Microsoft Entra-verificatie als alternatief voor SQL-verificatie
Van toepassing op:✅ SQL Analytics-eindpunt en -magazijn in Microsoft Fabric
Dit artikel bevat technische methoden die gebruikers en klanten kunnen gebruiken om over te stappen van SQL-verificatie naar Microsoft Entra-verificatie in Microsoft Fabric. Microsoft Entra-verificatie is een alternatief voor gebruikersnamen en wachtwoorden via SQL-verificatie voor aanmelding bij het SQL-analyse-eindpunt van lakehouse of het warehouse in Microsoft Fabric. Microsoft Entra-verificatie is raadzaam en essentieel voor het maken van een beveiligd gegevensplatform.
Dit artikel is gericht op Microsoft Entra-verificatie als alternatief voor SQL-verificatie in Microsoft Fabric-items zoals een warehouse- of Lakehouse SQL-analyse-eindpunt.
Voordelen van Microsoft Entra-verificatie in Fabric
Een van de kernprincipes van Microsoft Fabric is standaard veilig. Microsoft Entra is een integraal onderdeel van de beveiliging van Microsoft Fabric door sterke gegevensbescherming, governance en naleving te garanderen.
Microsoft Entra speelt om verschillende redenen een cruciale rol in de beveiliging van Microsoft Fabric:
- Verificatie: verifieer gebruikers en service-principals met behulp van Microsoft Entra ID, waarmee toegangstokens worden verleend voor bewerkingen in Fabric.
- Veilige toegang: maak veilig verbinding met cloud-apps vanaf elk apparaat of netwerk, waardoor aanvragen voor Fabric worden beveiligd.
- Voorwaardelijke toegang: beheerders kunnen beleidsregels instellen waarmee gebruikersaanmeldingscontext wordt beoordeeld, toegang wordt beheerd of extra verificatiestappen worden afgedwongen.
- Integratie: Microsoft Entra ID werkt naadloos samen met alle Microsoft SaaS-aanbiedingen, waaronder Fabric, zodat u eenvoudig toegang hebt tot alle apparaten en netwerken.
- Breed platform: krijg toegang tot Microsoft Fabric met Microsoft Entra-id via een methode, of dit nu via de Fabric-portal, SQL verbindingsreeks, REST API of XMLA-eindpunt is.
Microsoft Entra hanteert een volledig Zero Trust-beleid, dat een beter alternatief biedt voor traditionele SQL-verificatie, beperkt tot gebruikersnamen en wachtwoorden. Deze methode:
- Voorkomt gebruikersimitatie.
- Hiermee kunt u nauwkeurig toegangsbeheer inschakelen, rekening houdend met gebruikersidentiteit, omgeving, apparaten, enzovoort.
- Biedt ondersteuning voor geavanceerde beveiliging, zoals Meervoudige Verificatie van Microsoft Entra.
Infrastructuurconfiguratie
Microsoft Entra-verificatie voor gebruik met een warehouse- of Lakehouse SQL-analyse-eindpunt vereist configuratie in zowel tenant- als werkruimte-instellingen.
Tenantinstelling
Een Fabric-beheerder in uw tenant moet toegang tot fabric-API's (Service Principal Names) toestaan, die nodig zijn om de SPN te laten interfacen voor SQL-verbindingsreeks s naar fabricwarehouse- of SQL-analyse-eindpuntitems.
Deze instelling bevindt zich in de sectie Ontwikkelaarsinstellingen en is voorzien van service-principals met het label Fabric-API's. Zorg ervoor dat deze is ingeschakeld.
Werkruimte-instelling
Een Fabric-beheerder in uw werkruimte moet toegang verlenen aan een gebruiker of SPN voor toegang tot Fabric-items.
Er zijn twee manieren waarop een gebruiker/SPN toegang kan krijgen:
Een gebruiker/SPN-lidmaatschap verlenen aan een rol: elke werkruimterol (beheerder, lid, inzender of viewer) is voldoende om verbinding te maken met magazijn- of lakehouse-items met een SQL-verbindingsreeks.
- Wijs in de optie Toegang beheren in de werkruimte de rol Inzender toe. Zie Servicerollen voor meer informatie.
Wijs een gebruiker/SPN toe aan een specifiek item: Verwijs toegang tot een specifiek warehouse- of SQL-analyse-eindpunt van een Lakehouse. Een Fabric-beheerder kan kiezen uit verschillende machtigingsniveaus.
- Navigeer naar het relevante eindpuntitem Warehouse of SQL Analytics.
- Selecteer Meer opties en vervolgens Machtigingen beheren. Selecteer Gebruiker toevoegen.
- Voeg de gebruiker/SPN toe op de pagina Personen toegang verlenen .
- Wijs de benodigde machtigingen toe aan een gebruiker/SPN. Kies geen aanvullende machtigingen om alleen verbindingsmachtigingen te verlenen.
U kunt de standaardmachtigingen die door het systeem worden gegeven aan de gebruiker of SPN wijzigen. Gebruik de opdrachten T-SQL GRANT en DENY om de machtigingen naar behoefte te wijzigen of ALTER ROLE om lidmaatschap toe te voegen aan rollen.
Op dit moment hebben SPN's niet de mogelijkheid als gebruikersaccounts voor gedetailleerde machtigingsconfiguratie met GRANT/DENY.
Ondersteuning voor gebruikersidentiteiten en service-principalnamen (SPN's)
Fabric biedt systeemeigen ondersteuning voor verificatie en autorisatie voor Microsoft Entra-gebruikers en SPN-namen (Service Principal Names) in SQL-verbindingen met eindpuntitems voor magazijn- en SQL-analyse.
- Gebruikersidentiteiten zijn de unieke referenties voor elke gebruiker binnen een organisatie.
- SPN's vertegenwoordigen toepassingsobjecten binnen een tenant en fungeren als de identiteit voor exemplaren van toepassingen, waarbij de rol van verificatie en autorisatie van deze toepassingen wordt toegepast.
Ondersteuning voor gegevensstroom in tabelvorm (TDS)
Fabric maakt gebruik van het TDS-protocol (Tabular Data Stream), hetzelfde als SQL Server wanneer u verbinding maakt met een verbindingsreeks.
Fabric is compatibel met elke toepassing of elk hulpprogramma dat verbinding kan maken met een product met de SQL Database Engine. Net als bij een SQL Server-exemplaarverbinding werkt TDS op TCP-poort 1433. Zie Connectiviteit voor meer informatie over Fabric SQL-connectiviteit en het vinden van de SQL-verbindingsreeks.
Een voorbeeld-SQL-verbindingsreeks ziet er als volgt uit: <guid_unique_your_item>.datawarehouse.fabric.microsoft.com.
Toepassingen en clienthulpprogramma's kunnen de Authentication verbindingseigenschap instellen in de verbindingsreeks om een Microsoft Entra-verificatiemodus te kiezen. De volgende tabel bevat de verschillende Microsoft Entra-verificatiemodi, waaronder ondersteuning voor Meervoudige Verificatie (MFA) van Microsoft Entra.
| Verificatiemodus | Scenario's | Opmerkingen |
|---|---|---|
| Microsoft Entra Interactive | Wordt gebruikt door toepassingen of hulpprogramma's in situaties waarin gebruikersverificatie interactief kan plaatsvinden of wanneer het acceptabel is om handmatige tussenkomst te hebben voor verificatie van referenties. | Activeer MFA - en Microsoft Entra-beleid voor voorwaardelijke toegang om organisatieregels af te dwingen. |
| Microsoft Entra-service-principal | Wordt gebruikt door apps voor veilige verificatie zonder menselijke tussenkomst, die het meest geschikt is voor toepassingsintegratie. | Aanbevolen om beleid voor voorwaardelijke toegang van Microsoft Entra in te schakelen. |
| Wachtwoord voor Microsoft Entra | Wanneer toepassingen geen op SPN gebaseerde verificatie kunnen gebruiken vanwege incompatibiliteit, of een algemene gebruikersnaam en wachtwoord vereisen voor veel gebruikers, of als andere methoden niet haalbaar zijn. | MFA moet zijn uitgeschakeld en er kan geen beleid voor voorwaardelijke toegang worden ingesteld. We raden u aan om te valideren met het beveiligingsteam van de klant voordat u voor deze oplossing gaat kiezen. |
Stuurprogrammaondersteuning voor Microsoft Entra-verificatie
Hoewel de meeste SQL-stuurprogramma's in eerste instantie ondersteuning bieden voor Microsoft Entra-verificatie, hebben recente updates uitgebreidere compatibiliteit met op SPN gebaseerde verificatie. Deze verbetering vereenvoudigt de overstap naar Microsoft Entra-verificatie voor verschillende toepassingen en hulpprogramma's via stuurprogramma-upgrades en het toevoegen van ondersteuning voor Microsoft Entra-verificatie.
Soms is het echter nodig om aanvullende instellingen aan te passen, zoals het inschakelen van bepaalde poorten of firewalls om Microsoft Entra-verificatie op de hostcomputer te vergemakkelijken.
Toepassingen en hulpprogramma's moeten stuurprogramma's upgraden naar versies die Ondersteuning bieden voor Microsoft Entra-verificatie en een trefwoord voor de verificatiemodus toevoegen in hun SQL-verbindingsreeks, zoals ActiveDirectoryInteractive, ActiveDirectoryServicePrincipalof ActiveDirectoryPassword.
Fabric is compatibel met de systeemeigen stuurprogramma's van Microsoft, waaronder OLE DB, Microsoft.Data.SqlClienten algemene stuurprogramma's zoals ODBC en JDBC. De overgang voor toepassingen om met Fabric te werken, kan worden beheerd via herconfiguratie om verificatie op basis van Microsoft Entra ID te gebruiken.
Zie Connectiviteit met datawarehousing in Microsoft Fabric voor meer informatie.
Microsoft OLE DB
Het OLE DB-stuurprogramma voor SQL Server is een zelfstandige API voor gegevenstoegang die is ontworpen voor OLE DB en voor het eerst is uitgebracht met SQL Server 2005 (9.x). Omdat uitgebreide functies verificatie op basis van SPN met versie 18.5.0 omvatten, die worden toegevoegd aan de bestaande verificatiemethoden uit eerdere versies.
| Verificatiemodus | SQL-verbindingsreeks |
|---|---|
| Microsoft Entra Interactive | Interactieve Verificatie van Microsoft Entra |
| Microsoft Entra-service-principal | Verificatie van Microsoft Entra-service-principal |
| Wachtwoord voor Microsoft Entra | Gebruikersnaam en wachtwoordverificatie van Microsoft Entra |
Zie System.Data.OLEDB.Connect.cs voor een C#-codefragment met BEHULP van OLE DB met verificatie op basis van SPN.
Microsoft ODBC-stuurprogramma
Het Microsoft ODBC-stuurprogramma voor SQL Server is één DLL (Dynamic Link Library) met runtime-ondersteuning voor toepassingen die systeemeigen-code-API's gebruiken om verbinding te maken met SQL Server. Het wordt aanbevolen om de meest recente versie te gebruiken voor toepassingen om te integreren met Fabric.
Zie Microsoft Entra-id gebruiken met de voorbeeldcode van het ODBC-stuurprogramma voor meer informatie over Microsoft Entra-verificatie met ODBC.
| Verificatiemodus | SQL-verbindingsreeks |
|---|---|
| Microsoft Entra Interactive | DRIVER={ODBC Driver 18 for SQL Server};SERVER=<SQL Connection String>;DATABASE=<DB Name>;UID=<Client_ID@domain>;PWD=<Secret>;Authentication=ActiveDirectoryInteractive |
| Microsoft Entra-service-principal | DRIVER={ODBC Driver 18 for SQL Server};SERVER=<SQL Connection String>;DATABASE=<DBName>;UID=<Client_ID@domain>;PWD=<Secret>;Authentication=ActiveDirectoryServicePrincipal |
| Wachtwoord voor Microsoft Entra | DRIVER={ODBC Driver 18 for SQL Server};SERVER=<SQL Connection String>;DATABASE=<DBName>;UID=<Client_ID@domain>;PWD=<Secret>;Authentication=ActiveDirectoryPassword |
Zie pyodbc-dw-connectivity.py voor een Python-codefragment met behulp van ODBC met verificatie op basis van SPN.
Microsoft JDBC-stuurprogramma
Het Microsoft JDBC-stuurprogramma voor SQL Server is een Type 4 JDBC-stuurprogramma dat databaseconnectiviteit biedt via de standaardinterfaces voor JDBC-toepassingsprogramma's (API's) die beschikbaar zijn op het Java-platform.
Vanaf versie 9.2 mssql-jdbc introduceert u ondersteuning voor ActiveDirectoryInteractive en ActiveDirectoryServicePrincipal, met ActiveDirectoryPassword ondersteuning in versie 12.2 en hoger. Dit stuurprogramma vereist extra JAR's als afhankelijkheden, die compatibel moeten zijn met de versie van de mssql-driver versie die in uw toepassing wordt gebruikt. Zie Functieafhankelijkheden van JDBC-stuurprogramma en clientinstallatievereiste voor meer informatie.
| Verificatiemodus | Meer informatie |
|---|---|
| Microsoft Entra Interactive | Verbinding maken met de activeDirectoryInteractive-verificatiemodus |
| Microsoft Entra-service-principal | Verbinding maken met de modus ActiveDirectoryServicePrincipal-verificatie |
| Wachtwoord voor Microsoft Entra | Verbinding maken met de verificatiemodus ActiveDirectoryPassword |
Zie fabrictoolbox/dw_connect.java en voorbeeld pom-bestand pom.xml voor een java-codefragment met behulp van JDBC met verificatie op basis van SPN.
Microsoft.Data.SqlClient in .NET Core (C#)
Microsoft.Data.SqlClient is een gegevensprovider voor Microsoft SQL Server en Azure SQL Database. Het is een samenvoeging van de twee System.Data.SqlClient onderdelen die onafhankelijk van elkaar in .NET Framework en .NET Core leven, wat een set klassen biedt voor toegang tot Microsoft SQL Server-databases. Microsoft.Data.SqlClient wordt aanbevolen voor alle nieuwe en toekomstige ontwikkeling.
| Verificatiemodus | Meer informatie |
|---|---|
| Microsoft Entra Interactive | Interactieve verificatie gebruiken |
| Microsoft Entra-service-principal | Verificatie van service-principal gebruiken |
| Wachtwoord voor Microsoft Entra | Wachtwoordverificatie gebruiken |
Codefragmenten met SPN's: