Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Tip
Microsoft Fabric Data Warehouse är ett relationslager i företagsskala på en datasjögrund med en framtidsklar arkitektur, inbyggd AI och nya funktioner. Om du är nybörjare på datalager börjar du med Fabric Data Warehouse. Befintliga dedicerade SQL-poolarbetsbelastningar kan uppgraderas till Fabric för att få åtkomst till nya funktioner inom datavetenskap, realtidsanalys och rapportering.
I den här artikeln lär du dig mer om:
- Konfigurationsalternativ för Azure Synapse Analytics som gör det möjligt för användare att utföra administrativa uppgifter och komma åt data som lagras i dessa databaser.
- Åtkomst- och auktoriseringskonfiguration när du har skapat en ny logisk server för din fristående dedikerade SQL-pool (tidigare SQL DW).
- Dedikerade SQL-pooler i Azure Synapse Analytics arbetsytor använder inte logiska SQL-servrar.
- Så här lägger du till inloggningar och användarkonton
masteri databasen och beviljar dessa konton administrativa behörigheter. - Så här lägger du till användarkonton i användardatabaser, antingen associerade med inloggningar eller som inneslutna användarkonton.
- Så här konfigurerar du användarkonton med behörigheter i användardatabaser med hjälp av databasroller och explicita behörigheter.
Autentisering och auktorisering
Autentisering är processen för att bevisa att användaren är den som de påstår sig vara. En användare ansluter till en databas med hjälp av ett användarkonto.
När en användare försöker ansluta till en databas tillhandahåller de ett användarkonto och autentiseringsinformation. Användaren autentiseras med någon av följande två autentiseringsmetoder:
-
Med den här autentiseringsmetoden skickar användaren ett användarnamn och tillhörande lösenord för att upprätta en anslutning. Lösenordet lagras i
masterdatabasen för användarkonton som är länkade till en inloggning eller lagras i databasen som innehåller användarkontona som inte är länkade till en inloggning. Microsoft Entra ID-autentisering
Med den här autentiseringsmetoden skickar användaren ett användarnamn och begär att tjänsten använder den information om autentiseringsuppgifter som lagras i Microsoft Entra ID (formerly Azure Active Directory).
En inloggning är ett konto i
masterdatabasen som ett användarkonto i en eller flera databaser kan länkas till. Med en inloggning lagras autentiseringsinformationen för användarkontot med inloggningen.Ett användarkonto är ett enskilt konto i en databas som kan vara, men inte behöver vara, länkad till en inloggning. Med ett användarkonto som inte är länkat till en inloggning lagras autentiseringsinformationen med användarkontot.
Behörighet att komma åt data och utföra olika åtgärder hanteras med hjälp av databasroller och explicita behörigheter. Auktorisering refererar till de behörigheter som tilldelats en användare och avgör vad användaren får göra. Auktorisering styrs av användarkontots databasrollmedlemskap och behörigheter på objektnivå. Som bästa praxis bör du ge användarna de minsta behörigheter som krävs. Mer information finns i Azure Synapse översikt över åtkomstkontroll för arbetsyta.
Befintliga inloggningar och användarkonton när du har skapat en ny databas
När du först distribuerar en Azure SQL resurs anger du ett inloggningsnamn och ett lösenord för en särskild typ av administrativ inloggning, Serveradministratör. Under distributionen sker följande konfiguration av inloggningar och användare i master och användardatabaser:
Important
Ta inte med någon personlig, känslig eller konfidentiell information i fältet serveradministratörens inloggningsnamn. Data som anges i det här fältet betraktas inte som kunddata.
- Distributionsprocessen skapar en SQL-autentiseringsinloggning med administratörsbehörigheter med det inloggningsnamn som du angav. Ett login är ett enskilt konto för att logga in på Azure Synapse Analytics.
- Distributionsprocessen ger den här inloggningen fullständiga administrativa behörigheter för alla databaser som huvudnamn på servernivå. Inloggningen har alla tillgängliga behörigheter och kan inte begränsas.
- När det här kontot loggar in på en databas matchar det det särskilda användarkontot
dbo(användarkontot), som finns i varje användardatabas. Den dbo- användaren har alla databasbehörigheter i databasen och är medlem idb_ownerfast databasroll. I artikeln beskrivs ytterligare fasta databasroller senare.
Så här identifierar du serveradministratörskontot :
- Gå till Azure-portalen.
- Gå till din Synapse-arbetsyta på resursmenyn.
- På sidan Översikt visar du värdena för SQL-administratörens användarnamn.
Important
Du kan inte ändra namnet på serveradministratörskontot när du har skapat det. Om du vill återställa lösenordet för serveradministratören går du till Azure-portalen, går till Din Synapse-arbetsyta och väljer sedan Reset SQL admin password.
Skapa ytterligare inloggningar och användare med administrativ behörighet
I det här läget konfigureras den logiska servern endast för åtkomst med hjälp av en enda SQL-autentiseringsinloggning och ett användarkonto. Om du vill skapa ytterligare inloggningar med fullständig eller partiell administrativ behörighet använder du följande alternativ, beroende på distributionsläget:
Skapa ett Microsoft Entra-administratörskonto med fullständig administratörsbehörighet
Aktivera Microsoft Entra autentisering och lägg till en Microsoft Entra admin. Du kan konfigurera ett Microsoft Entra konto som administratör för distributionen med fullständig administrativ behörighet. Det här kontot kan vara antingen ett enskilt konto eller ett säkerhetsgruppskonto. Du måste konfigurera en Microsoft Entra-administratör om du vill använda Microsoft Entra-konton för att ansluta till Azure Synapse.
I Azure Synapse-dedikerad SQL-pool skapar du SQL-inloggningar med begränsad administrativ behörighet
- Skapa ytterligare en SQL-autentiseringsinloggning i
masterdatabasen. - Skapa ett användarkonto i databasen som
masterär associerad med den nya inloggningen. - Lägg till användarkontot i
dbmanager,loginmanagerrollen eller båda imasterdatabasen med hjälp av instruktionen sp_addrolemember .
- Skapa ytterligare en SQL-autentiseringsinloggning i
I en serverlös SQL-pool i Azure Synapse skapar du SQL-inloggningar med begränsad administrativ behörighet
- Skapa ytterligare en SQL-autentiseringsinloggning i
masterdatabasen. - Du kan också skapa en inloggning med Microsoft Entra autentisering med hjälp av syntaxen CREATE LOGIN.
- Skapa ytterligare en SQL-autentiseringsinloggning i
Skapa konton för icke-administratörsanvändare
Se till exempel Så här konfigurerar du åtkomstkontroll för din Azure Synapse-arbetsyta.
Bekanta dig med följande funktioner som du kan använda för att begränsa eller höja behörigheter:
- Personifiering och modulsignering kan användas för att tillfälligt höja behörigheterna på ett säkert sätt.
- Row-Level Säkerhet kan användas för att begränsa vilka rader en användare kan komma åt.
- Dynamisk datamaskning kan användas för att begränsa exponeringen av känsliga data.
- Lagrade procedurer kan användas för att begränsa de åtgärder som kan vidtas i databasen.