Escolha um método de autenticação nos pools SQL sem servidor do Azure Synapse
A autenticação de pool SQL sem servidor refere-se a como os usuários provam sua identidade ao se conectar ao ponto de extremidade. Há suporte para dois tipos de autenticação:
Autenticação do SQL
Este método de autenticação utiliza um nome de utilizador e uma palavra-passe.
Autenticação do Microsoft Entra
Esse método de autenticação usa identidades gerenciadas pelo Microsoft Entra ID. Para usuários do Microsoft Entra, a autenticação multifator pode ser habilitada. Utilize a autenticação do Active Directory (segurança integrada) sempre que possível.
Autorização
A autorização refere-se ao que um usuário pode fazer em um banco de dados de pool SQL sem servidor e é controlada pelas associações de função de banco de dados e permissões de nível de objeto da sua conta de usuário.
Se a Autenticação SQL for usada, o usuário SQL existirá somente no pool SQL sem servidor e as permissões terão como escopo os objetos no pool SQL sem servidor. O acesso a objetos protegíveis em outros serviços (como o Armazenamento do Azure) não pode ser concedido diretamente a um usuário SQL, pois ele só existe no escopo do pool SQL sem servidor. O usuário SQL precisa obter autorização para acessar os arquivos na conta de armazenamento.
Se a autenticação do Microsoft Entra for usada, um usuário poderá entrar em um pool SQL sem servidor e em outros serviços, como o Armazenamento do Azure, e poderá conceder permissões ao usuário do Microsoft Entra.
Acesso a contas de armazenamento
Um usuário conectado ao serviço de pool SQL sem servidor deve ser autorizado a acessar e consultar os arquivos no Armazenamento do Azure. O pool SQL sem servidor oferece suporte aos seguintes tipos de autorização:
Acesso anónimo
Para aceder a ficheiros publicamente disponíveis colocados em contas de armazenamento do Azure que permitem acesso anónimo.
Assinatura de acesso partilhado (SAS)
Fornece acesso delegado a recursos na conta de armazenamento. Com uma SAS, você pode conceder aos clientes acesso a recursos na conta de armazenamento, sem compartilhar chaves de conta. Uma SAS oferece controle granular sobre o tipo de acesso concedido aos clientes que têm a SAS: intervalo de validade, permissões concedidas, intervalo de endereços IP aceitável, protocolo aceitável (https/http).
Identidade gerenciada.
É um recurso do Microsoft Entra ID que fornece serviços do Azure para pool SQL sem servidor. Além disso, ele implanta uma identidade gerenciada automaticamente no Microsoft Entra ID. Essa identidade pode ser usada para autorizar a solicitação de acesso a dados no Armazenamento do Azure. Antes de aceder aos dados, o administrador do Armazenamento do Microsoft Azure tem de conceder permissões à Identidade Gerida para aceder aos dados. A concessão de permissões à Identidade Gerida é feita da mesma forma que a concessão de permissões a qualquer outro utilizador do Microsoft Entra.
Identidade do Utilizador
Também conhecido como "pass-through", é um tipo de autorização em que a identidade do usuário do Microsoft Entra que fez login no pool SQL sem servidor é usada para autorizar o acesso aos dados. Antes de acessar os dados, o administrador do Armazenamento do Azure deve conceder permissões ao usuário do Microsoft Entra para acessar os dados. Esse tipo de autorização usa o usuário do Microsoft Entra que fez login no pool SQL sem servidor, portanto, não é suportado para tipos de usuário SQL.
Os tipos de autorização suportados para usuários de banco de dados podem ser encontrados na tabela abaixo:
| Tipo de autorização | Utilizador de SQL | Usuário do Microsoft Entra |
|---|---|---|
| Identidade do Utilizador | Não suportado | Suportado |
| SAS | Suportado | Suportado |
| Identidade Gerida | Não suportado | Suportado |
Os tipos de armazenamento e autorização suportados podem ser encontrados na tabela abaixo:
| Tipo de autorização | Armazenamento de Blobs | ADLS Gen1 | ADLS Gen2 |
|---|---|---|---|
| Identidade do Utilizador | Suportado - O token SAS pode ser usado para acessar o armazenamento que não está protegido com firewall | Não suportado | Suportado - O token SAS pode ser usado para acessar o armazenamento que não está protegido com firewall |
| SAS | Suportado | Suportado | Suportado |
| Identidade Gerida | Suportado | Suportado | Suportado |