Usare le identità gestite per accedere al database SQL di Azure o a Azure Synapse Analytics da un job di Analisi di flusso di Azure

Analisi di flusso di Azure supporta Autenticazione identità gestita per sink di output database SQL di Azure e Azure Synapse Analytics. Le identità gestite eliminano le limitazioni dei metodi di autenticazione basati sull'utente, ad esempio la necessità di ripetere l'autenticazione a causa di modifiche della password o di scadenze dei token utente che si verificano ogni 90 giorni. Quando si elimina la necessità di eseguire l'autenticazione manualmente, le distribuzioni di Analisi di flusso possono essere completamente automatizzate.

Un'identità gestita è un'applicazione gestita registrata in Microsoft Entra ID che rappresenta un determinato processo di Analisi di flusso. L'applicazione gestita viene usata per l'autenticazione in una risorsa di destinazione. Questo articolo illustra come abilitare l'identità gestita per un database SQL di Azure o un output Azure Synapse Analytics di un processo di Analisi di flusso tramite il portale di Azure.

Panoramica

Questo articolo illustra i passaggi necessari per connettere il processo di Analisi di flusso al database SQL di Azure o Azure Synapse Analytics pool SQL usando la modalità di autenticazione dell'identità gestita.

  • Per prima cosa, crea un'identità gestita assegnata dal sistema per il processo di Stream Analytics. Questa è l'identità del tuo lavoro in Microsoft Entra ID.

  • Aggiungere un amministratore Active Directory all'area di lavoro di SQL Server o Synapse, che abilita l'autenticazione Microsoft Entra ID (identità gestita) per tale risorsa.

  • Creare quindi un utente indipendente che rappresenta l'identità del processo di Analisi di flusso nel database. Ogni volta che il processo di Analisi di flusso interagisce con la risorsa del database SQL o del database SQL di Synapse, si tratta dell'identità a cui fa riferimento per verificare le autorizzazioni del processo di Analisi di flusso.

  • Concedere le autorizzazioni al processo di Analisi di flusso per accedere al database SQL o ai pool Synapse SQL.

  • Infine, aggiungi database SQL di Azure/Azure Synapse Analytics come output nel job di Stream Analytics.

Prerequisites

Per usare questa funzionalità, sono necessari:

  • Attività di Analisi di flusso di Azure.

  • Una risorsa database SQL di Azure.

Creare un'identità gestita

Per prima cosa, creare un'identità gestita per il job di Analisi di flusso di Azure.

  1. Apri il tuo job di Analisi di flusso di Azure nel portale Azure.

  2. Nel menu di spostamento a sinistra selezionare Identità gestita in Configura. Selezionare quindi la casella accanto a Usa identità gestita assegnata dal sistema e selezionare Salva.

    Selezionare l'identità gestita assegnata dal sistema

    Microsoft Entra ID crea un principale del servizio per l'identità del lavoro di Stream Analytics. Azure gestisce il ciclo di vita dell'identità appena creata. Quando si elimina il processo di Stream Analytics, Azure elimina automaticamente l'identità associata (ovvero il service principal).

  3. È anche possibile passare alle identità gestite assegnate dall'utente.

  4. Quando si salva la configurazione, l'ID oggetto (OID) del principale del servizio viene visualizzato come ID principale, come illustrato nella sezione seguente.

    ID oggetto visualizzato come ID principale

    L'entità servizio ha lo stesso nome del processo di Analisi di flusso. Ad esempio, se il nome del job è MyASAJob, anche il nome del principale del servizio è MyASAJob.

Selezionare un amministratore Active Directory

Dopo aver creato un'identità gestita, selezionare un amministratore Active Directory.

  1. Vai alla tua risorsa database SQL di Azure o al pool SQL di Azure Synapse Analytics. Selezionare il SQL Server o l'area di lavoro di Synapse in cui si trova la risorsa. È possibile trovare il collegamento a queste risorse nella pagina di panoramica delle risorse accanto a Nome server o Nome area di lavoro.

  2. Selezionare Active Directory Admin o SQL Active Directory Admin in Settings rispettivamente per SQL Server e Synapse Workspace. Quindi, selezionare Imposta amministratore.

    Pagina amministrativa di Active Directory

  3. Nella pagina di amministrazione di Active Directory cercare un utente o un gruppo come amministratore per il SQL Server e selezionare Select. Questo utente può creare l'utente del database contenuto nella sezione successiva.

    Aggiungi amministratore Active Directory

    La pagina di amministrazione di Active Directory mostra tutti i membri e i gruppi del Active Directory. Gli utenti o i gruppi disabilitati non possono essere selezionati poiché non sono supportati in qualità di amministratori di Microsoft Entra. Vedere l'elenco degli amministratori supportati nella sezione Microsoft Entra funzionalità e limitazioni di Usare l'autenticazione Microsoft Entra per l'autenticazione con il database SQL o Azure Synapse.

  4. Selezionare Salva nella pagina Active Directory admin. Il processo di modifica dell'amministratore richiede alcuni minuti.

Creare un utente di database indipendente

Creare quindi un utente di database indipendente nel database Azure SQL o Azure Synapse mappato all'identità Microsoft Entra. L'utente del database contenuto non ha un login al database primario, ma effettua il mapping a un'identità nella directory associata al database. L'identità Microsoft Entra può essere un singolo account utente o un gruppo. In questo caso, si vuole creare un utente di database indipendente per il processo di Analisi di flusso.

Per ulteriori informazioni, vedere l'autenticazione universale con il database SQL e Azure Synapse Analytics (supporto SSMS per MFA).

  1. Connettersi al database Azure SQL o Azure Synapse usando SQL Server Management Studio. Il Nome utente è un utente Microsoft Entra con l'autorizzazione ALTER ANY USER. L'amministratore impostato nel SQL Server è un esempio. Usare Microsoft Entra ID - Universale con autenticazione MFA.

    Connect to SQL Server

    Il nome del server <SQL Server name>.database.windows.net potrebbe essere diverso in aree diverse. Ad esempio, l'area Cina deve usare <SQL Server name>.database.chinacloudapi.cn.

    È possibile specificare un database specifico Azure SQL o Azure Synapse passando a Opzioni > Proprietà connessione > Connetti al database.

    Proprietà di connessione di SQL Server

  2. Quando ci si connette per la prima volta, è possibile che venga visualizzata la finestra seguente:

    Nuova finestra di regola del firewall

    1. In questo caso, passare alla risorsa area di lavoro SQL Server o Synapse nel portale di Azure. Nella sezione Sicurezza aprire la pagina Firewall e rete virtuale o Firewall .
    2. Aggiungere una nuova regola con qualsiasi nome di regola.
    3. Usare l'indirizzo IP di origine dalla finestra della Nuova regola del firewall per l'indirizzo IP iniziale.
    4. Usare l'indirizzo IP A dalla finestra Nuova regola del firewall per l'indirizzo IP finale.
    5. Selezionare Salva e tentare di connettersi di nuovo da SQL Server Management Studio.

  3. Dopo aver stabilito la connessione, creare l'utente del database indipendente. Il comando SQL seguente crea un utente del database indipendente con lo stesso nome del processo di Analisi di flusso. Assicurarsi di includere le parentesi quadre intorno al ASA_JOB_NAME. Usare la sintassi T-SQL seguente ed eseguire la query.

    CREATE USER [ASA_JOB_NAME] FROM EXTERNAL PROVIDER;

    Per verificare se l'utente del database contenuto è stato aggiunto correttamente, eseguire il comando seguente in SSMS sotto il database pertinente e controllare se il ASA_JOB_NAME è nella colonna "name".

    SELECT * FROM <SQL_DB_NAME>.sys.database_principals
WHERE type_desc = 'EXTERNAL_USER'

  4. Per fare in modo che Microsoft Entra ID verifichi se il processo di Stream Analytics ha accesso al database SQL, è necessario concedere l'autorizzazione a Microsoft Entra per interagire con il database. A tale scopo, passare di nuovo alla pagina Firewalls e rete virtuale o Firewalls nel portale di Azure, e abilitare Consenti ai servizi e alle risorse di Azure di accedere a questo server o area di lavoro.

    Firewall e rete virtuale

Concedere le autorizzazioni per il processo di Analisi di flusso

Dopo aver creato un utente del database indipendente e aver concesso l'accesso ai servizi di Azure nel portale, come descritto nella sezione precedente, il job di Stream Analytics riceve l'autorizzazione dall'Identità Gestita a CONNETTERSI alla risorsa del database Azure SQL tramite l'Identità Gestita. Concedere le autorizzazioni SELECT e INSERT al processo di Analisi di flusso, perché il processo necessita di queste autorizzazioni in un secondo momento nel flusso di lavoro di Analisi di flusso. L'autorizzazione SELECT consente al processo di testare la connessione alla tabella nel database Azure SQL. L'autorizzazione INSERT consente di testare le query di Analisi di flusso end-to-end dopo aver configurato un input e l'output del database Azure SQL.

È possibile concedere tali autorizzazioni al processo di Analisi di flusso usando SQL Server Management Studio. Per altre informazioni, vedere le informazioni di riferimento su GRANT (Transact-SQL).

Per concedere l'autorizzazione solo a una determinata tabella o oggetto nel database, usare la sintassi T-SQL seguente ed eseguire la query.

GRANT CONNECT TO ASA_JOB_NAME;
GRANT SELECT, INSERT ON OBJECT::TABLE_NAME TO ASA_JOB_NAME;

In alternativa, è possibile fare clic con il pulsante destro del mouse sul database Azure SQL o Azure Synapse in SQL Server Management Studio e selezionare Proprietà > Autorizzazioni. Dal menu delle autorizzazioni è possibile visualizzare il processo di Analisi di flusso aggiunto in precedenza ed è possibile concedere o negare manualmente le autorizzazioni in base alle esigenze.

Per esaminare tutte le autorizzazioni aggiunte all'utente ASA_JOB_NAME , eseguire il comando seguente in SSMS nel database relativo:

SELECT dbprin.name, dbprin.type_desc, dbperm.permission_name, dbperm.state_desc, dbperm.class_desc, object_name(dbperm.major_id)
FROM sys.database_principals dbprin
LEFT JOIN sys.database_permissions dbperm
ON dbperm.grantee_principal_id = dbprin.principal_id
WHERE dbprin.name = '<ASA_JOB_NAME>'

Creare un output di database SQL di Azure o di Azure Synapse

Annotazioni

Quando si usa Istanza gestita di SQL (MI) come input di riferimento, è necessario configurare un endpoint pubblico nel Istanza gestita di SQL. È necessario specificare il nome di dominio completo con la porta durante la configurazione della proprietà del database . Ad esempio: sampleserver.public.database.windows.net,3342.

Dopo aver configurato l'identità gestita, è possibile aggiungere un database SQL di Azure o Azure Synapse output al processo di Analisi di flusso.

Assicurarsi di creare una tabella nel database SQL con lo schema di output appropriato. È necessario specificare il nome di questa tabella quando si aggiunge l'output del database SQL al processo di Analisi di flusso. Assicurarsi inoltre che il processo disponga delle autorizzazioni SELECT e INSERT per testare la connessione ed eseguire query di Analisi di flusso. Se non è già stato fatto, vedere la sezione Concedere le autorizzazioni per i processi di Stream Analytics.

  1. Tornare al tuo Stream Analytics job e accedere alla pagina Output sotto Topologia del processo.

  2. Selezionare Aggiungi > database SQL. Nella finestra delle proprietà di output del sink di output del database SQL selezionare Identità gestita dall'elenco a discesa Modalità di autenticazione.

  3. Compilare il resto delle proprietà. Per altre informazioni sulla creazione di un output del database SQL, vedere Creare un output del database SQL con Analisi di flusso. Al termine, selezionare Salva.

  4. Dopo aver selezionato Salva, viene attivato automaticamente un test di connessione alla risorsa. Una volta che il test è stato completato con successo, hai configurato il lavoro di Stream Analytics per connettersi al database Azure SQL o al Synapse SQL utilizzando la modalità di autenticazione con identità gestita.

Passaggi aggiuntivi per i dati di riferimento SQL

Quando si utilizzano i dati di riferimento SQL, Analisi di flusso di Azure richiede di configurare l'account di archiviazione del job. Il processo usa questo account di archiviazione per archiviare il contenuto correlato al processo di Analisi di flusso, ad esempio gli snapshot dei dati di riferimento SQL.
Per configurare un account di archiviazione associato, seguire questa procedura:

  1. Nella pagina del Stream Analytics job, sotto Configura nel menu a sinistra, selezionare le Impostazioni dell'account di archiviazione.

  2. Nella pagina dell'operazione di Stream Analytics, selezionare Impostazioni account di archiviazione sotto Configura sul menu a sinistra.

  3. Nella pagina Impostazioni account di archiviazione selezionare Aggiungi account di archiviazione.

  4. Seguire le istruzioni per configurare le impostazioni dell'account di archiviazione.

    Screenshot della pagina Impostazioni dell'account di archiviazione di un processo di Analisi di flusso.

Importante

  • Per eseguire l'autenticazione usando un stringa di connessione, è necessario disabilitare le impostazioni del firewall dell'account di archiviazione.
  • Per eseguire l'autenticazione usando l'identità gestita, è necessario aggiungere il processo di Analisi di flusso all'elenco di controllo di accesso dell'account di archiviazione per il ruolo Collaboratore ai dati dei BLOB di archiviazione e Collaboratore dati tabella di archiviazione. Se non si concede l'accesso al job, il job non può eseguire alcuna operazione. Per altre informazioni su come concedere l'accesso, vedere Usare Azure RBAC (controllo degli accessi in base al ruolo) per assegnare un accesso all'identità gestita a un'altra risorsa.

Passaggi aggiuntivi con l'identità gestita assegnata dall'utente

Ripetere i passaggi se è stata selezionata l'identità gestita assegnata dall'utente per connettere ASA a Synapse:

  1. Creare un utente di database contenuto. Sostituire ASA_Job_Name con Identità Gestita Assegnata dall'Utente. Vedi l'esempio seguente. 
    CREATE USER [User-Assigned Managed Identity] FROM EXTERNAL PROVIDER;
  2. Concedere le autorizzazioni alla Managed Identity assegnata dall'utente. Sostituire ASA_Job_Name con Identità Gestita Assegnata dall'Utente.

Per altri dettagli, vedere le sezioni precedenti.

Rimuovere l'identità gestita

Elimina l'identità gestita che hai creato per un'attività di Analisi di flusso solo quando elimini l'attività stessa. Non è possibile eliminare l'identità gestita senza eliminare l'attività. Se non si vuole più usare l'identità gestita, modificare il metodo di autenticazione per l'output. L'identità gestita continua a esistere finché non si elimina il processo e viene usata se si decide di usare nuovamente l'autenticazione dell'identità gestita.

Passaggi successivi

  • Last updated on