Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Auf dieser Seite wird beschrieben, wie Sie databricks Lakehouse Federation so konfigurieren, dass Verbundabfragen auf Microsoft SQL Server mithilfe der Microsoft Entra ID-Authentifizierung ausgeführt werden. Sowohl der User-to-Machine (U2M) OAuth-Fluss als auch der Machine-to-Machine (M2M) OAuth-Fluss werden unterstützt.
Unterstützte OAuth-Flüsse
- U2M: Authentifizieren mit einem Microsoft-Konto. Der Benutzer wird aufgefordert, sich mit einem Umleitungs-URI anzumelden, und das Zugriffstoken wird für den Benutzer ausgegeben.
- M2M: Authentifizieren mithilfe eines Dienstprinzipals. Das Zugriffstoken wird für die Anwendung statt für einen bestimmten Benutzer ausgegeben.
Im Databricks-Arbeitsbereich bezieht sich OAuth auf die U2M-Authentifizierung, und der OAuth-Computer auf Computer bezieht sich auf die M2M-Authentifizierung.
Bevor Sie anfangen
Bevor Sie Verbundabfragen mit entra-ID auf SQL Server ausführen können, müssen Sie folgendes haben:
- Zugriff auf ein Azure-Abonnement und Berechtigungen zum Registrieren von Anwendungen in der Microsoft Entra-ID.
- Administratorzugriff auf Ihre SQL Server-Instanz zum Erstellen von Entra-Prinzipale.
Registrieren einer Anwendung in Microsoft Entra ID
Gehen Sie wie folgt vor, um eine Anwendungsregistrierung für die Authentifizierung zu erstellen:
- Melden Sie sich beim Azure-Portal an.
- Navigieren Sie zu Microsoft Entra ID>>.
- Geben Sie einen Namen für Ihre App ein.
- Legen Sie für U2M (OAuth) den Umleitungs-URI auf Folgendes fest:
https://<workspace-url>/login/oauth/azure.html - Lassen Sie für M2M (Dienstprinzipal) den Weiterleitungs-URI leer.
- Legen Sie für U2M (OAuth) den Umleitungs-URI auf Folgendes fest:
- Klicken Sie auf Registrieren.
- Kopieren Sie die Anwendungs-ID (Client-ID) und die Verzeichnis-ID (Mandanten-ID).
- Navigieren Sie zu Zertifikaten und geheimen Schlüsseln>Neuer geheimer Clientschlüssel.
- Speichern Sie den generierten geheimen Wert.
Berechtigungen für die Anwendung zuweisen
Um der Anwendung die Authentifizierung bei SQL Server zu ermöglichen, weisen Sie die erforderlichen API-Berechtigungen zu:
- Navigieren Sie zu API-Berechtigungen>Zum Hinzufügen einer Berechtigung.
- Wählen Sie Azure SQL-Datenbank>user_impersonation (Delegierte Berechtigungen) aus.
- Stellen Sie für M2M sicher, dass die App über die erforderlichen Berechtigungen für die Dienstprinzipalauthentifizierung verfügt.
- Stellen Sie für die M2M-Authentifizierung in der azure SQL Managed Instance sicher, dass Sie der Rolle "Verzeichnisleser" die identität der verwalteten Instanz zugewiesen haben.
Erstellen eines Dienstprinzipals in SQL Server (nur M2M)
Stellen Sie mithilfe Ihrer Entra-ID-Anmeldeinformationen eine Verbindung mit Ihrer SQL Server-Instanz her. Sie müssen über Berechtigungen zum Erstellen eines neuen Benutzers verfügen.
Erstellen Sie eine neue Anmeldung und einen neuen Benutzer für die Entra-App.
Erteilen von Leseberechtigungen für den Benutzer.
CREATE LOGIN [<app_name>] FROM EXTERNAL PROVIDER; CREATE USER [<app_name>] FROM LOGIN [<app_name>]; ALTER ROLE db_datareader ADD MEMBER [<app_name>];
Ausführliche Informationen und erweiterte Szenarien finden Sie auf den folgenden Seiten in der Microsoft-Dokumentation:
- Erstellen von Microsoft Entra-Prinzipale in SQL
- Übersicht: Microsoft Entra-Authentifizierung für Azure SQL
- Erteilen von Rollen und Berechtigungen für einen Datenbankbenutzer
Erstellen einer Verbindung
Gehen Sie im Databricks-Arbeitsbereich wie folgt vor:
- Klicken Sie in der Randleiste auf "Katalog>hinzufügen", um eine Verbindung hinzuzufügen>.
- Wählen Sie für den VerbindungstypSQL Server aus.
- Wählen Sie für den AuthentifizierungstypOAuth (U2M) oder OAuth-Computer auf Computer (M2M) aus.
- Geben Sie die folgenden Verbindungseigenschaften ein:
- Host: SQL Server-Hostname.
- Port: SQL Server-Port.
- Benutzer: Bei U2M handelt es sich um Ihren Microsoft-Konto-Benutzer. Für M2M lautet der Dienstprinzipalname.
- Geben Sie die Client-ID und den geheimen Clientschlüssel aus der Entra-App-Registrierung ein.
- Geben Sie den Autorisierungsendpunkt ein:
- U2M:
https://login.microsoftonline.com/<tenant-id>/oauth2/v2.0/authorize - M2M:
https://login.microsoftonline.com/<tenant-id>/oauth2/v2.0/token
- U2M:
- Geben Sie
https://database.windows.net/.default offline_access(nur U2M) ein.
- Klicken Sie für U2M auf "Mit Azure Entra-ID anmelden ", und schließen Sie den Authentifizierungsfluss ab.
- Klicken Sie auf "Verbindung erstellen" , und fahren Sie mit der Katalogerstellung fort.
Nächste Schritte
Nachdem die Verbindung mit SQL Server erstellt wurde, haben Sie folgende Möglichkeiten:
- Erstellen Sie einen fremden Katalog, und fragen Sie Ihre Daten ab. Weitere Informationen finden Sie unter Ausführen von Verbundabfragen auf Microsoft SQL Server.
- Wenn Sie die Microsoft Entra-Authentifizierung für die AUFNAHME von SQL Server verwenden möchten, erteilen Sie die erforderlichen Berechtigungen.