Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Gebruik deze Microsoft SQL-beveiligingsvoorbeelden om te vergelijken hoe Data API Builder (DAB) wordt geverifieerd bij SQL, gebruikers valideert en toegang per gebruiker afdwingt. Elk voorbeeld staat op zichzelf, maar de reeks gaat van eenvoudige inloggegevens naar door de gebruiker gedelegeerde toegang tot Azure SQL.
Kies een snelstart
Begin met de vraag die overeenkomt met uw doel.
| Als je wilt... | Gebruik deze snelstartgids |
|---|---|
| Meer informatie over het eenvoudigste DAB-naar-SQL-verbindingspatroon | Gebruikersnaam/wachtwoord |
| SQL-wachtwoorden verwijderen uit Azure configuratie | beheerde identiteit |
| Microsoft Entra tokenvalidatie toevoegen voordat aanmelding is vereist | Microsoft Entra |
| Rijen in DAB filteren met token claims | DAB-beleid |
| Rijen filteren in SQL met behulp van beveiliging op databaseniveau | SQL-beveiliging op rijniveau |
| Azure SQL de aangemelde gebruiker rechtstreeks laten verifiëren | Namens Azure SQL |
Beslissingsstructuur
- Hebt u alleen een basiswerkvoorbeeld nodig?
- Gebruikersnaam /wachtwoord gebruiken.
- Wilt u toegang tot DAB-to-Azure SQL zonder wachtwoord?
- Beheerde identiteit gebruiken.
- Hebt u DAB nodig om Microsoft Entra tokens te valideren?
- Gebruik Microsoft Entra.
- Moeten aangemelde gebruikers alleen hun eigen rijen zien?
- Als DAB het filter moet afdwingen, gebruikt u DAB-beleid.
- Als SQL het filter moet afdwingen, gebruikt u beveiliging op rijniveau van SQL.
- Hebben auditlogboeken of databasebeleid de werkelijke aangemelde gebruiker nodig als de SQL-identiteit?
- Gebruik Namens Azure SQL.
Het beveiligingsmodel vergelijken
De kolom DAB-verificatieprovider toont de effectieve waarde voor runtime.host.authentication.provider. Als de configuratie deze instelling weglaat, gebruikt DAB Unauthenticated. Met uitzondering van de voorbeelden voor gebruikersnaam/wachtwoord en on-behalf-of gebruiken lokale uitvoeringen SQL-aanmeldgegevens en gebruiken Azure-implementaties een beheerde identiteit. Het on-behalf-of-voorbeeld stelt data-source.user-delegated-auth.provider ook in op EntraId.
| Quickstart | Van gebruiker naar webapp | Web-app naar DAB | DAB-authenticatieprovider | DAB naar SQL |
|---|---|---|---|---|
| Gebruikersnaam/wachtwoord | Anoniem | Anoniem | Unauthenticated |
SQL-aanmeldingsgegevens |
| beheerde identiteit | Anoniem | Anoniem | Unauthenticated |
Beheerde identiteit in Azure |
| Microsoft Entra | Anoniem | Anoniem | EntraId |
Beheerde identiteit in Azure |
| DAB-beleid | Microsoft Entra-aanmelding | draagtoken | EntraId |
Beheerde identiteit in Azure |
| SQL-beveiliging op rijniveau | Microsoft Entra-aanmelding | draagtoken | EntraId |
Beheerde identiteit in Azure |
| Namens Azure SQL | Microsoft Entra-aanmelding | draagtoken | EntraId |
Door de gebruiker gedelegeerd token voor Azure SQL |