Konfigurowanie identyfikatora Entra firmy Microsoft dla federacji programu SQL Server

Na tej stronie opisano sposób konfigurowania federacji usługi Databricks Lakehouse w celu uruchamiania zapytań federacyjnych w programie Microsoft SQL Server przy użyciu uwierzytelniania identyfikatora Entra firmy Microsoft. Obsługiwane są przepływy OAuth typu użytkownik-komputer (U2M) i maszyna-maszyna (M2M).

Obsługiwane przepływy OAuth

• U2M: Uwierzytelnianie przy użyciu konta Microsoft. Użytkownik jest proszony o zalogowanie się za pomocą adresu URI przekierowania, a token dostępu jest wydawany dla użytkownika.
• M2M: Uwierzytelnianie przy użyciu jednostki usługi. Token dostępu jest wystawiany dla aplikacji zamiast dla określonego użytkownika.

W obszarze roboczym usługi Databricks uwierzytelnianie OAuth odnosi się do uwierzytelniania U2M, a OAuth Machine to Machine odnosi się do uwierzytelniania M2M.

Zanim rozpoczniesz

Aby można było uruchamiać zapytania federacyjne w programie SQL Server przy użyciu identyfikatora Entra, musisz mieć następujące elementy:

• Dostęp do subskrypcji platformy Azure i uprawnień do rejestrowania aplikacji w usłudze Microsoft Entra ID.
• Dostęp administracyjny do instancji SQL Server w celu utworzenia podmiotów Entra.

Rejestrowanie aplikacji w Microsoft Entra ID

Aby utworzyć rejestrację aplikacji na potrzeby uwierzytelniania, wykonaj następujące czynności:

1. Zaloguj się do witryny Azure Portal.
2. Przejdź do Microsoft Entra ID>Rejestracje aplikacji>Nowa rejestracja.
3. Wprowadź nazwę aplikacji.
   • W przypadku protokołu OAuth (U2M) ustaw identyfikator URI przekierowania na następujące: https://<workspace-url>/login/oauth/azure.html
   • W przypadku M2M (Podmiot usługi) pozostaw pusty identyfikator URI przekierowania.
4. Kliknij pozycję Zarejestruj.
5. Skopiuj identyfikator aplikacji (klienta) i identyfikator katalogu (dzierżawy).
6. Przejdź do pozycji Certyfikaty i wpisy tajne>Nowy klucz tajny klienta.
7. Zapisz wygenerowaną tajną wartość.

Przypisywanie uprawnień do aplikacji

Aby zezwolić aplikacji na uwierzytelnianie w programie SQL Server, przypisz wymagane uprawnienia interfejsu API:

1. Przejdź do Uprawnienia interfejsu API>Dodaj uprawnienie.
2. Wybierz opcję Azure SQL Database>user_impersonation (Uprawnienia delegowane).
3. W przypadku usługi M2M upewnij się, że aplikacja ma wymagane uprawnienia do uwierzytelniania jednostki usługi.
4. W przypadku uwierzytelniania M2M w usłudze Azure SQL Instancja Zarządzana upewnij się, że przypisano tożsamość Instancji Zarządzanej do roli "Directory Readers".

Tworzenie jednostki usługi w programie SQL Server (tylko M2M)

1. Połącz się z instancją programu SQL Server, używając danych logowania Entra ID. Musisz mieć uprawnienia do tworzenia nowego użytkownika.

2. Utwórz nowy identyfikator logowania i użytkownika dla aplikacji Entra.

3. Przyznaj użytkownikowi uprawnienia do odczytu.

   CREATE LOGIN [<app_name>] FROM EXTERNAL PROVIDER;
   CREATE USER [<app_name>] FROM LOGIN [<app_name>];
   ALTER ROLE db_datareader ADD MEMBER [<app_name>];
   

Aby uzyskać szczegółowe informacje i zaawansowane scenariusze, zobacz następujące strony w dokumentacji firmy Microsoft:

• Tworzenie podmiotów Microsoft Entra w programie SQL
• Omówienie: uwierzytelnianie Microsoft Entra dla Azure SQL
• Udzielanie ról i uprawnień użytkownikowi bazy danych

Tworzenie połączenia

W obszarze roboczym usługi Databricks wykonaj następujące czynności:

1. Na pasku bocznym kliknij pozycję Katalog>Dodaj>Dodaj połączenie.
2. W polu Typ połączenia wybierz pozycję SQL Server.
3. W polu Typ uwierzytelniania wybierz pozycję OAuth (U2M) lub OAuth Machine to Machine (M2M).
4. Wprowadź następujące właściwości połączenia:
   • Host: nazwa hosta programu SQL Server.
   • Port: Port programu SQL Server.
   • Użytkownik: użytkownik konta Microsoft dla U2M. W przypadku M2M nazwa główna usługi.
   • Wprowadź identyfikator klienta i klucz tajny klienta z rejestracji aplikacji Entra.
   • Wprowadź punkt końcowy autoryzacji:
     • U2M: https://login.microsoftonline.com/<tenant-id>/oauth2/v2.0/authorize
     • M2M: https://login.microsoftonline.com/<tenant-id>/oauth2/v2.0/token
   • W polu Zakres OAuth wprowadź wartość https://database.windows.net/.default offline_access (tylko U2M).
5. Dla U2M kliknij pozycję Zaloguj się za pomocą Azure Entra ID i ukończ przepływ uwierzytelniania.
6. Kliknij Utwórz połączenie i kontynuuj do tworzenia katalogu.

Dalsze kroki

Po utworzeniu połączenia z programem SQL Server możesz wykonać następujące czynności:

• Utwórz wykaz obcy i wykonaj zapytanie dotyczące danych. Zobacz Uruchamianie zapytań federacyjnych na Microsoft SQL Server.
• Jeśli chcesz użyć uwierzytelniania Microsoft Entra na potrzeby przetwarzania danych w SQL Server, przyznaj niezbędne uprawnienia.