如何创建凭据实体

Important

从 2023 年 9 月 21 日起,将无法创建新的指标顾问资源。 截至 2026 年 3 月 31 日,指标顾问门户已禁用。 指标顾问服务将于 2026 年 10 月 1 日停用。

建议使用以下替代方法:

  1. Azure Monitor,作为官方Azure 3P 产品,通过多个接口提供异常检测和分析功能。
  2. 开源异常检测器,此开源项目提供与 Kensho、Azure 指标顾问和 Azure 异常检测器在后端中相同的异常检测功能。

载入数据馈送时,应选择一种身份验证类型。某些身份验证类型(例如 Azure SQL 连接字符串Service Principal)需要凭据实体来存储凭据相关的信息,以便安全地管理您的凭据。 本文将介绍如何在指标顾问中为不同的凭据类型创建凭据实体。

基本过程:创建凭据实体

你可以创建凭据实体来存储凭据相关信息,并将其用于对数据源进行身份验证。 可以与其他人共享凭据实体,使其能够连接到数据源,而无需共享真实凭据。 可以在“添加数据馈送”选项卡或“凭据实体”选项卡中创建。为特定身份验证类型创建凭据实体后,只需选择添加新数据馈送时创建的一个凭据实体,这对于创建多个数据馈送非常有用。 创建和使用凭据实体的一般过程如下所示:

  1. 选择“+”以在“添加数据流”选项卡中创建新的凭据实体(你还可以在“凭据实体流”选项卡中创建凭据实体)。

    创建凭据实体

  2. 设置凭据实体名称、说明(如果需要)、凭据类型(等于身份验证类型)和其他设置。

    设置凭据实体

  3. 创建凭据实体后,可以在指定身份验证类型时选择该实体。

    选择凭据实体

指标顾问中有四种凭据类型:Azure SQL连接字符串、Azure Data Lake Storage Gen2共享密钥、服务主体、密钥保管库的服务主体。 有关不同凭据类型设置,请参阅以下说明。

Azure SQL连接字符串

你应该设置名称和连接字符串,然后选择“创建” 。

为 SQL 连接字符串设置凭据实体

Azure Data Lake Storage Gen2共享密钥实体

你应该设置名称和帐户密钥,然后选择“创建” 。 可以在 Access 密钥设置的 Azure 存储 帐户(Azure Data Lake Storage Gen2)资源中找到帐户密钥。

设置数据湖的凭据实体

服务主体

若要为数据源创建服务主体,可以按照连接不同数据源中的详细说明进行操作。 在创建服务主体之后,需要在凭据实体中填写以下配置。

sp 凭据实体

  • 名称:为您的服务主体凭据实体设置名称。

  • 租户 ID 与客户端 ID:在 Azure 门户中创建服务主体后,可以在 Tenant ID 中找到 Client ID

    sp 客户端 ID 和租户 ID

  • 客户端机密: 在 Azure 门户中创建服务主体后,应转到 证书和机密 来创建新的客户端机密,并将 value 用作凭据实体中的 Client Secret。 (注意:值仅出现一次,因此最好将其存储在某个位置。)

    sp 客户端密码值

来自密钥保管库服务主体

从密钥保管库创建服务主体分为多个步骤。

步骤 1:创建服务主体并向其授予对数据库的访问权限。 若要为每个数据源创建服务主体分区,可以按照连接不同数据源中的详细说明进行操作。

在 Azure 门户中创建服务主体后,可以在 Tenant ID 中找到 Client ID。 目录(租户)ID 在凭据实体配置中应为

sp 客户端 ID 和租户 ID

步骤 2:创建新的客户端密码。 你应该去证书和密码创建新的客户端机密,并在后续步骤中使用该值。 (注意:值仅出现一次,因此最好将其存储在某个位置。)

sp 客户端密码值

步骤 3:创建密钥保管库。Azure 门户中,选择 Key Vaults以创建一个保管库。

在 Azure 门户中创建密钥保管库

创建key vault后,Vault URI是 MA(指标顾问)凭据实体中的 密钥保管库 Endpoint

密钥保管库终结点

步骤 4:为密钥保管库创建机密。 在密钥保管库的 Azure 门户中,在 Settings->Secrets 中生成两个机密。 第一个用于 Service Principal Client Id,另一个用于 Service Principal Client Secret,它们的名称将用于凭据实体配置。

生成密码

  • 服务主体客户端 ID:为此密码设置一个,此名称将在凭据实体配置中使用,且值应为您在步骤 1 中的服务主体Name

    密码 1:sp 客户端 ID

  • 服务主体客户端密钥:设置一个 ,此名称将在凭据实体配置中使用,其值应为步骤 2 中的服务主体Name

    密码 2:sp 客户端密码

到目前为止,服务主体的 client IDclient secret 最终存储在密钥保管库中。 接下来,需要创建另一个服务主体来存储密钥保管库。 因此,你应创建两个服务主体,一个用于保存客户端 ID 和客户端密码,它们将存储在密钥保管库中,另一个用于存储密钥保管库。

步骤 5:创建用于存储密钥保管库的服务主体。

  1. 转到 Azure 门户Microsoft Entra ID并创建新的注册。

    创建一个新的注册

    创建服务主体后,概述中的 Application (client) ID将是凭据实体配置中的 密钥保管库 Client ID

  2. 在“管理->证书和机密”中,通过选择“新建客户端密码”来创建客户端密码。 然后,应向下复制值,因为值仅出现一次。 该值在凭据实体配置中为 密钥保管库 Client Secret

    添加客户端密码

步骤 6:授予服务主体对密钥保管库的访问权限。 转至你在“设置”->“访问政策”中创建的密钥保管库资源,通过选择“添加访问策略”,在密钥保管库和步骤 5 中的第二个服务主体之间进行连接,然后选择“保存”。

向密钥保管库授予 sp

配置结论

最后,来自 密钥保管库 的服务主体在 Metrics Advisor 中的凭据实体配置及其获取方法如下表所示:

配置 如何获取
密钥保管库 终结点 步骤 3:密钥保管库的 Vault URI。
租户 ID 步骤 1:第一个服务主体的目录(租户)ID。
密钥保管库 客户端 ID 步骤 5:第二个服务主体的应用程序(客户端)ID。
密钥保管库客户端密码 步骤 5:您的第二个服务主体的客户端密钥值。
服务主体客户端 ID 名称 步骤 4:为客户端 ID 设置的密钥名称。
服务主体客户端密钥名称 步骤 4:为客户端密码值设置的密码名称。

后续步骤

  • Last updated on