Włączanie uwierzytelniania Microsoft Entra dla środowiska Azure-SSIS integration runtime
DOTYCZY: Azure Data Factory Azure Synapse Analytics (wersja zapoznawcza)
Napiwek
Wypróbuj usługę Data Factory w usłudze Microsoft Fabric — rozwiązanie analityczne typu all-in-one dla przedsiębiorstw. Usługa Microsoft Fabric obejmuje wszystko, od przenoszenia danych do nauki o danych, analizy w czasie rzeczywistym, analizy biznesowej i raportowania. Dowiedz się, jak bezpłatnie rozpocząć nową wersję próbną !
W tym artykule pokazano, jak włączyć uwierzytelnianie firmy Microsoft entra przy użyciu określonej tożsamości zarządzanej przypisanej przez użytkownika/systemu dla usługi Azure Data Factory (ADF) lub usługi Azure Synapse i używać jej zamiast konwencjonalnych metod uwierzytelniania (takich jak uwierzytelnianie SQL) do:
Utwórz środowisko Azure-SSIS Integration Runtime (IR), które z kolei aprowizować bazę danych katalogu usług SSIS (SSISDB) na serwerze usługi Azure SQL Database/wystąpieniu zarządzanym w Twoim imieniu.
Połącz się z różnymi zasobami platformy Azure podczas uruchamiania pakietów usług SSIS w środowisku Azure-SSIS IR.
Aby uzyskać więcej informacji na temat tożsamości zarządzanej dla usługi ADF, zobacz Tożsamość zarządzana dla usług Data Factory i Azure Synapse.
Uwaga
W tym scenariuszu uwierzytelnianie microsoft Entra z określoną tożsamością zarządzaną przypisaną przez użytkownika/systemu dla usługi ADF jest używane tylko w aprowizacji i kolejnych operacjach uruchamiania środowiska Azure-SSIS IR, które z kolei aprowizować i łączyć się z bazą danych SSISDB. W przypadku wykonań pakietów usług SSIS środowisko Azure-SSIS IR będzie nadal łączyć się z bazą danych SSISDB w celu pobrania pakietów przy użyciu uwierzytelniania SQL z w pełni zarządzanymi kontami (AzureIntegrationServiceDbo i AzureIntegrationServiceWorker), które są tworzone podczas aprowizacji bazy danych SSISDB.
Aby użyć funkcji tożsamości zarządzanej przypisanej przez użytkownika menedżera połączeń, menedżer połączeń OLEDB na przykład środowisko SSIS IR musi być aprowizowane przy użyciu tej samej tożsamości zarządzanej przypisanej przez użytkownika używanej w menedżerze połączeń.
Jeśli środowisko Azure-SSIS IR zostało już utworzone przy użyciu uwierzytelniania SQL, nie można ponownie skonfigurować go do korzystania z uwierzytelniania Microsoft Entra za pośrednictwem programu PowerShell w tej chwili, ale możesz to zrobić za pośrednictwem witryny Azure Portal/aplikacji ADF.
Uwaga
Do interakcji z platformą Azure zalecamy używanie modułu Azure Az w programie PowerShell. Zobacz Instalowanie programu Azure PowerShell, aby rozpocząć. Aby dowiedzieć się, jak przeprowadzić migrację do modułu Az PowerShell, zobacz Migracja programu Azure PowerShell z modułu AzureRM do modułu Az.
Włączanie uwierzytelniania entra firmy Microsoft w usłudze Azure SQL Database
Usługa Azure SQL Database obsługuje tworzenie bazy danych z użytkownikiem firmy Microsoft Entra. Najpierw należy utworzyć grupę firmy Microsoft Entra z określoną tożsamością zarządzaną przypisaną przez użytkownika/systemową dla usługi ADF jako członka. Następnie należy ustawić użytkownika usługi Microsoft Entra jako administratora usługi Active Directory dla serwera usługi Azure SQL Database, a następnie połączyć się z nim w programie SQL Server Management Studio (SSMS) przy użyciu tego użytkownika. Na koniec należy utworzyć zawartego użytkownika reprezentującego grupę Firmy Microsoft Entra, więc określona tożsamość zarządzana przypisana przez użytkownika/system dla usługi ADF może być używana przez środowisko Azure-SSIS IR do tworzenia bazy danych SSISDB w Twoim imieniu.
Utwórz grupę firmy Microsoft Entra z określoną tożsamością zarządzaną przypisaną przez użytkownika/systemową dla usługi ADF jako członka
Możesz użyć istniejącej grupy Microsoft Entra lub utworzyć nową przy użyciu programu Azure AD PowerShell.
Zainstaluj moduł Programu PowerShell usługi Azure AD.
Zaloguj się przy użyciu polecenia
Connect-AzureAD
, uruchom następujące polecenie cmdlet, aby utworzyć grupę i zapisać ją w zmiennej:$Group = New-AzureADGroup -DisplayName "SSISIrGroup" ` -MailEnabled $false ` -SecurityEnabled $true ` -MailNickName "NotSet"
Uwaga
Moduły usług Azure AD i MSOnline programu PowerShell są przestarzałe od 30 marca 2024 r. Aby dowiedzieć się więcej, przeczytaj aktualizację o wycofaniu. Po tej dacie obsługa tych modułów jest ograniczona do pomocy dotyczącej migracji do zestawu MICROSOFT Graph PowerShell SDK i poprawek zabezpieczeń. Przestarzałe moduły będą nadal działać do 30 marca 2025 r.
Zalecamy migrację do programu Microsoft Graph PowerShell w celu interakcji z identyfikatorem Entra firmy Microsoft (dawniej Azure AD). W przypadku typowych pytań dotyczących migracji zapoznaj się z często zadawanymi pytaniami dotyczącymi migracji. Uwaga: wersje 1.0.x usługi MSOnline mogą wystąpić zakłócenia po 30 czerwca 2024 r.
Wynik wygląda podobnie do poniższego przykładu, który wyświetla również wartość zmiennej:
$Group ObjectId DisplayName Description -------- ----------- ----------- 6de75f3c-8b2f-4bf4-b9f8-78cc60a18050 SSISIrGroup
Dodaj do grupy określoną tożsamość zarządzaną przypisaną przez użytkownika/systemową dla usługi ADF. Aby uzyskać identyfikator obiektu określonej tożsamości systemowej/przypisanej przez użytkownika tożsamości zarządzanej dla usługi ADF (np. aaaa-0000-1111-2222-bbbbbbbb), możesz postępować zgodnie z artykułem Tożsamość zarządzana usługi Azure Data Factory lub Azure Synapse .
Add-AzureAdGroupMember -ObjectId $Group.ObjectId -RefObjectId aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb
Możesz również sprawdzić członkostwo w grupie później.
Get-AzureAdGroupMember -ObjectId $Group.ObjectId
Konfigurowanie uwierzytelniania usługi Microsoft Entra dla usługi Azure SQL Database
Aby skonfigurować uwierzytelnianie usługi Microsoft Entra dla usługi Azure SQL Database i zarządzać nim, wykonaj następujące kroki:
W witrynie Azure Portal wybierz pozycję Wszystkie usługi —> serwery SQL w obszarze nawigacji po lewej stronie.
Wybierz serwer usługi Azure SQL Database, który ma zostać skonfigurowany przy użyciu uwierzytelniania firmy Microsoft Entra.
W sekcji Ustawienia bloku wybierz pozycję Administrator usługi Active Directory.
Na pasku poleceń wybierz pozycję Ustaw administratora.
Wybierz konto użytkownika Microsoft Entra, które ma zostać administratorem serwera, a następnie wybierz pozycję Wybierz .
Na pasku poleceń wybierz pozycję Zapisz.
Tworzenie zawartego użytkownika w usłudze Azure SQL Database reprezentującego grupę firmy Microsoft Entra
W tym następnym kroku potrzebujesz programu SSMS.
Uruchom program SSMS.
W oknie dialogowym Łączenie z serwerem wprowadź nazwę serwera w polu Nazwa serwera.
W polu Uwierzytelnianie wybierz pozycję Active Directory — uniwersalna z obsługą uwierzytelniania wieloskładnikowego (możesz również użyć dwóch pozostałych typów uwierzytelniania usługi Active Directory, zobacz Konfigurowanie uwierzytelniania usługi Microsoft Entra dla usługi Azure SQL Database i zarządzanie nim).
W polu Nazwa użytkownika wprowadź nazwę konta Microsoft Entra ustawionego jako administrator serwera, np. . testuser@xxxonline.com
Wybierz pozycję Połącz i ukończ proces logowania.
W Eksplorator obiektów rozwiń folder Bazy danych ->Systemowe bazy danych.
Kliknij prawym przyciskiem myszy bazę danych master i wybierz pozycję Nowe zapytanie.
W oknie zapytania wprowadź następujące polecenie języka T-SQL i wybierz pozycję Wykonaj na pasku narzędzi.
CREATE USER [SSISIrGroup] FROM EXTERNAL PROVIDER
Polecenie powinno zakończyć się pomyślnie, tworząc zawartego użytkownika reprezentującego grupę.
Wyczyść okno zapytania, wprowadź następujące polecenie języka T-SQL i wybierz pozycję Wykonaj na pasku narzędzi.
ALTER ROLE dbmanager ADD MEMBER [SSISIrGroup]
Polecenie powinno zakończyć się pomyślnie, udzielając zawartemu użytkownikowi możliwości utworzenia bazy danych (SSISDB).
Jeśli baza danych SSISDB została utworzona przy użyciu uwierzytelniania SQL i chcesz przełączyć się na korzystanie z uwierzytelniania microsoft Entra dla środowiska Azure-SSIS IR w celu uzyskania do niego dostępu, najpierw upewnij się, że powyższe kroki w celu udzielenia uprawnień do bazy danych master zostały zakończone pomyślnie. Następnie kliknij prawym przyciskiem myszy bazę danych SSISDB i wybierz pozycję Nowe zapytanie.
W oknie zapytania wprowadź następujące polecenie języka T-SQL i wybierz pozycję Wykonaj na pasku narzędzi.
CREATE USER [SSISIrGroup] FROM EXTERNAL PROVIDER
Polecenie powinno zakończyć się pomyślnie, tworząc zawartego użytkownika reprezentującego grupę.
Wyczyść okno zapytania, wprowadź następujące polecenie języka T-SQL i wybierz pozycję Wykonaj na pasku narzędzi.
ALTER ROLE db_owner ADD MEMBER [SSISIrGroup]
Polecenie powinno zakończyć się pomyślnie, udzielając zawartemu użytkownikowi możliwości uzyskiwania dostępu do bazy danych SSISDB.
Włączanie uwierzytelniania entra firmy Microsoft w usłudze Azure SQL Managed Instance
Usługa Azure SQL Managed Instance obsługuje tworzenie bazy danych z określoną tożsamością zarządzaną przypisaną przez użytkownika/systemu bezpośrednio dla usługi ADF. Nie musisz dołączać określonej tożsamości zarządzanej przypisanej przez użytkownika/systemu dla usługi ADF do grupy firmy Microsoft Entra ani nie utworzyć zawartego użytkownika reprezentującego grupę w usłudze Azure SQL Managed Instance.
Konfigurowanie uwierzytelniania entra firmy Microsoft dla usługi Azure SQL Managed Instance
Wykonaj kroki opisane w artykule Provision a Microsoft Entra administrator for Azure SQL Managed Instance (Aprowizuj administratora usługi Microsoft Entra dla usługi Azure SQL Managed Instance).
Dodawanie określonej tożsamości zarządzanej przypisanej przez użytkownika/systemu dla usługi ADF lub Usługi Azure Synapse jako użytkownika w usłudze Azure SQL Managed Instance
W tym następnym kroku potrzebujesz programu SSMS.
Uruchom program SSMS.
Połącz się z usługą Azure SQL Managed Instance przy użyciu konta programu SQL Server, które jest administratorem systemu. Jest to tymczasowe ograniczenie, które zostanie usunięte, gdy obsługa podmiotów zabezpieczeń serwera Firmy Microsoft Entra (identyfikatorów logowania) w usłudze Azure SQL Managed Instance stanie się ogólnie dostępna. Jeśli spróbujesz użyć konta administratora firmy Microsoft Entra do utworzenia identyfikatora logowania, zostanie wyświetlony następujący błąd: Msg 15247, Poziom 16, Stan 1, Wiersz 1 Użytkownik nie ma uprawnień do wykonania tej akcji.
W Eksplorator obiektów rozwiń folder Bazy danych ->Systemowe bazy danych.
Kliknij prawym przyciskiem myszy bazę danych master i wybierz pozycję Nowe zapytanie.
W oknie zapytania wykonaj następujący skrypt języka T-SQL, aby dodać określoną tożsamość zarządzaną przypisaną przez użytkownika/system dla usługi ADF jako użytkownika.
CREATE LOGIN [{your managed identity name}] FROM EXTERNAL PROVIDER ALTER SERVER ROLE [dbcreator] ADD MEMBER [{your managed identity name}] ALTER SERVER ROLE [securityadmin] ADD MEMBER [{your managed identity name}]
Jeśli używasz tożsamości zarządzanej przez system dla usługi ADF, nazwa tożsamości zarządzanej powinna być nazwą usługi ADF. Jeśli używasz tożsamości zarządzanej przypisanej przez użytkownika dla usługi ADF, nazwa tożsamości zarządzanej powinna być określoną nazwą tożsamości zarządzanej przypisanej przez użytkownika.
Polecenie powinno zakończyć się pomyślnie, udzielając tożsamości zarządzanej przypisanej przez użytkownika/systemu dla usługi ADF możliwość utworzenia bazy danych (SSISDB).
Jeśli baza danych SSISDB została utworzona przy użyciu uwierzytelniania SQL i chcesz przełączyć się na korzystanie z uwierzytelniania microsoft Entra dla środowiska Azure-SSIS IR w celu uzyskania do niego dostępu, najpierw upewnij się, że powyższe kroki w celu udzielenia uprawnień do bazy danych master zostały zakończone pomyślnie. Następnie kliknij prawym przyciskiem myszy bazę danych SSISDB i wybierz pozycję Nowe zapytanie.
W oknie zapytania wprowadź następujące polecenie języka T-SQL i wybierz pozycję Wykonaj na pasku narzędzi.
CREATE USER [{your managed identity name}] FOR LOGIN [{your managed identity name}] WITH DEFAULT_SCHEMA = dbo ALTER ROLE db_owner ADD MEMBER [{your managed identity name}]
Polecenie powinno zakończyć się pomyślnie, udzielając tożsamości zarządzanej przypisanej przez użytkownika/systemu dla usługi ADF, aby uzyskać dostęp do bazy danych SSISDB.
Aprowizuj środowisko Azure-SSIS IR w witrynie Azure Portal/aplikacji usługi ADF
Podczas aprowizowania środowiska Azure-SSIS IR w witrynie Azure Portal/aplikacji usługi ADF na stronie Ustawienia wdrożenia wybierz opcję Utwórz katalog usług SSIS (SSISDB) hostowany przez serwer/wystąpienie zarządzane usługi Azure SQL Database do przechowywania projektów/pakietów/środowisk/dzienników wykonywania i zaznacz pole wyboru Użyj uwierzytelniania firmy Microsoft entra z tożsamością zarządzaną systemu dla usługi Data Factory lub Użyj uwierzytelniania firmy Microsoft Entra z przypisaną przez użytkownika tożsamością zarządzaną dla usługi Data Factory zaznacz pole wyboru, aby wybrać metodę uwierzytelniania Entra firmy Microsoft dla środowiska Azure-SSIS IR w celu uzyskania dostępu do serwera bazy danych hostujących bazę danych SSISDB.
Aby uzyskać więcej informacji, zobacz Tworzenie środowiska Azure-SSIS IR w usłudze ADF.
Aprowizuj środowisko Azure-SSIS IR przy użyciu programu PowerShell
Aby aprowizować środowisko Azure-SSIS IR przy użyciu programu PowerShell, wykonaj następujące czynności:
Zainstaluj moduł Azure PowerShell .
W skrycie nie ustawiaj
CatalogAdminCredential
parametru. Na przykład:Set-AzDataFactoryV2IntegrationRuntime -ResourceGroupName $ResourceGroupName ` -DataFactoryName $DataFactoryName ` -Name $AzureSSISName ` -Description $AzureSSISDescription ` -Type Managed ` -Location $AzureSSISLocation ` -NodeSize $AzureSSISNodeSize ` -NodeCount $AzureSSISNodeNumber ` -Edition $AzureSSISEdition ` -MaxParallelExecutionsPerNode $AzureSSISMaxParallelExecutionsPerNode ` -CatalogServerEndpoint $SSISDBServerEndpoint ` -CatalogPricingTier $SSISDBPricingTier Start-AzDataFactoryV2IntegrationRuntime -ResourceGroupName $ResourceGroupName ` -DataFactoryName $DataFactoryName ` -Name $AzureSSISName
Uruchamianie pakietów SSIS przy użyciu uwierzytelniania firmy Microsoft Entra z określoną tożsamością zarządzaną przypisaną przez użytkownika/systemową dla usługi ADF
Po uruchomieniu pakietów usług SSIS w środowisku Azure-SSIS IR można użyć uwierzytelniania firmy Microsoft Entra z określoną tożsamością zarządzaną przypisaną przez system/użytkownika dla usługi ADF w celu nawiązania połączenia z różnymi zasobami platformy Azure. Obecnie obsługujemy uwierzytelnianie firmy Microsoft Entra przy użyciu określonej tożsamości zarządzanej przypisanej przez użytkownika/systemu dla usługi ADF w następujących menedżerach połączeń.