在 Azure Synapse 無伺服器 SQL 集區中選擇驗證方法
無伺服器 SQL 集區驗證是指使用者如何在連線到端點時證明其身分識別。 支援兩種類型的驗證:
SQL 驗證
此驗證方法會使用使用者名稱和密碼。
Microsoft Entra 驗證
此驗證方法會使用由 Microsoft Entra ID 管理的身分識別。 若為 Microsoft Entra 使用者,可以啟用多重要素驗證。 盡可能使用 Active Directory 驗證 (整合式安全性)。
授權
授權是指使用者可在無伺服器 SQL 集區資料庫內執行的動作,這是由使用者帳戶的資料庫角色成員資格和物件層級權限所控制。
如果使用 SQL 驗證,則 SQL 使用者只會存在於無伺服器 SQL 集區中,且權限會限縮在無伺服器 SQL 集區中的物件。 您無法直接對 SQL 使用者授與其他服務 (例如 Azure 儲存體) 中安全性實體物件的存取權,因為其只存在於無伺服器 SQL 集區的範圍內。 SQL 使用者需取得授權,才能存取儲存體帳戶中的檔案。
若使用 Microsoft Entra 驗證,使用者可以登入無伺服器 SQL 集區及 Azure 儲存體等其他服務,而且您可以授與權限給 Microsoft Entra 使用者。
儲存體帳戶的存取權
登入無伺服器 SQL 集區服務的使用者必須獲得授權,才能存取及查詢 Azure 儲存體中的檔案。 無伺服器 SQL 集區支援下列授權類型:
匿名存取
存取放置於 Azure 儲存體帳戶上的公用檔案,而且這些檔案允許匿名存取。
共用存取簽章 (SAS)
提供儲存體帳戶中資源的委派存取權。 透過 SAS,您可以授權用戶端存取儲存體帳戶中資源,而不需共用帳戶金鑰。 SAS 可讓您更細微地控制您授與具有 SAS 之用戶端的存取類型:有效間隔、授與的權限、可接受的 IP 位址範圍、可接受的通訊協定 (https/http)。
受控識別。
這是 Microsoft Entra ID 的一項功能,可為無伺服器 SQL 集區提供 Azure 服務。 此外,其會在 Microsoft Entra ID 中部署自動受控識別。 此身分識別可用來授權 Azure 儲存體中的資料存取要求。 存取資料之前,Azure 儲存體管理員必須將權限授與受控識別,才能存取資料。 將權限授與受控識別的方式與將權限授與其他任何 Microsoft Entra 使用者的方式相同。
使用者身分識別
亦稱為「傳遞」,是一種授權類型,系統會使用已登入無伺服器 SQL 集區的 Microsoft Entra 使用者身分識別來授權資料的存取。 存取資料之前,Azure 儲存體管理員必須授與 Microsoft Entra 使用者存取資料的權限。 此授權類型會使用已登入無伺服器 SQL 集區的 Microsoft Entra 使用者,因此不支援 SQL 使用者類型。
您可以在下表中找到資料庫使用者支援的授權類型:
授權類型 | SQL 使用者 | Microsoft Entra 使用者 |
---|---|---|
使用者身分識別 | 不支援 | 支援 |
SAS | 支援 | 支援 |
受控識別 | 不支援 | 支援 |
您可以在下表中找到支援的儲存體和授權類型:
授權類型 | Blob 儲存體 | ADLS Gen1 | ADLS Gen2 |
---|---|---|---|
使用者身分識別 | 支援 - SAS 權杖可用於存取未受防火牆保護的儲存體 | 不支援 | 支援 - SAS 權杖可用於存取未受防火牆保護的儲存體 |
SAS | 支援 | 支援 | 支援 |
受控識別 | 支援 | 支援 | 支援 |