Compartir a través de

Azure Synapse Analytics 中的 SQL 身份验证

Azure Synapse Analytics 有两个可用来控制资源消耗的 SQL 组成要素。 本文介绍了这两个组成要素如何控制用户身份验证。

若要向 Synapse SQL 进行身份验证,可以使用两个选项:

  • Microsoft Entra 身份验证
  • SQL 身份验证

SQL 身份验证使旧版应用程序能够以熟悉的方式使用用户名和密码连接到 Azure Synapse SQL。 但 Microsoft Entra 身份验证允许集中管理对 Azure Synapse 资源(如 SQL 池)的访问。 Azure Synapse Analytics 支持在创建工作区期间和之后禁用本地身份验证,例如 SQL 身份验证。 禁用后,有权限的用户随时都可以启用本地身份验证。 有关 Microsoft Entra-only 认证的详细信息,请参阅 在 Azure Synapse Analytics 中禁用本地身份验证

管理帐户

有两个充当管理员的管理帐户(SQL 管理员用户名Microsoft Entra 管理员)。 若要为 SQL 池识别这些管理员帐户,请打开 Azure 门户并导航到你的 Synapse 工作区的“属性”选项卡。

SQL Server 管理员

  • SQL 管理员用户名

    创建 Azure Synapse Analytics 时,必须指定“服务器管理员登录名”。 SQL 服务器创建该帐户作为 master 数据库中的登录名。 此帐户通过 SQL Server 身份验证(用户名和密码)进行连接。 此类帐户只能存在一个。

  • Microsoft Entra 管理员

    也可以将某个 Microsoft Entra 帐户(个人帐户或安全组帐户)配置为管理员。 可以选择配置 Microsoft Entra 管理员,但如果要使用 Microsoft Entra 帐户连接到 Synapse SQL, 则必须 配置 Microsoft Entra 管理员。

    • Microsoft Entra 管理员帐户控制对专用 SQL 池的访问,而 Synapse RBAC 角色可用于控制对无服务器池的访问,例如,使用 Synapse 管理员Synapse SQL 管理员 角色。

“SQL 管理员用户名”和“Microsoft Entra 管理员”帐户具有以下特征:

  • 只有这些帐户才能自动连接到服务器上的任何 SQL 数据库。 (其他帐户若要连接到用户数据库,它们必须是数据库的所有者,或者在用户数据库中具有相应的用户帐户。)
  • 这些帐户以 dbo 用户的身份进入用户数据库,在用户数据库中拥有所有权限。 (用户数据库的所有者也以 dbo 用户的身份进入数据库。)
  • 不以 master 用户的身份进入 dbo 数据库,并且在 master 数据库中的权限受限制。
  • 不是标准 SQL Server 固定服务器角色的成员,SQL 数据库中未提供此角色。
  • 可以在 master 数据库和服务器级 IP 防火墙规则中创建、更改及删除数据库、登录名与用户。
  • 可以在 dbmanagerloginmanager 角色中添加和删除成员。
  • 可以查看 sys.sql_logins 系统表。

注意事项

如果用户配置为 Microsoft Entra 管理员和 Synapse 管理员,然后从 Microsoft Entra 管理员角色中删除,则用户将失去对 Synapse 中专用 SQL 池的访问权限。 必须删除用户,然后将其添加到 Synapse 管理员角色,以重新获得对专用 SQL 池的访问权限。

若要管理有权访问无服务器 SQL 池的用户,可以按以下说明操作。

若要创建用于无服务器 SQL 池的登录名,请使用以下语法:

CREATE LOGIN Mary WITH PASSWORD = '<strong_password>';
-- or
CREATE LOGIN [Mary@domainname.net] FROM EXTERNAL PROVIDER;

如果登录名已存在,则可以在无服务器 SQL 池终结点内的各个数据库中创建用户,并向这些用户授予所需的权限。 若要创建用户,可以使用以下语法:

CREATE USER Mary FROM LOGIN Mary;
-- or
CREATE USER Mary FROM LOGIN Mary@domainname.net;
-- or
CREATE USER [mike@contoso.com] FROM EXTERNAL PROVIDER;

在创建登录名和用户后,可以使用常规 SQL Server 语法来授予权限。

非管理员用户

非管理员帐户通常无需访问 master 数据库。 使用 CREATE USER (Transact-SQL) 语句在数据库级别创建包含的数据库用户。

该用户可以是 Microsoft Entra 身份验证包含的数据库用户(如果已针对 Microsoft Entra 身份验证配置环境),可以是 SQL Server 身份验证包含的数据库用户,也可以是基于 SQL Server 身份验证登录名(在前一步骤中创建)的 SQL Server 身份验证用户。

要创建用户,请先连接到数据库,然后执行如下所示的语句:

CREATE USER Mary FROM LOGIN Mary;
CREATE USER [mike@contoso.com] FROM EXTERNAL PROVIDER;

开始时,仅其中一个管理员或数据库所有者可以创建用户。 若要授权其他用户来创建新用户,可通过如下所示语句向该选定用户授予 ALTER ANY USER 权限:

GRANT ALTER ANY USER TO Mary;

若要向其他用户授予对数据库的完全控制权限,可让这些用户成为 db_owner 固定数据库角色的成员。

在 Azure SQL 数据库或 Synapse 无服务器架构中,使用 ALTER ROLE 语句。

ALTER ROLE db_owner ADD MEMBER Mary;

在专用 SQL 池中使用 EXEC sp_addrolemember

EXEC sp_addrolemember 'db_owner', 'Mary';

注意事项

创建基于服务器登录名的数据库用户的一个常见原因是用户需要访问多个数据库。 由于包含的数据库的用户都是单独的实体,因此每个数据库都维护其各自的用户及其密码。 这可能会导致开销,因为用户必须记住每个数据库的密码,当必须为许多数据库更改多个密码时,这通常难以做到。

组和角色

有效的访问管理需要将权限分配到组和角色,而不是分配到单个用户。

  • 使用 Microsoft Entra 身份验证时,将 Microsoft Entra 用户放入 Microsoft Entra 组。 为该组创建受限数据库用户。 将一个或多个数据库用户放入 数据库角色 ,然后将 权限 分配给数据库角色。

  • 使用 SQL Server 身份验证时,请在数据库中创建包含的数据库用户。 将一个或多个数据库用户放入 数据库角色 ,然后将 权限 分配给数据库角色。

数据库角色可以是内置角色,例如 db_ownerdb_ddladmindb_datawriterdb_datareaderdb_denydatawriterdb_denydatareaderdb_owner 通常用于仅向少数用户授予完全权限。 其他固定数据库角色可用于快速开发简单的数据库,但不建议用于大多数生产数据库。

例如,db_datareader 固定数据库角色授予对数据库中每个表的读取访问权限,这通常比严格所需的更多。

最好使用 CREATE ROLE 语句创建自己的用户定义的数据库角色,并仔细为每个角色授予业务需求所需的最低权限。 如果用户是多个角色的成员,则会聚合所有这些角色的权限。

权限

可以在 SQL 数据库中单独授予或拒绝 100 多种权限。 这些权限中,许多都是嵌套式的。 例如,针对架构的 UPDATE 权限包括针对该架构中每个表的 UPDATE 权限。 与大多数权限系统中的情况一样,拒绝某个权限将覆盖对该权限的授予操作。

考虑到权限的嵌套性质和数目,可能需要进行仔细的研究才能设计出适当的权限系统,以便对数据库进行恰当的保护。

权限(数据库引擎) 列表开始,查看 数据库引擎权限的大幅图示

注意事项和限制

管理 SQL 数据库中的登录名和用户时,请注意以下要点:

  • 执行 master 语句时,必须连接到 CREATE/ALTER/DROP DATABASE 数据库。
  • 无法更改或删除与 服务器管理员 登录名对应的数据库用户。
  • 如果启用了仅限 Entra 的身份验证,服务器管理员将被禁用。
  • US-English 是 服务器管理员 登录的默认语言。
  • 只有管理员(服务器管理员 登录名或Microsoft Entra 管理员)和数据库中 dbmanager 数据库角色 master 的成员有权执行 CREATE DATABASEDROP DATABASE 语句。
  • 执行 master 语句时,必须连接到 CREATE/ALTER/DROP LOGIN 数据库。 但不建议使用登录名。 请改为使用封装数据库用户。 有关详细信息,请参阅 独立数据库用户 - 使您的数据库具备可移植性
  • 若要连接到用户数据库,必须在连接字符串中提供数据库的名称。
  • 只有服务器级主体登录名和数据库中 loginmanager 数据库角色master的成员有权执行CREATE LOGINALTER LOGINDROP LOGIN语句。
  • 在 ADO.NET 应用程序中执行 CREATE/ALTER/DROP LOGINCREATE/ALTER/DROP DATABASE 语句时,不允许使用参数化命令。 有关详细信息,请参阅 命令和参数
  • 在使用 CREATE USER 选项执行 FOR/FROM LOGIN 语句时,该语句必须是 Transact-SQL 批处理中的唯一语句。
  • 在使用 ALTER USER 选项执行 WITH LOGIN 语句时,该语句必须是 Transact-SQL 批处理中的唯一语句。
  • 当为 Azure Synapse 工作区启用仅限 Microsoft Entra 的身份验证后,将不支持 CREATE/ALTER/DROP LOGINCREATE/ALTER/DROP USER 语句。
  • 若要执行 CREATE/ALTER/DROP 操作,用户需要对数据库拥有 ALTER ANY USER 权限。
  • 在数据库角色的所有者尝试在该数据库角色中添加或删除其他数据库用户时,可能会发生以下错误:“此数据库中不存在用户或角色‘Name’”。发生此错误的原因是用户对所有者不可见。 若要解决此问题,请向角色所有者授予对该用户的 VIEW DEFINITION 权限。

相关内容

有关详细信息,请参阅 独立数据库用户 - 使您的数据库具备可移植性

  • Last updated on