Поделиться через

Практическое руководство. Создание сущности учетных данных

  • Статья

Внимание

Начиная с 20 сентября 2023 г. вы не сможете создавать новые ресурсы помощника по метрикам. Служба помощника по метрикам отменяется 1 октября 2026 года.

При подключении веб-канала данных следует выбрать тип проверки подлинности. Некоторым типам проверки подлинности, таким как строка подключения Azure SQL и субъект-служба, требуется сущность учетных данных для хранения сведений, связанных с учетными данными, чтобы обеспечить их безопасность. В этой статье рассказывается, как создать сущность учетных данных для различных типов учетных данных в Помощнике по метрикам.

Базовая процедура: создание сущности учетных данных

Можно создать сущность учетных данных для хранения информации, связанной с учетными данными, и использовать ее для проверки подлинности в источниках данных. Сущностью учетных данных можно поделиться с другими пользователями и разрешить им подключаться к источникам данных без предоставления реальных учетных данных. Ее можно создать на вкладке "Добавление веб-канала данных" или "Сущность учетных данных". После создания сущности учетных данных для определенного типа проверки подлинности можно просто выбрать одну сущность учетных данных, созданную при добавлении нового веб-канала данных, это будет полезно при создании нескольких веб-каналов данных. Общая процедура создания и использования сущности учетных данных показана ниже.

  1. Выберите "+", чтобы создать сущность учетных данных на вкладке "Добавление веб-канала данных" (вы также можете создать ее на вкладке "Веб-канал сущности учетных данных").

    Создание сущности учетных данных

  2. Присвойте имя сущности учетных данных, добавьте описание (если требуется), укажите тип учетных данных (равнозначно типу проверки подлинности) и другие настройки.

    Настройка сущности учетных данных

  3. После создания сущности учетных данных ее можно выбрать при указании типа проверки подлинности.

    Выбор сущности учетных данных

В Помощнике по метрикам доступны четыре типа учетных данных: строка подключения Azure SQL, сущность общего ключа Azure Data Lake Storage 2-го поколения, субъект-служба и субъект-служба из хранилища ключей. Сведения о различных настройках типа учетных данных см. в следующих инструкциях.

Строка подключения Azure SQL

Заполните поля Имя и Строка подключения, а затем нажмите "Создать".

Настройка сущности учетных данных для строки подключения SQL

Сущность общего ключа Azure Data Lake Storage 2-го поколения

Заполните поля Имя и Ключ учетной записи, а затем нажмите "Создать". Его можно найти в ресурсе учетной записи хранения Azure (Azure Data Lake Storage 2-го поколения) в параметре Ключи доступа.

Настройка сущности учетных данных для Data Lake

Субъект-служба

Чтобы создать субъект-службу для источника данных, следуйте подробным инструкциям в разделе Подключение различных источников данных. После создания субъекта-службы необходимо заполнить следующие конфигурации в сущности учетных данных.

Сущность учетных данных субъекта-службы

  • Имя: задайте имя для сущности учетных данных субъекта-службы.

  • ИД клиента и ИД арендатора: после создания субъекта-службы на портале Azure параметры Tenant ID и Client ID будут указаны в разделе Обзор.

    Идентификатор клиента и идентификатора арендатора субъекта-службы

  • Секрет клиента: после создания субъекта-службы на портале Azure перейдите в раздел Сертификаты и секреты, чтобы создать новый секрет клиента. Значение следует использовать в качестве Client Secret в сущности учетных. (Примечание. Значение отображается только один раз, поэтому лучше сохранить его в другом месте.)

    Значение секрета клиента субъекта службы

Субъект-служба из хранилища ключей

Порядок создания субъекта-службы из хранилища ключей включает несколько шагов.

Шаг 1. Создайте субъект-службу и предоставьте ему доступ к базе данных. Следуйте подробным инструкциям в разделе Подключение различных источников данных для каждого источника данных.

После создания субъекта-службы на портале Azure параметры Tenant ID и Client ID будут указаны в разделе Обзор. В конфигурациях сущности учетных данных параметру ИД каталога (арендатора) должно быть присвоено значение Tenant ID.

Идентификатор клиента и идентификатора арендатора субъекта-службы

Шаг 2. Создание нового секрета клиента. Перейдите в раздел Сертификаты и секреты, чтобы создать секрет клиента. Значение будет использоваться на следующих шагах. (Примечание. Значение отображается только один раз, поэтому лучше сохранить его в другом месте.)

Значение секрета клиента субъекта службы

Шаг 3. Создание хранилища ключей. На портале Azure выберите Хранилища ключей.

Создание хранилища ключей на портале Azure

После создания хранилища ключей в качестве URI хранилища будет выступать Key Vault Endpoint в субъекте учетных данных в Помощнике по метрикам.

Конечная точка хранилища ключей

Шаг 4. Создание секретов для Key Vault. На портале Azure для хранилища ключей создайте два секрета в разделе Настройки ->Секреты. Первый для Service Principal Client Id, а второй — для Service Principal Client Secret. Их имена будут использоваться в конфигурациях сущности учетных данных.

Создание секретов

  • ИД клиента субъекта-службы: задайте Name для этого секрета; имя будет использоваться в конфигурации сущности учетных данных, а в качестве значения следует использовать субъект-службу Client ID на шаге 1.

    Секрет 1: ИД клиента субъекта-службы

  • Секрет клиента субъекта-службы: задайте Name для этого секрета; имя будет использоваться в конфигурации сущности учетных данных, а в качестве значения следует использовать субъект-службу Client Secret Value на шаге 2.

    Секрет 2: секрет клиента субъекта-службы

До этого ИД клиента и секрет клиента субъекта-службы хранились в хранилище ключей. Далее необходимо создать другой субъект-службу для хранения хранилища ключей. Поэтому следует создать два субъекта-службы — один для сохранения идентификатора клиента и секрета клиента, которые будут храниться в хранилище ключей, а другой — для хранения хранилища ключей.

Шаг 5. Создание субъекта-службы для хранения хранилища ключей.

  1. Перейдите к портал Azure идентификатору Microsoft Entra и создайте новую регистрацию.

    Создание новой регистрации

    После создания субъекта-службы в поле ИД приложения (клиента) в разделе "Обзор" будет указан Key Vault Client ID в конфигурации сущности учетных данных.

  2. В разделе "Управление> сертификатами и секретами" создайте секрет клиента, выбрав "Новый секрет клиента". Затем скопируйте значение, поскольку оно отображается только один раз. Значение в конфигурации сущности учетных данных — Key Vault Client Secret.

    Добавление секрета клиента

Шаг 6. Предоставление субъекту-службе доступа к Key Vault. Перейдите к созданному ресурсу хранилища ключей в разделе Настройки ->>Политики доступа, выбрав "Добавить политику доступа", чтобы создать подключение между хранилищем ключей и вторым субъектом-службой из шага 5, а затем нажмите "Сохранить".

Предоставление доступа к хранилищу ключей субъекта-службы

Заключительные конфигурации

В таблице ниже приведены заключительные конфигурации сущностей учетных данных в Помощнике по метрикам для субъекта-службы из хранилища ключей и способ их получения.

Настройка Получение
Конечная точка хранилища ключей Шаг 3. Универсальный код ресурса (URI) хранилища ключей.
Идентификатор клиента Шаг 1. Идентификатор каталога (арендатора) первого субъекта-службы.
ИД клиента хранилища ключей Шаг 5. ИД приложения (клиента) второго субъекта-службы.
Секрет клиента хранилища ключей Шаг 5. Значение секрета клиента второго субъекта-службы.
Имя идентификатора клиента субъекта-службы Шаг 4. Имя секрета, заданное для идентификатора клиента.
Имя секрета клиента субъекта-службы Шаг 4. Имя секрета, заданное для значения секрета клиента.

Следующие шаги