适用于:
Azure 数据工厂 Azure Synapse Analytics
先决条件
用户必须具有托管标识操作员 (Azure RBAC) 角色或具有 Microsoft.ManagedIdentity/userAssignedIdentities/*/assign/action RBAC 操作授权的自定义角色,才能将用户指定的托管标识配置为凭据。 在 Synapse 中创建和使用凭据需要额外的 RBAC。 了解详细信息。
使用凭据
我们会引入凭据,这些凭据可以包含用户分配的托管标识、服务主体,还列出系统分配的托管标识,你可以在支持 Microsoft Entra 身份验证的链接服务中使用该标识。 它可以帮助你合并和管理所有基于 Microsoft Entra ID 的凭据。
以下是在链接服务中使用用户分配的托管标识进行身份验证的一般步骤。
如果你没有在 Azure 中创建用户分配的托管标识,请首先在 Azure 门户的托管标识页中创建一个。
使用 Azure 门户、SDK、PowerShell、REST API 将用户分配的托管标识关联到数据工厂实例。 下面的屏幕截图中使用了 Azure 门户(数据工厂边栏)来关联用户分配的托管身份(User-Assigned Managed Identity)。
在数据工厂用户界面中以互动方式创建“凭据”。 可以在步骤 1 中选择与数据工厂关联的用户分配的托管标识。
创建一个新的链接服务,并在“身份验证”下选择“用户分配的托管标识”
使用脚本管理凭据
可以将 SDK、 PowerShell 和 REST API 用于上述作。 此示例中提供了创建用户分配的托管标识并使用 Bicep/ARM 为其分配资源权限的示例。 Synapse Spark 当前不支持具有用户分配的托管标识的链接服务。
相关内容
请参阅以下主题,其中介绍了使用托管标识的场景和方式:
有关作为数据工厂托管标识基础的 Azure 资源托管标识的更多背景信息,请参阅 Azure 资源的托管标识概述。