แชร์ผ่าน


การรับรองความถูกต้องของ Microsoft Entra เป็นทางเลือกในการรับรองความถูกต้อง SQL

นําไปใช้กับ:✅ จุดสิ้นสุดการวิเคราะห์ SQL และ Warehouse ใน Microsoft Fabric

บทความนี้ครอบคลุมวิธีการทางเทคนิคที่ผู้ใช้และลูกค้าสามารถใช้เพื่อเปลี่ยนจากการรับรองความถูกต้อง SQL เป็น การรับรองความถูกต้องของ Microsoft Entra ภายใน Microsoft Fabric การรับรองความถูกต้องของ Microsoft Entra เป็นทางเลือกสําหรับชื่อผู้ใช้และรหัสผ่านผ่านการรับรองความถูกต้อง SQL สําหรับการลงชื่อเข้าใช้ไปยังจุดสิ้นสุดการวิเคราะห์ SQL ของ lakehouse หรือคลังสินค้าใน Microsoft Fabric การรับรองความถูกต้อง Microsoft Entra ควรใช้และมีความสําคัญในการสร้างแพลตฟอร์มข้อมูลที่ปลอดภัย

บทความนี้มุ่งเน้นไปที่การรับรองความถูกต้องของ Microsoft Entra เป็นทางเลือกในการรับรองความถูกต้อง SQL ในรายการ Microsoft Fabric เช่น จุดสิ้นสุดการวิเคราะห์ Warehouse หรือ Lakehouse SQL

ประโยชน์ของการรับรองความถูกต้องของ Microsoft Entra ใน Fabric

หนึ่งในหลักการหลักของ Microsoft Fabric มีความปลอดภัยตามการออกแบบ Microsoft Entra เป็นส่วนสําคัญในการรักษาความปลอดภัยของ Microsoft Fabric โดยรับประกันการปกป้องข้อมูล การกํากับดูแล และการปฏิบัติตามข้อกําหนดที่แข็งแกร่ง

Microsoft Entra มีบทบาทสําคัญในการรักษาความปลอดภัยของ Microsoft Fabric ด้วยเหตุผลหลายประการ:

  • การรับรองความถูกต้อง: ตรวจสอบผู้ใช้และบริการ หลัก โดยใช้ Microsoft Entra ID ซึ่งให้โทเค็นการเข้าถึงสําหรับการดําเนินการภายใน Fabric
  • การเข้าถึงที่ปลอดภัย: เชื่อมต่ออย่างปลอดภัยไปยังแอประบบคลาวด์จากอุปกรณ์หรือเครือข่ายใด ๆ ปกป้องคําขอที่ทํากับ Fabric
  • การเข้าถึงตามเงื่อนไข: ผู้ดูแลระบบสามารถตั้งค่านโยบายที่ประเมินบริบทของผู้ใช้ ควบคุมการเข้าถึง หรือบังคับใช้ขั้นตอนการตรวจสอบเพิ่มเติม
  • การรวม: Microsoft Entra ID ทํางานกับข้อเสนอ Microsoft SaaS ทั้งหมดได้อย่างราบรื่น รวมถึง Fabric ทําให้สามารถเข้าถึงได้ทุกอุปกรณ์และเครือข่าย
  • แพลตฟอร์มที่กว้าง: เข้าถึง Microsoft Fabric ด้วย Microsoft Entra ID ผ่านวิธีใด ๆ ไม่ว่าจะผ่านพอร์ทัล Fabric, SQL สายอักขระการเชื่อมต่อ, REST API หรือตําแหน่งข้อมูล XMLA

Microsoft Entra ใช้นโยบาย Zero Trust ที่สมบูรณ์ ซึ่งนําเสนอทางเลือกที่เหนือกว่าการรับรองความถูกต้อง SQL แบบดั้งเดิมที่จํากัดไว้ที่ชื่อผู้ใช้และรหัสผ่าน วิธีการนี้:

  • ป้องกันการเลียนแบบผู้ใช้
  • สามารถควบคุมการเข้าถึงอย่างละเอียดโดยพิจารณาข้อมูลเฉพาะตัวของผู้ใช้ สภาพแวดล้อม อุปกรณ์ และอื่น ๆ
  • รองรับการรักษาความปลอดภัยขั้นสูง เช่น การรับรองความถูกต้องแบบหลายปัจจัยของ Microsoft Entra

การกําหนดค่าผ้า

การรับรองความถูกต้องของ Microsoft Entra สําหรับใช้กับตําแหน่งข้อมูลการวิเคราะห์ Warehouse หรือ Lakehouse SQL จําเป็นต้องมีการกําหนดค่าทั้งในการตั้งค่าผู้เช่าและพื้นที่ทํางาน

การตั้งค่าผู้เช่า

ผู้ดูแลระบบ Fabric ในผู้เช่าของคุณต้องอนุญาตให้ชื่อบริการหลัก (SPN) เข้าถึง Fabric API ที่จําเป็นสําหรับ SPN เพื่ออินเทอร์เฟซสําหรับสายอักขระการเชื่อมต่อ SQL ไปยังคลังสินค้า Fabric หรือรายการปลายทางการวิเคราะห์ SQL

การตั้งค่านี้จะอยู่ในส่วนการตั้งค่านักพัฒนา และมีป้ายชื่อว่า บริการหลักสามารถใช้ Fabric API ได้ ตรวจสอบให้แน่ใจว่า เปิดใช้งานอยู่

สกรีนช็อตจากพอร์ทัล Fabric ของหน้าการตั้งค่านักพัฒนาในการตั้งค่าผู้เช่า

การตั้งค่าพื้นที่ทํางาน

ผู้ดูแลระบบ Fabric ในพื้นที่ทํางานของคุณต้องให้สิทธิ์การเข้าถึงสําหรับผู้ใช้หรือ SPN เพื่อเข้าถึงรายการ Fabric

ผู้ใช้หรือ SPN สามารถให้สิทธิ์การเข้าถึงได้สองวิธี:

  • ให้การเป็นสมาชิกของ SPN แก่ผู้ใช้หรือ SPN สําหรับบทบาท: บทบาทพื้นที่ทํางานใดๆ (ผู้ดูแลระบบ สมาชิก ผู้สนับสนุน หรือผู้ชม) เพียงพอที่จะเชื่อมต่อกับคลังสินค้าหรือรายการเลคเฮ้าส์ด้วยสตริงการเชื่อมต่อ SQL

    1. ในตัวเลือก จัดการการเข้าถึง ในพื้นที่ทํางาน ให้กําหนดบทบาท ผู้สนับสนุน สําหรับข้อมูลเพิ่มเติม ให้ดู บทบาทบริการ
  • กําหนดผู้ใช้หรือ SPN ให้กับรายการที่ระบุ: อนุญาตให้เข้าถึงคลังสินค้าหรือจุดสิ้นสุดการวิเคราะห์ SQL ที่เฉพาะเจาะจงของ Lakehouse ผู้ดูแลระบบ Fabric สามารถเลือกจากระดับการอนุญาตที่แตกต่างกัน

    1. นําทางไปยังรายการปลายทางคลังสินค้าหรือการวิเคราะห์ SQL ที่เกี่ยวข้อง
    2. เลือกตัวเลือกเพิ่มเติม จากนั้นจัดการสิทธิ์ เลือก เพิ่มผู้ใช้
    3. เพิ่มผู้ใช้หรือ SPN บนหน้า ให้สิทธิ์การเข้าถึง แก่บุคคล
    4. กําหนดสิทธิ์ที่จําเป็นให้ผู้ใช้หรือ SPN เลือก ไม่มี สิทธิ์ เพิ่มเติม เพื่อให้สิทธิ์การเชื่อมต่อเท่านั้น

    สกรีนช็อตจากพอร์ทัล Fabric ของหน้าให้สิทธิ์การเข้าถึงแก่บุคคล

คุณสามารถเปลี่ยนสิทธิ์เริ่มต้นที่กําหนดให้กับผู้ใช้หรือ SPN ได้โดยระบบ ใช้คําสั่ง T-SQL GRANT และ DENY เพื่อเปลี่ยนสิทธิ์ตามความจําเป็นหรือ บทบาท ALTER เพื่อเพิ่มสมาชิกให้กับบทบาท

ในปัจจุบัน SPN ไม่มีความสามารถในฐานะบัญชีผู้ใช้สําหรับการกําหนดค่าสิทธิ์โดยละเอียดด้วยGRANT/DENY

การสนับสนุนสําหรับข้อมูลประจําตัวผู้ใช้และชื่อบริการหลัก (SPNs)

Fabric ดั้งเดิมสนับสนุนการรับรองความถูกต้องและการอนุญาตสําหรับผู้ใช้ Microsoft Entra และชื่อบริการหลัก (SPN) ในการเชื่อมต่อ SQL ไปยังคลังสินค้าและรายการปลายทางการวิเคราะห์ SQL

  • ข้อมูลประจําตัวผู้ใช้คือข้อมูลประจําตัวที่ไม่ซ้ํากันสําหรับผู้ใช้แต่ละรายภายในองค์กร
  • SPN แสดงถึงวัตถุแอปพลิเคชันภายในผู้เช่า และทําหน้าที่เป็นข้อมูลประจําตัวสําหรับอินสแตนซ์ของแอปพลิเคชันที่รับบทบาทของการรับรองความถูกต้องและการรับรองความถูกต้องแอปพลิเคชันเหล่านั้น

การสนับสนุนสําหรับสตรีมข้อมูลแบบตาราง (TDS)

Fabric ใช้โพรโทคอล Tabular Data Stream (TDS) เช่นเดียวกับ SQL Server เมื่อคุณเชื่อมต่อกับสายอักขระการเชื่อมต่อ

Fabric สามารถเข้ากันได้กับแอปพลิเคชันหรือเครื่องมือใด ๆ ที่สามารถเชื่อมต่อกับผลิตภัณฑ์ด้วยกลไกจัดการฐานข้อมูล SQL คล้ายกับการเชื่อมต่ออินสแตนซ์ SQL Server TDS ทํางานบนพอร์ต TCP 1433 สําหรับข้อมูลเพิ่มเติมเกี่ยวกับการเชื่อมต่อ Fabric SQL และการค้นหาสายอักขระการเชื่อมต่อ SQL ดูการเชื่อมต่อ

ตัวอย่างสายอักขระการเชื่อมต่อ SQL มีลักษณะดังนี้: <guid_unique_your_item>.datawarehouse.fabric.microsoft.com

แอปพลิเคชันและเครื่องมือไคลเอ็นต์สามารถตั้งค่าAuthenticationคุณสมบัติการเชื่อมต่อในสายอักขระการเชื่อมต่อเพื่อเลือกโหมดการรับรองความถูกต้อง Microsoft Entra ตารางต่อไปนี้แสดงรายละเอียดโหมดการรับรองความถูกต้องของ Microsoft Entra ที่แตกต่างกัน รวมถึงการสนับสนุนการรับรองความถูกต้องแบบหลายปัจจัยของ Microsoft Entra (MFA)

โหมดการรับรองความถูกต้อง สถานการณ์สมมติ ความคิดเห็น
Microsoft Entra Interactive แอปพลิเคชันหรือเครื่องมือในสถานการณ์ที่การรับรองความถูกต้องของผู้ใช้สามารถเกิดขึ้นได้แบบโต้ตอบหรือเมื่อเป็นที่ยอมรับที่จะมีการดําเนินการด้วยตนเองสําหรับการตรวจสอบข้อมูลประจําตัว เปิดใช้งานนโยบายการเข้าถึงแบบมีเงื่อนไขของ MFA และ Microsoft Entra เพื่อบังคับใช้กฎขององค์กร
บริการหลักของ Microsoft Entra แอปใช้สําหรับการรับรองความถูกต้องที่ปลอดภัยโดยไม่มีการดําเนินการของมนุษย์ เหมาะที่สุดสําหรับการรวมแอปพลิเคชัน แนะนําให้เปิดใช้งาน นโยบายการเข้าถึงแบบมีเงื่อนไขของ Microsoft Entra
รหัสผ่าน Microsoft Entra เมื่อแอปพลิเคชันไม่สามารถใช้การรับรองความถูกต้องตาม SPN ได้เนื่องจากไม่สามารถใช้งานร่วมกันได้ หรือจําเป็นต้องใช้ชื่อผู้ใช้และรหัสผ่านทั่วไปสําหรับผู้ใช้หลายคน หรือถ้าวิธีการอื่นๆ ไม่สามารถใช้งานได้ ต้องปิด MFA และไม่สามารถตั้งค่านโยบายการเข้าถึงแบบมีเงื่อนไขได้ เราขอแนะนําให้ตรวจสอบกับทีมรักษาความปลอดภัยของลูกค้าก่อนที่จะเลือกใช้โซลูชันนี้

Flowchart ที่แสดงโหมดการรับรองความถูกต้อง Microsoft Entra และจุดการตัดสินใจ

การสนับสนุนโปรแกรมควบคุมสําหรับการรับรองความถูกต้องของ Microsoft Entra

ในขณะที่ส่วนใหญ่ของโปรแกรมควบคุม SQL แรกมาพร้อมกับการสนับสนุนสําหรับการรับรองความถูกต้องของ Microsoft Entra ปรับปรุงล่าสุดได้ขยายความเข้ากันได้เพื่อรวมการรับรองความถูกต้องตาม SPN การเพิ่มประสิทธิภาพนี้ลดความซับซ้อนของการเปลี่ยนไปยังการรับรองความถูกต้องของ Microsoft Entra สําหรับแอปพลิเคชันและเครื่องมือต่าง ๆ ผ่านการอัปเกรดไดรเวอร์และการเพิ่มการสนับสนุนสําหรับการรับรองความถูกต้อง Microsoft Entra

อย่างไรก็ตามในบางครั้งจําเป็นต้องปรับการตั้งค่าเพิ่มเติมเช่นการเปิดใช้งานพอร์ตหรือไฟร์วอลล์เพื่ออํานวยความสะดวกในการรับรองความถูกต้อง Microsoft Entra บนเครื่องโฮสต์

แอปพลิเคชันและเครื่องมือต้องอัปเกรดโปรแกรมควบคุมเป็นเวอร์ชันที่สนับสนุนการรับรองความถูกต้อง Microsoft Entra และเพิ่มคําสําคัญโหมดการรับรองความถูกต้องในสายอักขระการเชื่อมต่อ SQL ของพวกเขา เช่น ActiveDirectoryInteractiveActiveDirectoryServicePrincipalหรือActiveDirectoryPassword

Fabric สามารถเข้ากันได้กับโปรแกรมควบคุมดั้งเดิมของ Microsoft รวมถึง OLE DB และ Microsoft.Data.SqlClientโปรแกรมควบคุมทั่วไปเช่น ODBC และ JDBC การเปลี่ยนแปลงสําหรับแอปพลิเคชันเพื่อทํางานกับ Fabric สามารถจัดการได้โดยการกําหนดค่าใหม่เพื่อใช้การรับรองความถูกต้องตาม Microsoft Entra ID

สําหรับข้อมูลเพิ่มเติม ดูการเชื่อมต่อกับคลังข้อมูลใน Microsoft Fabric

Microsoft OLE DB

OLE DB Driver สําหรับ SQL Server เป็น API การเข้าถึงข้อมูลแบบสแตนด์อโลนที่ออกแบบมาสําหรับ OLE DB และเผยแพร่ครั้งแรกด้วย SQL Server 2005 (9.x) เนื่องจากคุณลักษณะที่ขยายแล้วมีการรับรองความถูกต้องตาม SPN ด้วยเวอร์ชัน 18.5.0 การเพิ่มวิธีการรับรองความถูกต้องที่มีอยู่จากเวอร์ชันก่อนหน้า

โหมดการรับรองความถูกต้อง สายอักขระการเชื่อมต่อ SQL
Microsoft Entra Interactive การรับรองความถูกต้องแบบโต้ตอบของ Microsoft Entra
บริการหลักของ Microsoft Entra การรับรองความถูกต้องของบริการหลักของ Microsoft Entra
รหัสผ่าน Microsoft Entra การรับรองความถูกต้องชื่อผู้ใช้และรหัสผ่าน Microsoft Entra

สําหรับส่วนย่อยของโค้ด C# โดยใช้ OLE DB ที่มีการรับรองความถูกต้องตาม SPN โปรดดู System.Data.OLEDB.Connect.cs

โปรแกรมควบคุม Microsoft ODBC

Microsoft ODBC Driver สําหรับ SQL Server เป็นไลบรารีการเชื่อมโยงแบบไดนามิก (DLL) เดี่ยวที่มีการสนับสนุนรันไทม์สําหรับแอปพลิเคชันโดยใช้ API แบบโค้ดเนทีฟเพื่อเชื่อมต่อกับ SQL Server แนะนําให้ใช้เวอร์ชันล่าสุดสําหรับแอปพลิเคชันเพื่อรวมกับ Fabric

สําหรับข้อมูลเพิ่มเติมเกี่ยวกับการรับรองความถูกต้องของ Microsoft Entra ด้วย ODBC โปรดดู การใช้ Microsoft Entra ID กับรหัสตัวอย่างของโปรแกรมควบคุม ODBC

โหมดการรับรองความถูกต้อง สตริงการเชื่อมต่อ SQL
Microsoft Entra Interactive DRIVER={ODBC Driver 18 for SQL Server};SERVER=<SQL Connection String>;DATABASE=<DB Name>;UID=<Client_ID@domain>;PWD=<Secret>;Authentication=ActiveDirectoryInteractive
บริการหลักของ Microsoft Entra DRIVER={ODBC Driver 18 for SQL Server};SERVER=<SQL Connection String>;DATABASE=<DBName>;UID=<Client_ID@domain>;PWD=<Secret>;Authentication=ActiveDirectoryServicePrincipal
รหัสผ่าน Microsoft Entra DRIVER={ODBC Driver 18 for SQL Server};SERVER=<SQL Connection String>;DATABASE=<DBName>;UID=<Client_ID@domain>;PWD=<Secret>;Authentication=ActiveDirectoryPassword

สําหรับส่วนย่อยของโค้ด python โดยใช้ ODBC ที่มีการรับรองความถูกต้องตาม SPN ให้ดู pyodbc-dw-connectivity.py

โปรแกรมควบคุม Microsoft JDBC

โปรแกรมควบคุม JDBC Microsoft สําหรับ SQL Server เป็นโปรแกรมควบคุม JDBC ชนิดที่ 4 ที่มีการเชื่อมต่อฐานข้อมูลผ่านอินเทอร์เฟซโปรแกรมแอปพลิเคชัน JDBC มาตรฐาน (API) ที่พร้อมใช้งานบนแพลตฟอร์ม Java

เริ่มต้นจากเวอร์ชัน 9.2 mssql-jdbc มีการสนับสนุนสําหรับ ActiveDirectoryInteractive และ ActiveDirectoryServicePrincipalโดยมี ActiveDirectoryPassword การรองรับในเวอร์ชัน 12.2 และสูงกว่า ไดรเวอร์นี้จําเป็นต้องใช้เหยือกเพิ่มเติมเป็นการขึ้นต่อกันซึ่งต้องเข้ากันได้กับเวอร์ชันของ mssql-driver ที่ใช้ในแอปพลิเคชันของคุณ สําหรับข้อมูลเพิ่มเติม โปรดดูที่ การขึ้นต่อกันของคุณลักษณะ ของ โปรแกรมควบคุม JDBC ของ Microsoft และ ข้อกําหนดการตั้งค่าไคลเอ็นต์

โหมดการรับรองความถูกต้อง ข้อมูลเพิ่มเติม
Microsoft Entra Interactive เชื่อมต่อโดยใช้โหมดการรับรองความถูกต้อง ActiveDirectoryInteractive
บริการหลักของ Microsoft Entra เชื่อมต่อโดยใช้โหมดการรับรองความถูกต้อง ActiveDirectoryServicePrincipal
รหัสผ่าน Microsoft Entra เชื่อมต่อโดยใช้โหมดการรับรองความถูกต้อง ActiveDirectoryPassword

สําหรับส่วนย่อยของโค้ด java ที่ใช้ JDBC ที่มีการรับรองความถูกต้องที่ใช้ SPN โปรดดูที่ fabrictoolbox/dw_connect.java และไฟล์ pom ตัวอย่าง pom.xml

Microsoft.Data.SqlClient ใน .NET

ไลบรารีนี้ Microsoft.Data.SqlClient เป็นตัวให้บริการข้อมูลข้ามแพลตฟอร์มที่ใหม่กว่าสําหรับ SQL Server ซึ่งมีวัตถุประสงค์เพื่อแทนที่ System.Data.SqlClient เก่ากว่าซึ่งเป็น Windows เท่านั้น

แพลตฟอร์มที่สนับสนุน:

  • .NET 8.0 และรุ่นที่ใหม่กว่า
  • .NET Framework 4.6.2 และใหม่กว่า

Microsoft.Data.SqlClient เป็นการรวมกันของคอมโพเนนต์ System.Data.SqlClient สองตัว ซึ่งมีชุดของคลาสสําหรับการเข้าถึงฐานข้อมูลกลไกจัดการฐานข้อมูล SQL Microsoft.Data.SqlClient แนะนําสําหรับการพัฒนาใหม่ทั้งหมด

โหมดการรับรองความถูกต้อง ข้อมูลเพิ่มเติม
Microsoft Entra Interactive การใช้การรับรองความถูกต้องแบบโต้ตอบ
บริการหลักของ Microsoft Entra การใช้การรับรองความถูกต้องโครงร่างสําคัญของบริการ
รหัสผ่าน Microsoft Entra การใช้การรับรองความถูกต้องรหัสผ่าน

ส่วนย่อยของโค้ดที่ใช้ SPN: