การรับรองความถูกต้องของ Microsoft Entra เป็นทางเลือกในการรับรองความถูกต้อง SQL
นําไปใช้กับ:✅ จุดสิ้นสุดการวิเคราะห์ SQL และ Warehouse ใน Microsoft Fabric
บทความนี้ครอบคลุมวิธีการทางเทคนิคที่ผู้ใช้และลูกค้าสามารถใช้เพื่อเปลี่ยนจากการรับรองความถูกต้อง SQL เป็น การรับรองความถูกต้องของ Microsoft Entra ภายใน Microsoft Fabric การรับรองความถูกต้องของ Microsoft Entra เป็นทางเลือกสําหรับชื่อผู้ใช้และรหัสผ่านผ่านการรับรองความถูกต้อง SQL สําหรับการลงชื่อเข้าใช้ไปยังจุดสิ้นสุดการวิเคราะห์ SQL ของ lakehouse หรือคลังสินค้าใน Microsoft Fabric การรับรองความถูกต้อง Microsoft Entra ควรใช้และมีความสําคัญในการสร้างแพลตฟอร์มข้อมูลที่ปลอดภัย
บทความนี้มุ่งเน้นไปที่การรับรองความถูกต้องของ Microsoft Entra เป็นทางเลือกในการรับรองความถูกต้อง SQL ในรายการ Microsoft Fabric เช่น จุดสิ้นสุดการวิเคราะห์ Warehouse หรือ Lakehouse SQL
ประโยชน์ของการรับรองความถูกต้องของ Microsoft Entra ใน Fabric
หนึ่งในหลักการหลักของ Microsoft Fabric มีความปลอดภัยตามการออกแบบ Microsoft Entra เป็นส่วนสําคัญในการรักษาความปลอดภัยของ Microsoft Fabric โดยรับประกันการปกป้องข้อมูล การกํากับดูแล และการปฏิบัติตามข้อกําหนดที่แข็งแกร่ง
Microsoft Entra มีบทบาทสําคัญในการรักษาความปลอดภัยของ Microsoft Fabric ด้วยเหตุผลหลายประการ:
- การรับรองความถูกต้อง: ตรวจสอบผู้ใช้และบริการ หลัก โดยใช้ Microsoft Entra ID ซึ่งให้โทเค็นการเข้าถึงสําหรับการดําเนินการภายใน Fabric
- การเข้าถึงที่ปลอดภัย: เชื่อมต่ออย่างปลอดภัยไปยังแอประบบคลาวด์จากอุปกรณ์หรือเครือข่ายใด ๆ ปกป้องคําขอที่ทํากับ Fabric
- การเข้าถึงตามเงื่อนไข: ผู้ดูแลระบบสามารถตั้งค่านโยบายที่ประเมินบริบทของผู้ใช้ ควบคุมการเข้าถึง หรือบังคับใช้ขั้นตอนการตรวจสอบเพิ่มเติม
- การรวม: Microsoft Entra ID ทํางานกับข้อเสนอ Microsoft SaaS ทั้งหมดได้อย่างราบรื่น รวมถึง Fabric ทําให้สามารถเข้าถึงได้ทุกอุปกรณ์และเครือข่าย
- แพลตฟอร์มที่กว้าง: เข้าถึง Microsoft Fabric ด้วย Microsoft Entra ID ผ่านวิธีใด ๆ ไม่ว่าจะผ่านพอร์ทัล Fabric, SQL สายอักขระการเชื่อมต่อ, REST API หรือตําแหน่งข้อมูล XMLA
Microsoft Entra ใช้นโยบาย Zero Trust ที่สมบูรณ์ ซึ่งนําเสนอทางเลือกที่เหนือกว่าการรับรองความถูกต้อง SQL แบบดั้งเดิมที่จํากัดไว้ที่ชื่อผู้ใช้และรหัสผ่าน วิธีการนี้:
- ป้องกันการเลียนแบบผู้ใช้
- สามารถควบคุมการเข้าถึงอย่างละเอียดโดยพิจารณาข้อมูลเฉพาะตัวของผู้ใช้ สภาพแวดล้อม อุปกรณ์ และอื่น ๆ
- รองรับการรักษาความปลอดภัยขั้นสูง เช่น การรับรองความถูกต้องแบบหลายปัจจัยของ Microsoft Entra
การกําหนดค่าผ้า
การรับรองความถูกต้องของ Microsoft Entra สําหรับใช้กับตําแหน่งข้อมูลการวิเคราะห์ Warehouse หรือ Lakehouse SQL จําเป็นต้องมีการกําหนดค่าทั้งในการตั้งค่าผู้เช่าและพื้นที่ทํางาน
การตั้งค่าผู้เช่า
ผู้ดูแลระบบ Fabric ในผู้เช่าของคุณต้องอนุญาตให้ชื่อบริการหลัก (SPN) เข้าถึง Fabric API ที่จําเป็นสําหรับ SPN เพื่ออินเทอร์เฟซสําหรับสายอักขระการเชื่อมต่อ SQL ไปยังคลังสินค้า Fabric หรือรายการปลายทางการวิเคราะห์ SQL
การตั้งค่านี้จะอยู่ในส่วนการตั้งค่านักพัฒนา และมีป้ายชื่อว่า บริการหลักสามารถใช้ Fabric API ได้ ตรวจสอบให้แน่ใจว่า เปิดใช้งานอยู่
การตั้งค่าพื้นที่ทํางาน
ผู้ดูแลระบบ Fabric ในพื้นที่ทํางานของคุณต้องให้สิทธิ์การเข้าถึงสําหรับผู้ใช้หรือ SPN เพื่อเข้าถึงรายการ Fabric
ผู้ใช้หรือ SPN สามารถให้สิทธิ์การเข้าถึงได้สองวิธี:
ให้การเป็นสมาชิกของ SPN แก่ผู้ใช้หรือ SPN สําหรับบทบาท: บทบาทพื้นที่ทํางานใดๆ (ผู้ดูแลระบบ สมาชิก ผู้สนับสนุน หรือผู้ชม) เพียงพอที่จะเชื่อมต่อกับคลังสินค้าหรือรายการเลคเฮ้าส์ด้วยสตริงการเชื่อมต่อ SQL
- ในตัวเลือก จัดการการเข้าถึง ในพื้นที่ทํางาน ให้กําหนดบทบาท ผู้สนับสนุน สําหรับข้อมูลเพิ่มเติม ให้ดู บทบาทบริการ
กําหนดผู้ใช้หรือ SPN ให้กับรายการที่ระบุ: อนุญาตให้เข้าถึงคลังสินค้าหรือจุดสิ้นสุดการวิเคราะห์ SQL ที่เฉพาะเจาะจงของ Lakehouse ผู้ดูแลระบบ Fabric สามารถเลือกจากระดับการอนุญาตที่แตกต่างกัน
- นําทางไปยังรายการปลายทางคลังสินค้าหรือการวิเคราะห์ SQL ที่เกี่ยวข้อง
- เลือกตัวเลือกเพิ่มเติม จากนั้นจัดการสิทธิ์ เลือก เพิ่มผู้ใช้
- เพิ่มผู้ใช้หรือ SPN บนหน้า ให้สิทธิ์การเข้าถึง แก่บุคคล
- กําหนดสิทธิ์ที่จําเป็นให้ผู้ใช้หรือ SPN เลือก ไม่มี สิทธิ์ เพิ่มเติม เพื่อให้สิทธิ์การเชื่อมต่อเท่านั้น
คุณสามารถเปลี่ยนสิทธิ์เริ่มต้นที่กําหนดให้กับผู้ใช้หรือ SPN ได้โดยระบบ ใช้คําสั่ง T-SQL GRANT และ DENY เพื่อเปลี่ยนสิทธิ์ตามความจําเป็นหรือ บทบาท ALTER เพื่อเพิ่มสมาชิกให้กับบทบาท
ในปัจจุบัน SPN ไม่มีความสามารถในฐานะบัญชีผู้ใช้สําหรับการกําหนดค่าสิทธิ์โดยละเอียดด้วยGRANT/DENY
การสนับสนุนสําหรับข้อมูลประจําตัวผู้ใช้และชื่อบริการหลัก (SPNs)
Fabric ดั้งเดิมสนับสนุนการรับรองความถูกต้องและการอนุญาตสําหรับผู้ใช้ Microsoft Entra และชื่อบริการหลัก (SPN) ในการเชื่อมต่อ SQL ไปยังคลังสินค้าและรายการปลายทางการวิเคราะห์ SQL
- ข้อมูลประจําตัวผู้ใช้คือข้อมูลประจําตัวที่ไม่ซ้ํากันสําหรับผู้ใช้แต่ละรายภายในองค์กร
- SPN แสดงถึงวัตถุแอปพลิเคชันภายในผู้เช่า และทําหน้าที่เป็นข้อมูลประจําตัวสําหรับอินสแตนซ์ของแอปพลิเคชันที่รับบทบาทของการรับรองความถูกต้องและการรับรองความถูกต้องแอปพลิเคชันเหล่านั้น
การสนับสนุนสําหรับสตรีมข้อมูลแบบตาราง (TDS)
Fabric ใช้โพรโทคอล Tabular Data Stream (TDS) เช่นเดียวกับ SQL Server เมื่อคุณเชื่อมต่อกับสายอักขระการเชื่อมต่อ
Fabric สามารถเข้ากันได้กับแอปพลิเคชันหรือเครื่องมือใด ๆ ที่สามารถเชื่อมต่อกับผลิตภัณฑ์ด้วยกลไกจัดการฐานข้อมูล SQL คล้ายกับการเชื่อมต่ออินสแตนซ์ SQL Server TDS ทํางานบนพอร์ต TCP 1433 สําหรับข้อมูลเพิ่มเติมเกี่ยวกับการเชื่อมต่อ Fabric SQL และการค้นหาสายอักขระการเชื่อมต่อ SQL ดูการเชื่อมต่อ
ตัวอย่างสายอักขระการเชื่อมต่อ SQL มีลักษณะดังนี้: <guid_unique_your_item>.datawarehouse.fabric.microsoft.com
แอปพลิเคชันและเครื่องมือไคลเอ็นต์สามารถตั้งค่าAuthenticationคุณสมบัติการเชื่อมต่อในสายอักขระการเชื่อมต่อเพื่อเลือกโหมดการรับรองความถูกต้อง Microsoft Entra ตารางต่อไปนี้แสดงรายละเอียดโหมดการรับรองความถูกต้องของ Microsoft Entra ที่แตกต่างกัน รวมถึงการสนับสนุนการรับรองความถูกต้องแบบหลายปัจจัยของ Microsoft Entra (MFA)
| โหมดการรับรองความถูกต้อง | สถานการณ์สมมติ | ความคิดเห็น |
|---|---|---|
| Microsoft Entra Interactive | แอปพลิเคชันหรือเครื่องมือในสถานการณ์ที่การรับรองความถูกต้องของผู้ใช้สามารถเกิดขึ้นได้แบบโต้ตอบหรือเมื่อเป็นที่ยอมรับที่จะมีการดําเนินการด้วยตนเองสําหรับการตรวจสอบข้อมูลประจําตัว | เปิดใช้งานนโยบายการเข้าถึงแบบมีเงื่อนไขของ MFA และ Microsoft Entra เพื่อบังคับใช้กฎขององค์กร |
| บริการหลักของ Microsoft Entra | แอปใช้สําหรับการรับรองความถูกต้องที่ปลอดภัยโดยไม่มีการดําเนินการของมนุษย์ เหมาะที่สุดสําหรับการรวมแอปพลิเคชัน | แนะนําให้เปิดใช้งาน นโยบายการเข้าถึงแบบมีเงื่อนไขของ Microsoft Entra |
| รหัสผ่าน Microsoft Entra | เมื่อแอปพลิเคชันไม่สามารถใช้การรับรองความถูกต้องตาม SPN ได้เนื่องจากไม่สามารถใช้งานร่วมกันได้ หรือจําเป็นต้องใช้ชื่อผู้ใช้และรหัสผ่านทั่วไปสําหรับผู้ใช้หลายคน หรือถ้าวิธีการอื่นๆ ไม่สามารถใช้งานได้ | ต้องปิด MFA และไม่สามารถตั้งค่านโยบายการเข้าถึงแบบมีเงื่อนไขได้ เราขอแนะนําให้ตรวจสอบกับทีมรักษาความปลอดภัยของลูกค้าก่อนที่จะเลือกใช้โซลูชันนี้ |
การสนับสนุนโปรแกรมควบคุมสําหรับการรับรองความถูกต้องของ Microsoft Entra
ในขณะที่ส่วนใหญ่ของโปรแกรมควบคุม SQL แรกมาพร้อมกับการสนับสนุนสําหรับการรับรองความถูกต้องของ Microsoft Entra ปรับปรุงล่าสุดได้ขยายความเข้ากันได้เพื่อรวมการรับรองความถูกต้องตาม SPN การเพิ่มประสิทธิภาพนี้ลดความซับซ้อนของการเปลี่ยนไปยังการรับรองความถูกต้องของ Microsoft Entra สําหรับแอปพลิเคชันและเครื่องมือต่าง ๆ ผ่านการอัปเกรดไดรเวอร์และการเพิ่มการสนับสนุนสําหรับการรับรองความถูกต้อง Microsoft Entra
อย่างไรก็ตามในบางครั้งจําเป็นต้องปรับการตั้งค่าเพิ่มเติมเช่นการเปิดใช้งานพอร์ตหรือไฟร์วอลล์เพื่ออํานวยความสะดวกในการรับรองความถูกต้อง Microsoft Entra บนเครื่องโฮสต์
แอปพลิเคชันและเครื่องมือต้องอัปเกรดโปรแกรมควบคุมเป็นเวอร์ชันที่สนับสนุนการรับรองความถูกต้อง Microsoft Entra และเพิ่มคําสําคัญโหมดการรับรองความถูกต้องในสายอักขระการเชื่อมต่อ SQL ของพวกเขา เช่น ActiveDirectoryInteractiveActiveDirectoryServicePrincipalหรือActiveDirectoryPassword
Fabric สามารถเข้ากันได้กับโปรแกรมควบคุมดั้งเดิมของ Microsoft รวมถึง OLE DB และ Microsoft.Data.SqlClientโปรแกรมควบคุมทั่วไปเช่น ODBC และ JDBC การเปลี่ยนแปลงสําหรับแอปพลิเคชันเพื่อทํางานกับ Fabric สามารถจัดการได้โดยการกําหนดค่าใหม่เพื่อใช้การรับรองความถูกต้องตาม Microsoft Entra ID
สําหรับข้อมูลเพิ่มเติม ดูการเชื่อมต่อกับคลังข้อมูลใน Microsoft Fabric
Microsoft OLE DB
OLE DB Driver สําหรับ SQL Server เป็น API การเข้าถึงข้อมูลแบบสแตนด์อโลนที่ออกแบบมาสําหรับ OLE DB และเผยแพร่ครั้งแรกด้วย SQL Server 2005 (9.x) เนื่องจากคุณลักษณะที่ขยายแล้วมีการรับรองความถูกต้องตาม SPN ด้วยเวอร์ชัน 18.5.0 การเพิ่มวิธีการรับรองความถูกต้องที่มีอยู่จากเวอร์ชันก่อนหน้า
| โหมดการรับรองความถูกต้อง | สายอักขระการเชื่อมต่อ SQL |
|---|---|
| Microsoft Entra Interactive | การรับรองความถูกต้องแบบโต้ตอบของ Microsoft Entra |
| บริการหลักของ Microsoft Entra | การรับรองความถูกต้องของบริการหลักของ Microsoft Entra |
| รหัสผ่าน Microsoft Entra | การรับรองความถูกต้องชื่อผู้ใช้และรหัสผ่าน Microsoft Entra |
สําหรับส่วนย่อยของโค้ด C# โดยใช้ OLE DB ที่มีการรับรองความถูกต้องตาม SPN โปรดดู System.Data.OLEDB.Connect.cs
โปรแกรมควบคุม Microsoft ODBC
Microsoft ODBC Driver สําหรับ SQL Server เป็นไลบรารีการเชื่อมโยงแบบไดนามิก (DLL) เดี่ยวที่มีการสนับสนุนรันไทม์สําหรับแอปพลิเคชันโดยใช้ API แบบโค้ดเนทีฟเพื่อเชื่อมต่อกับ SQL Server แนะนําให้ใช้เวอร์ชันล่าสุดสําหรับแอปพลิเคชันเพื่อรวมกับ Fabric
สําหรับข้อมูลเพิ่มเติมเกี่ยวกับการรับรองความถูกต้องของ Microsoft Entra ด้วย ODBC โปรดดู การใช้ Microsoft Entra ID กับรหัสตัวอย่างของโปรแกรมควบคุม ODBC
| โหมดการรับรองความถูกต้อง | สตริงการเชื่อมต่อ SQL |
|---|---|
| Microsoft Entra Interactive | DRIVER={ODBC Driver 18 for SQL Server};SERVER=<SQL Connection String>;DATABASE=<DB Name>;UID=<Client_ID@domain>;PWD=<Secret>;Authentication=ActiveDirectoryInteractive |
| บริการหลักของ Microsoft Entra | DRIVER={ODBC Driver 18 for SQL Server};SERVER=<SQL Connection String>;DATABASE=<DBName>;UID=<Client_ID@domain>;PWD=<Secret>;Authentication=ActiveDirectoryServicePrincipal |
| รหัสผ่าน Microsoft Entra | DRIVER={ODBC Driver 18 for SQL Server};SERVER=<SQL Connection String>;DATABASE=<DBName>;UID=<Client_ID@domain>;PWD=<Secret>;Authentication=ActiveDirectoryPassword |
สําหรับส่วนย่อยของโค้ด python โดยใช้ ODBC ที่มีการรับรองความถูกต้องตาม SPN ให้ดู pyodbc-dw-connectivity.py
โปรแกรมควบคุม Microsoft JDBC
โปรแกรมควบคุม JDBC Microsoft สําหรับ SQL Server เป็นโปรแกรมควบคุม JDBC ชนิดที่ 4 ที่มีการเชื่อมต่อฐานข้อมูลผ่านอินเทอร์เฟซโปรแกรมแอปพลิเคชัน JDBC มาตรฐาน (API) ที่พร้อมใช้งานบนแพลตฟอร์ม Java
เริ่มต้นจากเวอร์ชัน 9.2 mssql-jdbc มีการสนับสนุนสําหรับ ActiveDirectoryInteractive และ ActiveDirectoryServicePrincipalโดยมี ActiveDirectoryPassword การรองรับในเวอร์ชัน 12.2 และสูงกว่า ไดรเวอร์นี้จําเป็นต้องใช้เหยือกเพิ่มเติมเป็นการขึ้นต่อกันซึ่งต้องเข้ากันได้กับเวอร์ชันของ mssql-driver ที่ใช้ในแอปพลิเคชันของคุณ สําหรับข้อมูลเพิ่มเติม โปรดดูที่ การขึ้นต่อกันของคุณลักษณะ ของ โปรแกรมควบคุม JDBC ของ Microsoft และ ข้อกําหนดการตั้งค่าไคลเอ็นต์
| โหมดการรับรองความถูกต้อง | ข้อมูลเพิ่มเติม |
|---|---|
| Microsoft Entra Interactive | เชื่อมต่อโดยใช้โหมดการรับรองความถูกต้อง ActiveDirectoryInteractive |
| บริการหลักของ Microsoft Entra | เชื่อมต่อโดยใช้โหมดการรับรองความถูกต้อง ActiveDirectoryServicePrincipal |
| รหัสผ่าน Microsoft Entra | เชื่อมต่อโดยใช้โหมดการรับรองความถูกต้อง ActiveDirectoryPassword |
สําหรับส่วนย่อยของโค้ด java ที่ใช้ JDBC ที่มีการรับรองความถูกต้องที่ใช้ SPN โปรดดูที่ fabrictoolbox/dw_connect.java และไฟล์ pom ตัวอย่าง pom.xml
Microsoft.Data.SqlClient ใน .NET
ไลบรารีนี้ Microsoft.Data.SqlClient เป็นตัวให้บริการข้อมูลข้ามแพลตฟอร์มที่ใหม่กว่าสําหรับ SQL Server ซึ่งมีวัตถุประสงค์เพื่อแทนที่ System.Data.SqlClient เก่ากว่าซึ่งเป็น Windows เท่านั้น
แพลตฟอร์มที่สนับสนุน:
- .NET 8.0 และรุ่นที่ใหม่กว่า
- .NET Framework 4.6.2 และใหม่กว่า
Microsoft.Data.SqlClient เป็นการรวมกันของคอมโพเนนต์ System.Data.SqlClient สองตัว ซึ่งมีชุดของคลาสสําหรับการเข้าถึงฐานข้อมูลกลไกจัดการฐานข้อมูล SQL
Microsoft.Data.SqlClient แนะนําสําหรับการพัฒนาใหม่ทั้งหมด
| โหมดการรับรองความถูกต้อง | ข้อมูลเพิ่มเติม |
|---|---|
| Microsoft Entra Interactive | การใช้การรับรองความถูกต้องแบบโต้ตอบ |
| บริการหลักของ Microsoft Entra | การใช้การรับรองความถูกต้องโครงร่างสําคัญของบริการ |
| รหัสผ่าน Microsoft Entra | การใช้การรับรองความถูกต้องรหัสผ่าน |
ส่วนย่อยของโค้ดที่ใช้ SPN: