如何:创建凭据实体

重要

从 2023 年 9 月 20 日开始,将无法创建新的 Azure 指标顾问资源。 指标顾问服务将于 2026 年 10 月 1 日停用。

载入数据馈送时,应选择身份验证类型,某些身份验证类型(例如 Azure SQL 连接字符串和服务主体)需要凭据实体来存储凭据相关信息,以便安全地管理凭据 。 本文将介绍如何在指标顾问中为不同的凭据类型创建凭据实体。

基本过程:创建凭据实体

你可以创建凭据实体来存储凭据相关信息,并将其用于对数据源进行身份验证。 可以与其他人共享凭据实体,使其能够连接到数据源,而无需共享真实凭据。 可以在“添加数据馈送”选项卡或“凭据实体”选项卡中创建。为特定身份验证类型创建凭据实体后,只需选择添加新数据馈送时创建的一个凭据实体,这对于创建多个数据馈送非常有用。 创建和使用凭据实体的一般过程如下所示:

  1. 选择“+”以在“添加数据馈送”选项卡中创建新的凭据实体(你还可以在“凭据实体源”选项卡中创建凭据实体)。

    create credential entity

  2. 设置凭据实体名称、说明(如果需要)、凭据类型(等于身份验证类型)和其他设置。

    set credential entity

  3. 创建凭据实体后,可以在指定身份验证类型时选择该实体。

    choose credential entity

指标顾问中有四种凭据类型:Azure SQL 连接字符串、Azure Data Lake Storage Gen2 共享密钥实体、服务主体、服务主体,Key Vault。 有关不同凭据类型设置,请参阅以下说明。

Azure SQL 连接字符串

你应该设置名称和连接字符串,然后选择“创建” 。

set credential entity for sql connection string

Azure Data Lake Storage Gen2 共享密钥实体

你应该设置名称和帐户密钥,然后选择“创建” 。 可以在访问密钥设置中的 Azure 存储帐户 (Azure Data Lake Storage Gen2) 资源中找到帐户密钥。

set credential entity for data lake

服务主体

若要为数据源创建服务主体,可以按照连接不同数据源中的详细说明进行操作。 在创建服务主体之后,需要在凭据实体中填写以下配置。

sp credential entity

  • 名称:设置服务主体凭据实体的名称。

  • 租户 ID 和客户端 ID:在 Azure 门户中创建服务主体后,你可以在概览中找到 Tenant IDClient ID

    sp client ID and tenant ID

  • 客户端密码:在 Azure 门户中创建服务主体后,应该转至证书和密码,以创建新的客户端密码,在凭据实体中应将值作为 Client Secret 使用。 (注意:值仅出现一次,因此最好将其存储在某个位置。)

    sp Client secret value

密钥保管库中的服务主体

从密钥保管库创建服务主体分为多个步骤。

步骤 1:创建服务主体并向其授予对数据库的访问权限。 若要为每个数据源创建服务主体分区,可以按照连接不同数据源中的详细说明进行操作。

在 Azure 门户中创建服务主体后,你可以在概览中找到 Tenant IDClient ID。 目录(租户)ID 在凭据实体配置中应为 Tenant ID

sp client ID and tenant ID

步骤 2:创建新的客户端密码。 应转至证书和密码,以创建新的客户端密码,且在接下来的步骤中应使用值。 (注意:值仅出现一次,因此最好将其存储在某个位置。)

sp Client secret value

步骤 3:创建密钥保管库。Azure 门户中选择密钥保管库来创建保管库。

create a key vault in azure portal

创建密钥保管库后,保管库 URI 是 MA(指标顾问)凭据实体中的 Key Vault Endpoint

key vault endpoint

步骤 4:为密钥保管库创建机密。 在密钥保管库的 Azure 门户中,在“设置”->“密码”中生成两个密码。 第一个用于 Service Principal Client Id,另一个用于 Service Principal Client Secret,其名称将用于凭据实体配置。

generate secrets

  • 服务主体客户端 ID:为此密码设置 Name,此密码的名称将在凭据实体配置中使用,且值应为步骤 1 中的 Client ID

    secret1: sp client id

  • 服务主体客户端密码:为此密码设置 Name,此密码的名称将在凭据实体配置中使用,且值应为步骤 2 中的 Client Secret Value

    secret2: sp client secret

至此,服务主体的客户端 ID 和客户端密码最终存储在密钥保管库中 。 接下来,需要创建另一个服务主体来存储密钥保管库。 因此,你应创建两个服务主体,一个用于保存客户端 ID 和客户端密码,它们将存储在密钥保管库中,另一个用于存储密钥保管库。

步骤 5:创建用于存储密钥保管库的服务主体。

  1. 转至 Azure 门户 Microsoft Entra ID,创建一个新的注册。

    create a new registration

    创建服务主体后,概述中的应用程序(客户端)ID 将为凭据实体配置中的 Key Vault Client ID

  2. 在“管理->证书和机密”中,通过选择“新建客户端密码”来创建客户端密码。 然后,应向下复制值,因为值仅出现一次。 该值为凭据实体配置中的 Key Vault Client Secret

    add client secret

步骤 6:授予服务主体对密钥保管库的访问权限。 转至你在“设置”->“访问政策”中创建的密钥保管库资源,通过选择“添加访问策略”,在密钥保管库和步骤 5 中的第二个服务主体之间进行连接,然后选择“保存”。

grant sp to key vault

配置结论

最后,下表中显示了用于服务主体的指标顾问中的凭据实体配置密钥保管库和获取它们的方式:

配置 如何获取
密钥保管库终结点 步骤 3:密钥保管库的保管库 URI。
租户 ID 步骤 1:第一个服务主体的目录(租户)ID。
密钥保管库客户端 ID 步骤 5:第二个服务主体的应用程序(客户端)ID。
密钥保管库客户端密码 步骤 5:第二个服务主体的客户端密码值。
服务主体客户端 ID 名称 步骤 4:为客户端 ID 设置的密码名称。
服务主体客户端密码名称 步骤 4:为客户端密码值设置的密码名称。

后续步骤