Поделиться через


Проверка подлинности Microsoft Entra в качестве альтернативы проверке подлинности SQL

Область применения:✅ конечная точка аналитики SQL и хранилище в Microsoft Fabric

В этой статье рассматриваются технические методы, которые пользователи и клиенты могут использовать для перехода с проверки подлинности SQL на проверку подлинности Microsoft Entra в Microsoft Fabric. Проверка подлинности Microsoft Entra — это альтернатива имени пользователя и паролям с помощью проверки подлинности SQL для входа в конечную точку аналитики SQL lakehouse или хранилища в Microsoft Fabric. Проверка подлинности Microsoft Entra рекомендуется и жизненно важна для создания безопасной платформы данных.

В этой статье рассматривается проверка подлинности Microsoft Entra в качестве альтернативы проверке подлинности SQL в элементах Microsoft Fabric, таких как конечная точка аналитики Хранилища или Lakehouse SQL.

Преимущества проверки подлинности Microsoft Entra в Fabric

Одним из основных принципов Microsoft Fabric является защита путем разработки. Microsoft Entra является неотъемлемой частью безопасности Microsoft Fabric, обеспечивая надежную защиту данных, управление и соответствие требованиям.

Microsoft Entra играет важную роль в безопасности Microsoft Fabric по нескольким причинам:

  • Проверка подлинности. Проверка пользователей и субъектов-служб с помощью идентификатора Microsoft Entra, который предоставляет маркеры доступа для операций в Fabric.
  • Безопасный доступ. Безопасное подключение к облачным приложениям с любого устройства или сети, защита запросов, сделанных в Fabric.
  • Условный доступ: администраторы могут задавать политики, которые оценивают контекст входа пользователя, управляют доступом или применяют дополнительные действия проверки.
  • Интеграция: идентификатор Microsoft Entra ID легко работает со всеми предложениями Microsoft SaaS, включая Fabric, что обеспечивает простой доступ к устройствам и сетям.
  • Широкая платформа: получение доступа к Microsoft Fabric с помощью идентификатора Microsoft Entra с помощью любого метода, будь то через портал Fabric, SQL строка подключения, REST API или конечную точку XMLA.

Microsoft Entra принимает полную политику нулевого доверия, предлагая превосходную альтернативу традиционной проверке подлинности SQL, ограниченной именами пользователей и паролями. Особенности этого подхода:

  • Запрещает олицетворение пользователей.
  • Обеспечивает точное управление доступом с учетом удостоверения пользователя, среды, устройств и т. д.
  • Поддерживает расширенную безопасность, например многофакторную проверку подлинности Microsoft Entra.

Конфигурация Структуры

Проверка подлинности Microsoft Entra для использования с конечной точкой аналитики Хранилища или Lakehouse SQL требует настройки как в параметрах клиента, так и в рабочей области.

Параметр клиента

Администратор Fabric в клиенте должен разрешить доступ к API-интерфейсам Структуры, необходимым для интерфейса имени субъекта-службы для sql строка подключения с элементами конечной точки хранилища Fabric или аналитики SQL.

Этот параметр находится в разделе параметров разработчика и помечен субъекты-службы могут использовать API Fabric. Убедитесь, что он включен.

Снимок экрана: портал Fabric страницы

Параметр рабочей области

Администратор Fabric в рабочей области должен предоставить доступ пользователю или имени участника-службы для доступа к элементам Fabric.

Существует два средства, с помощью которых пользователь или имя участника-службы можно предоставить доступ:

  • Предоставьте пользователю или участнику субъекта-службы членство в роли: любая роль рабочей области (администратор, участник, участник или средство просмотра) достаточно для подключения к элементам хранилища или озера с помощью строка подключения SQL.

    1. В разделе "Управление доступом" в рабочей области назначьте роль участника. Дополнительные сведения см. в разделе "Роли службы".
  • Назначьте пользователю или имени субъекта-службы определенному элементу: предоставьте доступ к определенной конечной точке хранилища или аналитики SQL в Lakehouse. Администратор Fabric может выбрать разные уровни разрешений.

    1. Перейдите к соответствующему элементу конечной точки хранилища или аналитики SQL.
    2. Выберите "Дополнительные параметры" и "Управление разрешениями". Выберите Добавить пользователя.
    3. Добавьте имя пользователя или участника-службы на страницу предоставления доступа пользователям.
    4. Назначьте необходимые разрешения пользователю или имени участника-службы. Выберите дополнительные разрешения только для предоставления разрешений на подключение.

    Снимок экрана: портал Fabric страницы предоставления доступа пользователям.

Вы можете изменить разрешения по умолчанию, предоставленные пользователю или имени участника-службы системой. Используйте команды T-SQL GRANT и DENY , чтобы изменить разрешения по мере необходимости или ALTER ROLE , чтобы добавить членство в роли.

В настоящее время имена субъектов-служб не имеют возможности в качестве учетных записей пользователей для подробной настройки разрешений.GRANT/DENY

Поддержка удостоверений пользователей и имен субъектов-служб (SPN)

Структура изначально поддерживает проверку подлинности и авторизацию для пользователей Microsoft Entra и имен субъектов-служб (SPN) в подключениях SQL к элементам конечной точки хранилища и аналитики SQL.

  • Удостоверения пользователей — это уникальные учетные данные для каждого пользователя в организации.
  • Имена субъектов-служб представляют объекты приложений в клиенте и действуют в качестве удостоверения для экземпляров приложений, принимая на себя роль проверки подлинности и авторизации этих приложений.

Поддержка табличного потока данных (TDS)

Fabric использует протокол табличного потока данных (TDS), аналогичный SQL Server при подключении к строка подключения.

Структура совместима с любым приложением или инструментом, способным подключаться к продукту с помощью модуля База данных SQL. Как и подключение к экземпляру SQL Server, TDS работает с TCP-портом 1433. Дополнительные сведения о подключении к SQL Fabric см. в разделе "Подключение".

Чтобы получить строка подключения, выберите дополнительные параметры в хранилище Fabric или элемент конечной точки аналитики SQL.

Снимок экрана: портал Fabric контекстного меню

Пример SQL строка подключения выглядит следующим образом: <guid_unique_your_item>.datawarehouse.fabric.microsoft.com

Приложения и клиентские средства могут задать Authentication свойство подключения в строка подключения, чтобы выбрать режим проверки подлинности Microsoft Entra. В следующей таблице описаны различные режимы проверки подлинности Microsoft Entra, включая поддержку многофакторной проверки подлинности (MFA) Microsoft Entra.

Режим проверки подлинности Сценарии Комментарии
Microsoft Entra Interactive Используется приложениями или инструментами в ситуациях, когда проверка подлинности пользователей может выполняться в интерактивном режиме или в случае, если оно приемлемо для проверки учетных данных вручную. Активируйте политики условного доступа MFA и Microsoft Entra для применения правил организации.
Субъект-служба Microsoft Entra Используется приложениями для безопасной проверки подлинности без вмешательства человека, наиболее подходящим для интеграции приложений. Рекомендуется включить политики условного доступа Microsoft Entra.
Пароль Microsoft Entra Если приложения не могут использовать проверку подлинности на основе имени субъекта-службы из-за несовместимости или требуют универсального имени пользователя и пароля для многих пользователей или если другие методы недоступны. MFA должен быть отключен, и политики условного доступа не могут быть заданы. Перед выбором этого решения рекомендуется выполнить проверку с помощью команды безопасности клиента.

Блок-схема, показывающая режимы проверки подлинности Microsoft Entra и точки принятия решений.

Поддержка драйверов для проверки подлинности Microsoft Entra

Хотя большинство драйверов SQL изначально пришли с поддержкой проверки подлинности Microsoft Entra, последние обновления расширили совместимость, чтобы включить проверку подлинности на основе имени участника-службы. Это улучшение упрощает переход на проверку подлинности Microsoft Entra для различных приложений и инструментов с помощью обновлений драйверов и добавления поддержки проверки подлинности Microsoft Entra.

Однако иногда необходимо настроить дополнительные параметры, такие как включение определенных портов или брандмауэров для упрощения проверки подлинности Microsoft Entra на хост-компьютере.

Приложения и средства должны обновлять драйверы до версий, поддерживающих проверку подлинности Microsoft Entra, и добавлять ключевое слово режима проверки подлинности в строка подключения SQL, например ActiveDirectoryInteractiveActiveDirectoryServicePrincipalили ActiveDirectoryPassword.

Структура совместима с собственными драйверами Майкрософт, включая OLE DB, Microsoft.Data.SqlClientи универсальные драйверы, такие как ODBC и JDBC. Переход для приложений, работающих с Fabric, можно управлять с помощью перенастройки для использования проверки подлинности на основе идентификатора Microsoft Entra.

Дополнительные сведения см. в разделе "Подключение к хранилищу данных" в Microsoft Fabric.

OLE DB (Майкрософт)

Драйвер OLE DB для SQL Server — это автономный API доступа к данным, разработанный для OLE DB и первый выпуск с SQL Server 2005 (9.x). Так как расширенные функции включают проверку подлинности на основе имени участника-службы с версией 18.5.0, добавив к существующим методам проверки подлинности из предыдущих версий.

Режим проверки подлинности Строка подключения SQL
Microsoft Entra Interactive Интерактивная проверка подлинности Microsoft Entra
Субъект-служба Microsoft Entra Проверка подлинности субъекта-службы Microsoft Entra
Пароль Microsoft Entra Проверка подлинности имени пользователя и пароля Microsoft Entra

Фрагмент кода C# с помощью OLE DB с проверкой подлинности на основе spN см. в System.Data.OLEDB.Connect.cs.

Драйвер ODBC Microsoft.

Драйвер Microsoft ODBC для SQL Server — это одна библиотека динамической компоновки (DLL), содержащая поддержку времени выполнения для приложений, использующих API машинного кода для подключения к SQL Server. Рекомендуется использовать последнюю версию для приложений для интеграции с Fabric.

Дополнительные сведения о проверке подлинности Microsoft Entra с помощью ODBC см. в статье Об использовании идентификатора Microsoft Entra с примером кода драйвера ODBC.

Режим проверки подлинности Строка подключения SQL
Microsoft Entra Interactive DRIVER={ODBC Driver 18 for SQL Server};SERVER=<SQL Connection String>;DATABASE=<DB Name>;UID=<Client_ID@domain>;PWD=<Secret>;Authentication=ActiveDirectoryInteractive
Субъект-служба Microsoft Entra DRIVER={ODBC Driver 18 for SQL Server};SERVER=<SQL Connection String>;DATABASE=<DBName>;UID=<Client_ID@domain>;PWD=<Secret>;Authentication=ActiveDirectoryServicePrincipal
Пароль Microsoft Entra DRIVER={ODBC Driver 18 for SQL Server};SERVER=<SQL Connection String>;DATABASE=<DBName>;UID=<Client_ID@domain>;PWD=<Secret>;Authentication=ActiveDirectoryPassword

Фрагмент кода Python с помощью ODBC с проверкой подлинности на основе субъекта-службы см. в pyodbc-dw-connectivity.py.

Драйвер Microsoft JDBC

Драйвер Microsoft JDBC для SQL Server — это драйвер JDBC типа 4, который обеспечивает подключение к базе данных через стандартные интерфейсы программ приложений JDBC (API), доступные на платформе Java.

Начиная с версии 9.2, mssql-jdbc предоставляет поддержку ActiveDirectoryInteractive и ActiveDirectoryServicePrincipalActiveDirectoryPassword поддерживается в версиях 12.2 и выше. Для этого драйвера требуются дополнительные jar-файлы в качестве зависимостей, которые должны быть совместимы с версией используемой mssql-driver в приложении. Дополнительные сведения см. в разделе "Зависимости компонентов" драйвера JDBC и требования к настройке клиента.

Режим проверки подлинности Дополнительные сведения
Microsoft Entra Interactive Подключение с помощью режима проверки подлинности ActiveDirectoryInteractive
Субъект-служба Microsoft Entra Подключение с помощью режима проверки подлинности ActiveDirectoryServicePrincipal
Пароль Microsoft Entra Подключение с помощью режима проверки подлинности ActiveDirectoryPassword

Фрагмент кода java с помощью JDBC с проверкой подлинности на основе имени субъекта-службы см. в разделе fabrictoolbox/dw_connect.java и пример файла pom pom.xml.

Microsoft.Data.SqlClient в .NET Core (C#)

Microsoft.Data.SqlClient — это поставщик данных для Microsoft SQL Server и База данных SQL Azure. Это объединение двух System.Data.SqlClient компонентов, которые живут независимо в платформа .NET Framework и .NET Core, предоставляя набор классов для доступа к базам данных Microsoft SQL Server. Microsoft.Data.SqlClient рекомендуется для всех новых и будущих разработок.

Режим проверки подлинности Дополнительные сведения
Microsoft Entra Interactive Использование интерактивной проверки подлинности
Субъект-служба Microsoft Entra Использование аутентификации на основе субъекта-службы
Пароль Microsoft Entra Использование проверки подлинности паролей

Фрагменты кода с помощью субъектов-служб: