Condividi tramite


Panoramica delle identità gestite

Un'identità gestita da Microsoft Entra ID consente al cluster di accedere ad altre risorse protette di Microsoft Entra, ad esempio Archiviazione di Azure. L'identità viene gestita dalla piattaforma Azure e non è necessario eseguire il provisioning o ruotare alcun segreto.

Tipi di identità gestite

Al cluster di Azure Esplora dati possono essere concessi due tipi di identità:

  • Identità assegnata dal sistema: associata al cluster ed eliminata se la risorsa viene eliminata. Un cluster può avere solo un'identità assegnata dal sistema.

  • Identità assegnata dall'utente: risorsa di Azure autonoma che può essere assegnata al cluster. Un cluster può avere più identità assegnate dall'utente.

Eseguire l'autenticazione con le identità gestite

Le risorse Microsoft Entra a tenant singolo possono usare solo le identità gestite per comunicare con le risorse nello stesso tenant. Questa limitazione limita l'uso di identità gestite in determinati scenari di autenticazione. Ad esempio, non è possibile usare un'identità gestita di Azure Esplora dati per accedere a un hub eventi che si trova in un tenant diverso. In questi casi, usare l'autenticazione basata su chiave dell'account.

Azure Esplora dati è in grado di supportare più tenant, il che significa che è possibile concedere l'accesso alle identità gestite da tenant diversi. A tale scopo, assegnare i ruoli di sicurezza pertinenti. Quando si assegnano i ruoli, fare riferimento all'identità gestita come descritto in Riferimento alle entità di sicurezza.

Per eseguire l'autenticazione con identità gestite, seguire questa procedura:

  1. Configurare un'identità gestita per il cluster
  2. Configurare i criteri di identità gestita
  3. Usare l'identità gestita nei flussi di lavoro supportati

Configurare un'identità gestita per il cluster

Il cluster deve disporre delle autorizzazioni per agire per conto dell'identità gestita specificata. Questa assegnazione può essere assegnata sia per le identità gestite assegnate dal sistema che per le identità gestite assegnate dall'utente. Per istruzioni, vedere Configurare le identità gestite per il cluster di azure Esplora dati.

Configurare i criteri di identità gestita

Per usare l'identità gestita, è necessario configurare i criteri di identità gestita per consentire questa identità. Per istruzioni, vedere Criteri di identità gestita.

I comandi di gestione dei criteri di gestione delle identità gestite sono:

Usare l'identità gestita nei flussi di lavoro supportati

Dopo aver assegnato l'identità gestita al cluster e aver configurato l'utilizzo dei criteri di gestione delle identità gestite pertinenti, è possibile iniziare a usare l'autenticazione dell'identità gestita nei flussi di lavoro seguenti:

  • Tabelle esterne: creare una tabella esterna con l'autenticazione dell'identità gestita. L'autenticazione viene dichiarata come parte del stringa di connessione. Per esempi, vedere stringa di connessione di archiviazione. Per istruzioni sull'uso di tabelle esterne con l'autenticazione dell'identità gestita, vedere Autenticare tabelle esterne con identità gestite.

  • Esportazione continua: eseguire un'esportazione continua per conto di un'identità gestita. Un'identità gestita è necessaria se la tabella esterna usa l'autenticazione di rappresentazione o se la query di esportazione fa riferimento a tabelle in altri database. Per usare un'identità gestita, aggiungere l'identificatore dell'identità gestita nei parametri facoltativi specificati nel create-or-alter comando . Per una guida dettagliata, vedere Eseguire l'autenticazione con l'identità gestita per l'esportazione continua.

  • Inserimento nativo di Hub eventi: usare un'identità gestita con l'inserimento nativo dell'hub eventi. Per altre informazioni, vedere Inserire dati dall'hub eventi in Azure Esplora dati.

  • Plug-in Python: usare un'identità gestita per eseguire l'autenticazione agli account di archiviazione di artefatti esterni usati nel plug-in Python. Si noti che l'utilizzo SandboxArtifacts deve essere definito nei criteri di gestione delle identità gestite a livello di cluster. Per altre informazioni, vedere Plug-in Python.

  • Inserimento basato su SDK: quando si accodare i BLOB per l'inserimento da account di archiviazione personalizzati, è possibile usare le identità gestite come alternativa ai token di firma di accesso condiviso e ai metodi di autenticazione con chiavi condivise. Per altre informazioni, vedere Blob di accodamento per l'inserimento tramite l'autenticazione dell'identità gestita.

  • Inserimento dall'archiviazione: inserire dati da file che si trovano in archivi cloud in una tabella di destinazione usando l'autenticazione dell'identità gestita. Per altre informazioni, vedere Inserimento dall'archiviazione.

  • Plug-in di richiesta SQL: usare un'identità gestita per eseguire l'autenticazione in un database esterno quando si usano i plug-in sql_request o cosmosdb_request .