microsoft Entra vedtar en fullstendig nulltillit policy, og tilbyr et overordnet alternativ til tradisjonell SQL-godkjenning begrenset til brukernavn og passord. Denne tilnærmingen:
- Hindrer brukerrepresentasjon.
- Aktiverer finjustert tilgangskontroll med tanke på brukeridentitet, miljø, enheter osv.
- Støtter avansert sikkerhet som Microsoft Entra-godkjenning med flere faktorer.
Stoffkonfigurasjon
Microsoft Entra-godkjenning for bruk med et Lager- eller Lakehouse SQL-analyseendepunkt krever konfigurasjon i både tenant- og arbeidsområdeinnstillinger .
Leierinnstilling
En Fabric-administrator i leieren må gi tjenestehovednavn (SPN) tilgang til Stoff-API-er, som er nødvendige for at SPN-en skal kunne bruke grensesnittet for SQL tilkoblingsstreng s til Fabric-lageret eller SQL Analytics-endepunktelementer.
Denne innstillingen er plassert i delen Utviklerinnstillinger og er merket tjenestekontohavere kan bruke Fabric API-er. Kontroller at den er aktivert.
Arbeidsområdeinnstilling
En Fabric-administrator i arbeidsområdet må gi tilgang til en bruker eller SPN for å få tilgang til Fabric-elementer.
Det finnes to måter en bruker/SPN kan gis tilgang til:
Gi et bruker-/SPN-medlemskap en rolle: Enhver arbeidsområderolle (administrator, medlem, bidragsyter eller seer) er tilstrekkelig til å koble til lager- eller lakehouse-elementer med en SQL-tilkoblingsstreng.
- Tilordne bidragsyterrollen i alternativet Behandle tilgang i arbeidsområdet. Hvis du vil ha mer informasjon, kan du se Tjenesteroller.
Tilordne en bruker/SPN til et bestemt element: Gi tilgang til et bestemt lager- eller SQL-analyseendepunkt i et Lakehouse. En Fabric-administrator kan velge mellom ulike tillatelsesnivåer.
- Gå til det relevante lager- eller SQL-analyseendepunktelementet.
- Velg Flere alternativer, og behandle tillatelser. Velg Legg til bruker.
- Legg til bruker/SPN på siden Gi personer tilgang .
- Tilordne de nødvendige tillatelsene til en bruker/SPN. Velg ingen tilleggstillatelser for bare å gi tilkoblingstillatelser.
Du kan endre standardtillatelsene som er gitt til brukeren eller SPN-en av systemet. Bruk kommandoene T-SQL GRANT og DENY til å endre tillatelser etter behov, eller ENDRE ROLLE for å legge til medlemskap i roller.
SpN-er har for øyeblikket ikke funksjonaliteten som brukerkontoer for detaljert tillatelseskonfigurasjon med GRANT/DENY.
Støtte for brukeridentiteter og tjenestehovednavn (SPN-er)
Fabric støtter opprinnelig godkjenning og autorisasjon for Microsoft Entra-brukere og tjenestehovednavn (SPN) i SQL-tilkoblinger til lager- og SQL-analyseendepunktelementer.
- Brukeridentiteter er den unike legitimasjonen for hver bruker i en organisasjon.
- SPN-er representerer programobjekter i en leier og fungerer som identitet for forekomster av programmer, og tar på seg rollen som godkjenning og godkjenning av disse programmene.
Støtte for tabelldatastrøm (TDS)
Fabric bruker TDS-protokollen (Tabular Data Stream), det samme som SQL Server, når du kobler til en tilkoblingsstreng.
Stoff er kompatibelt med alle programmer eller verktøy som kan koble til et produkt med SQL Database Engine. På samme måte som en SQL Server-forekomsttilkobling, opererer TDS på TCP-port 1433. Hvis du vil ha mer informasjon om Fabric SQL-tilkobling og finne SQL-tilkoblingsstreng, kan du se Tilkobling.
Et eksempel på SQL-tilkoblingsstreng ser slik ut: <guid_unique_your_item>.datawarehouse.fabric.microsoft.com.
Programmer og klientverktøy kan angi tilkoblingsegenskapen Authentication i tilkoblingsstreng for å velge en Microsoft Entra-godkjenningsmodus. Tabellen nedenfor beskriver de ulike Microsoft Entra-godkjenningsmodusene, inkludert støtte for Microsoft Entra-godkjenning med flere faktorer (MFA).
| Godkjenningsmodus | Scenarioer | Kommentarer |
|---|---|---|
| Microsoft Entra Interactive | Benyttes av programmer eller verktøy i situasjoner der brukergodkjenning kan forekomme interaktivt, eller når det er akseptabelt å ha manuell inngripen for legitimasjonskontroll. | Aktiver MFA - og Microsoft Entra-policyer for betinget tilgang for å håndheve organisasjonsregler. |
| Microsoft Entra Service Principal | Brukes av apper for sikker godkjenning uten menneskelig inngripen, som passer best for programintegrering. | Tilrådelig for å aktivere policyer for betinget tilgang for Microsoft Entra. |
| Microsoft Entra-passord | Når programmer ikke kan bruke SPN-basert godkjenning på grunn av inkompatibilitet, eller krever et generisk brukernavn og passord for mange brukere, eller hvis andre metoder er umulige. | MFA må være deaktivert, og ingen policyer for betinget tilgang kan angis. Vi anbefaler at du validerer med kundens sikkerhetsteam før du velger denne løsningen. |
Driverstøtte for Microsoft Entra-godkjenning
Selv om de fleste SQL-driverne i utgangspunktet kom med støtte for Microsoft Entra-godkjenning, har nylige oppdateringer utvidet kompatibiliteten til å inkludere SPN-basert godkjenning. Denne forbedringen forenkler skiftet til Microsoft Entra-godkjenning for ulike programmer og verktøy gjennom driveroppgraderinger og tilføying av støtte for Microsoft Entra-godkjenning.
Noen ganger er det imidlertid nødvendig å justere flere innstillinger som å aktivere bestemte porter eller brannmurer for å forenkle Microsoft Entra-godkjenning på vertsmaskinen.
Programmer og verktøy må oppgradere drivere til versjoner som støtter Microsoft Entra-godkjenning og legge til et nøkkelord for godkjenningsmodus i SQL-tilkoblingsstreng, for eksempel ActiveDirectoryInteractive, ActiveDirectoryServicePrincipaleller ActiveDirectoryPassword.
Fabric er kompatibelt med Microsofts opprinnelige drivere, inkludert OLE DB, Microsoft.Data.SqlClientog generiske drivere som ODBC og JDBC. Overgangen for programmer som skal fungere med Fabric, kan administreres gjennom rekonfigurering for å bruke Microsoft Entra ID-basert godkjenning.
Hvis du vil ha mer informasjon, kan du se Tilkobling til datalagring i Microsoft Fabric.
Microsoft OLE DB
OLE DB-driveren for SQL Server er en frittstående API for datatilgang som er utformet for OLE DB og først utgitt med SQL Server 2005 (9.x). Siden utvidede funksjoner inkluderer SPN-basert godkjenning med versjon 18.5.0, og legger til de eksisterende godkjenningsmetodene fra tidligere versjoner.
| Godkjenningsmodus | SQL tilkoblingsstreng |
|---|---|
| Microsoft Entra Interactive | Interaktiv Microsoft Entra-godkjenning |
| Microsoft Entra Service Principal | Godkjenning av Microsoft Entra-tjenestekontohaver |
| Microsoft Entra-passord | Microsoft Entra brukernavn og passordgodkjenning |
Hvis du vil ha en C#-kodesnutt ved hjelp av OLE DB med SPN-basert godkjenning, kan du se System.Data.OLEDB.Connect.cs.
Microsoft ODBC-driver
Microsoft ODBC-driveren for SQL Server er et enkelt dynamisk koblingsbibliotek (DLL) som inneholder kjøretidsstøtte for programmer som bruker innebygde API-er til å koble til SQL Server. Det anbefales å bruke den nyeste versjonen for programmer for å integrere med Fabric.
Hvis du vil ha mer informasjon om Microsoft Entra-godkjenning med ODBC, kan du se Bruke Microsoft Entra ID med eksempelkoden for ODBC-driveren.
| Godkjenningsmodus | SQL-tilkoblingsstreng |
|---|---|
| Microsoft Entra Interactive | DRIVER={ODBC Driver 18 for SQL Server};SERVER=<SQL Connection String>;DATABASE=<DB Name>;UID=<Client_ID@domain>;PWD=<Secret>;Authentication=ActiveDirectoryInteractive |
| Microsoft Entra Service Principal | DRIVER={ODBC Driver 18 for SQL Server};SERVER=<SQL Connection String>;DATABASE=<DBName>;UID=<Client_ID@domain>;PWD=<Secret>;Authentication=ActiveDirectoryServicePrincipal |
| Microsoft Entra-passord | DRIVER={ODBC Driver 18 for SQL Server};SERVER=<SQL Connection String>;DATABASE=<DBName>;UID=<Client_ID@domain>;PWD=<Secret>;Authentication=ActiveDirectoryPassword |
Hvis du vil ha en python-kodesnutt ved hjelp av ODBC med SPN-basert godkjenning, kan du se pyodbc-dw-connectivity.py.
Microsoft JDBC-driver
Microsoft JDBC-driveren for SQL Server er en Type 4 JDBC-driver som gir databasetilkobling gjennom standard JDBC-programgrensesnitt (API-er) som er tilgjengelige på Java-plattformen.
Fra og med versjon 9.2 introduserer mssql-jdbc du støtte for ActiveDirectoryInteractive og ActiveDirectoryServicePrincipal, med ActiveDirectoryPassword støtte i versjon 12.2 og nyere. Denne driveren krever flere krukker som avhengigheter, som må være kompatible med versjonen av den mssql-driver som brukes i programmet. Hvis du vil ha mer informasjon, kan du se Funksjonsavhengigheter for JDBC-driver og krav til klientoppsett.
| Godkjenningsmodus | Mer informasjon |
|---|---|
| Microsoft Entra Interactive | Koble til ved hjelp av ActiveDirectoryInteractive-godkjenningsmodus |
| Microsoft Entra Service Principal | Koble til ved hjelp av ActiveDirectoryServicePrincipal-godkjenningsmodus |
| Microsoft Entra-passord | Koble til ved hjelp av ActiveDirectoryPassword-godkjenningsmodus |
Hvis du vil ha en javakodesnutt ved hjelp av JDBC med SPN-basert godkjenning, kan du se fabrictoolbox/dw_connect.java og eksempel på pom-fil pom.xml.
Microsoft.Data.SqlClient i .NET Core (C#)
Microsoft.Data.SqlClient er en dataleverandør for Microsoft SQL Server og Azure SQL Database. Det er en sammenslutning av de to System.Data.SqlClient komponentene som lever uavhengig av hverandre i .NET Framework og .NET Core, som gir et sett med klasser for tilgang til Microsoft SQL Server-databaser. Microsoft.Data.SqlClient anbefales for all ny og fremtidig utvikling.
| Godkjenningsmodus | Mer informasjon |
|---|---|
| Microsoft Entra Interactive | Bruke interaktiv godkjenning |
| Microsoft Entra Service Principal | Bruke godkjenning av tjenestekontohaver |
| Microsoft Entra-passord | Bruke passordgodkjenning |
Kodesnutter ved hjelp av SPN-er: