Escolher um método de autenticação nos pools de SQL sem servidor do Azure Synapse
A autenticação do pool de SQL sem servidor refere-se a como os usuários comprovam a identidade ao conectarem-se ao ponto de extremidade. Os tipos de autenticação abaixo são compatíveis:
Autenticação do SQL
Este método de autenticação usa um nome de usuário e senha.
autenticação do Microsoft Entra
Esse método de autenticação usa identidades gerenciadas pelo Microsoft Entra ID. A autenticação multifator pode ser habilitada para os usuários do Microsoft Entra. Usar autenticação do Active Directory (segurança integrada) sempre que possível.
Autorização
Autorização refere-se ao que um usuário pode fazer em um banco de dados do pool de SQL sem servidor e ela é controlada pelas associações a uma função de banco de dados e pelas permissões no nível de objeto da conta de usuário.
Se a autenticação do SQL for usada, o usuário do SQL existirá somente no pool de SQL sem servidor e o escopo das permissões será delimitado aos objetos no pool de SQL sem servidor. O acesso a objetos protegíveis em outros serviços (como o Armazenamento do Azure) não pode ser permitido diretamente a um usuário do SQL, pois ele só existe no escopo do pool de SQL sem servidor. O usuário do SQL precisa obter autorização para acessar os arquivos na conta de armazenamento.
Se a autenticação do Microsoft Entra for usada, um usuário poderá entrar em um pool de SQL sem servidor e em outros serviços, como o Armazenamento do Azure, e poderá conceder permissões ao usuário do Microsoft Entra.
Acesso às contas de armazenamento
Um usuário que fez logon no serviço de pool de SQL sem servidor precisa estar autorizado a acessar e consultar os arquivos no Armazenamento do Azure. O pool de SQL sem servidor dá suporte aos seguintes tipos de autorização:
Acesso anônimo
Para acessar os arquivos publicamente disponíveis colocados em contas do Armazenamento do Azure que permitem acesso anônimo.
Assinatura de acesso compartilhado (SAS)
Fornece acesso delegado aos recursos em uma conta de armazenamento. Com uma SAS, você pode conceder aos clientes acesso aos recursos na conta de armazenamento, sem compartilhar as chaves de conta. Uma SAS oferece controle granular sobre o tipo de acesso que você concede aos clientes que têm uma SAS: intervalo de validade, permissões concedidas, intervalo de endereços IP aceitáveis e protocolo aceitável (HTTPS/HTTP).
Identidade gerenciada.
É um recurso do Microsoft Entra ID que fornece serviços do Azure para o pool de SQL sem servidor. Além disso, ele implanta uma identidade gerenciada automaticamente no Microsoft Entra ID. Essa identidade pode ser usada para autorizar a solicitação de acesso a dados no Armazenamento do Azure. Antes de acessar os dados, o administrador do Armazenamento do Azure deve conceder permissões para a Identidade Gerenciada a fim de acessar os dados. A concessão de permissões para a Identidade Gerenciada é feita da mesma forma que a concessão de permissões a qualquer outro usuário do Microsoft Entra.
Identidade do Usuário
Também conhecido como "passagem", é um tipo de autorização em que a identidade do usuário do Microsoft Entra que se conectou ao pool de SQL sem servidor é usada para autorizar o acesso aos dados. Antes de acessar os dados, o administrador do Armazenamento do Azure deve conceder permissões ao usuário do Microsoft Entra para acessar os dados. Esse tipo de autorização usa o usuário do Microsoft Entra que fez logon no pool de SQL sem servidor, portanto, não há suporte para tipos de usuário SQL.
Tipos de autorização compatíveis com os usuários de bancos de dados podem ser encontrados na tabela abaixo:
| Tipo de autorização | Usuário do SQL | Usuário do Microsoft Entra |
|---|---|---|
| Identidade do Usuário | Sem suporte | Com suporte |
| SAS | Com suporte | Com suporte |
| Identidade Gerenciada | Sem suporte | Com suporte |
Os tipos de autorização e de armazenamento compatíveis podem ser encontrados na seguinte tabela:
| Tipo de autorização | Armazenamento de Blobs | ADLS Gen1 | ADLS Gen2 |
|---|---|---|---|
| Identidade do Usuário | Com suporte – O token SAS pode ser usado para acessar um armazenamento que não está protegido pelo firewall | Sem suporte | Com suporte – O token SAS pode ser usado para acessar um armazenamento que não está protegido pelo firewall |
| SAS | Com suporte | Compatível | Com suporte |
| Identidade Gerenciada | Com suporte | Compatível | Com suporte |