Wybieranie metody uwierzytelniania w bezserwerowych pulach SQL usługi Azure Synapse
Uwierzytelnianie bezserwerowej puli SQL odnosi się do sposobu, w jaki użytkownicy udowadniają swoją tożsamość podczas nawiązywania połączenia z punktem końcowym. Obsługiwane są dwa typy uwierzytelniania:
Uwierzytelnianie SQL
Ta metoda uwierzytelniania używa nazwy użytkownika i hasła.
Uwierzytelnianie Microsoft Entra
Ta metoda uwierzytelniania używa tożsamości zarządzanych przez identyfikator entra firmy Microsoft. W przypadku użytkowników firmy Microsoft Entra można włączyć uwierzytelnianie wieloskładnikowe. Używaj uwierzytelniania usługi Active Directory (zabezpieczeń zintegrowanych), gdy tylko jest to możliwe.
Autoryzacja
Autoryzacja odnosi się do tego, co użytkownik może zrobić w bezserwerowej bazie danych puli SQL i jest kontrolowany przez członkostwo w roli bazy danych konta użytkownika i uprawnienia na poziomie obiektu.
Jeśli jest używane uwierzytelnianie SQL, użytkownik SQL istnieje tylko w bezserwerowej puli SQL i uprawnienia są ograniczone do obiektów w bezserwerowej puli SQL. Nie można udzielić dostępu do zabezpieczanych obiektów w innych usługach (takich jak Azure Storage) bezpośrednio dla użytkownika SQL, ponieważ istnieje on tylko w zakresie bezserwerowej puli SQL. Użytkownik SQL musi uzyskać autoryzację dostępu do plików na koncie magazynu.
Jeśli jest używane uwierzytelnianie microsoft Entra, użytkownik może zalogować się do bezserwerowej puli SQL i innych usług, takich jak Azure Storage, i może udzielić uprawnień użytkownikowi Microsoft Entra.
Dostęp do kont magazynu
Użytkownik zalogowany do bezserwerowej usługi puli SQL musi mieć uprawnienia dostępu do plików i wykonywania zapytań względem plików w usłudze Azure Storage. Bezserwerowa pula SQL obsługuje następujące typy autoryzacji:
Dostęp anonimowy
Aby uzyskać dostęp do publicznie dostępnych plików umieszczonych na kontach usługi Azure Storage, które zezwalają na dostęp anonimowy.
Sygnatura dostępu współdzielonego (SAS)
Zapewnia delegowany dostęp do zasobów na koncie magazynu. Za pomocą sygnatury dostępu współdzielonego można udzielić klientom dostępu do zasobów na koncie magazynu bez udostępniania kluczy konta. Sygnatura dostępu współdzielonego zapewnia szczegółową kontrolę nad typem dostępu udzielanego klientom, którzy mają sygnaturę dostępu współdzielonego: interwał ważności, przyznane uprawnienia, akceptowalny zakres adresów IP, akceptowalny protokół (https/http).
Tożsamość zarządzana.
Jest funkcją identyfikatora Entra firmy Microsoft, która udostępnia usługi platformy Azure dla bezserwerowej puli SQL. Ponadto wdraża automatycznie zarządzaną tożsamość w usłudze Microsoft Entra ID. Ta tożsamość może służyć do autoryzowania żądania dostępu do danych w usłudze Azure Storage. Przed uzyskaniem dostępu do danych administrator usługi Azure Storage musi udzielić uprawnień do tożsamości zarządzanej, aby można było uzyskać dostęp do danych. Udzielanie uprawnień do tożsamości zarządzanej odbywa się w taki sam sposób, jak udzielanie uprawnień dowolnemu innemu użytkownikowi usługi Microsoft Entra.
Tożsamość użytkownika
Znany również jako "przekazywanie" to typ autoryzacji, w którym tożsamość użytkownika Microsoft Entra, który zalogował się do bezserwerowej puli SQL, jest używany do autoryzowania dostępu do danych. Przed uzyskaniem dostępu do danych administrator usługi Azure Storage musi przyznać użytkownikowi usługi Microsoft Entra uprawnienia dostępu do danych. Ten typ autoryzacji używa użytkownika Microsoft Entra, który zalogował się do bezserwerowej puli SQL, dlatego nie jest obsługiwany dla typów użytkowników SQL.
Obsługiwane typy autoryzacji dla użytkowników bazy danych można znaleźć w poniższej tabeli:
| Typ autoryzacji | Użytkownik SQL | Użytkownik firmy Microsoft Entra |
|---|---|---|
| Tożsamość użytkownika | Nieobsługiwane | Obsługiwane |
| SAS | Obsługiwane | Obsługiwane |
| Tożsamość zarządzana | Nieobsługiwane | Obsługiwane |
Obsługiwane typy magazynu i autoryzacji można znaleźć w poniższej tabeli:
| Typ autoryzacji | Blob Storage | ADLS Gen1 | ADLS Gen2 |
|---|---|---|---|
| Tożsamość użytkownika | Obsługiwane — token SAS może służyć do uzyskiwania dostępu do magazynu, który nie jest chroniony za pomocą zapory | Nieobsługiwane | Obsługiwane — token SAS może służyć do uzyskiwania dostępu do magazynu, który nie jest chroniony za pomocą zapory |
| SAS | Obsługiwane | Obsługiwane | Obsługiwane |
| Tożsamość zarządzana | Obsługiwane | Obsługiwane | Obsługiwane |