Välj en autentiseringsmetod i Serverlösa SQL-pooler i Azure Synapse
Serverlös SQL-poolautentisering refererar till hur användare bevisar sin identitet när de ansluter till slutpunkten. Två typer av autentisering stöds:
SQL-autentisering
Den här autentiseringsmetoden använder ett användarnamn och lösenord.
Microsoft Entra-autentisering
Den här autentiseringsmetoden använder identiteter som hanteras av Microsoft Entra-ID. För Microsoft Entra-användare kan multifaktorautentisering aktiveras. Använd Active Directory-autentisering (integrerad säkerhet) närhelst det går.
Auktorisering
Auktorisering refererar till vad en användare kan göra i en serverlös SQL-pooldatabas och styrs av användarkontots databasrollmedlemskap och behörigheter på objektnivå.
Om SQL-autentisering används finns SQL-användaren endast i den serverlösa SQL-poolen och behörigheter begränsas till objekten i den serverlösa SQL-poolen. Åtkomst till skyddsbara objekt i andra tjänster (till exempel Azure Storage) kan inte beviljas direkt till en SQL-användare eftersom den bara finns i omfånget för en serverlös SQL-pool. SQL-användaren måste få auktorisering för att få åtkomst till filerna i lagringskontot.
Om Microsoft Entra-autentisering används kan en användare logga in på en serverlös SQL-pool och andra tjänster, till exempel Azure Storage, och kan bevilja behörigheter till Microsoft Entra-användaren.
Åtkomst till lagringskonton
En användare som är inloggad i den serverlösa SQL-pooltjänsten måste ha behörighet att komma åt och köra frågor mot filerna i Azure Storage. Serverlös SQL-pool stöder följande auktoriseringstyper:
Anonym åtkomst
För att få åtkomst till offentligt tillgängliga filer som placeras på Azure-lagringskonton som tillåter anonym åtkomst.
Signatur för delad åtkomst (SAS)
Ger delegerad åtkomst till resurser i lagringskontot. Med en SAS kan du ge klienter åtkomst till resurser i lagringskontot utan att dela kontonycklar. En SAS ger dig detaljerad kontroll över vilken typ av åtkomst du beviljar till klienter som har SAS: giltighetsintervall, beviljade behörigheter, acceptabelt IP-adressintervall, acceptabelt protokoll (https/http).
Hanterad identitet.
Är en funktion i Microsoft Entra ID som tillhandahåller Azure-tjänster för serverlös SQL-pool. Dessutom distribueras en automatiskt hanterad identitet i Microsoft Entra-ID. Den här identiteten kan användas för att auktorisera begäran om dataåtkomst i Azure Storage. Innan du kan komma åt data måste Azure Storage-administratören ge behörighet att komma åt data till Managed Identity. Att ge behörighet till Managed Identity görs på samma sätt som att ge behörighet till andra Microsoft Entra-användare.
Användaridentitet
Kallas även "genomströmning" är en auktoriseringstyp där identiteten för Den Microsoft Entra-användare som loggade in i en serverlös SQL-pool används för att auktorisera åtkomst till data. Innan du kommer åt data måste Azure Storage-administratören bevilja behörigheter till Microsoft Entra-användare för åtkomst till data. Den här auktoriseringstypen använder Microsoft Entra-användaren som loggade in i en serverlös SQL-pool. Därför stöds den inte för SQL-användartyper.
Auktoriseringstyper som stöds för databasanvändare finns i tabellen nedan:
| Auktoriseringstyp | SQL-användare | Microsoft Entra-användare |
|---|---|---|
| Användaridentitet | Stöds inte | Stöds |
| SAS | Stöds | Stöds |
| Hanterad identitet | Stöds inte | Stöds |
Lagrings- och auktoriseringstyper som stöds finns i tabellen nedan:
| Auktoriseringstyp | Blob Storage | ADLS Gen1 | ADLS Gen2 |
|---|---|---|---|
| Användaridentitet | Stöds – SAS-token kan användas för åtkomst till lagring som inte skyddas med brandväggen | Stöds inte | Stöds – SAS-token kan användas för åtkomst till lagring som inte skyddas med brandväggen |
| SAS | Stöds | Stöds | Stöds |
| Hanterad identitet | Stöds | Stöds | Stöds |