Microsoft Purview 数据映射中用于源身份验证的凭据

本文介绍如何在 Microsoft Purview 数据映射中创建凭据。 这些保存的凭据可让你快速重复使用已保存的身份验证信息并将其应用于数据源扫描。

先决条件

简介

凭据是可供 Microsoft Purview 用来对已注册的数据源进行身份验证的身份验证信息。 可为各种类型的身份验证方案(例如,需要用户名/密码的基本身份验证)创建凭据对象。 凭据根据所选类型的身份验证方法,捕获进行身份验证所需的特定信息。 在凭据创建过程中,凭据使用现有的 Azure 密钥保管库机密来检索敏感的身份验证信息。

在 Microsoft Purview 中,有几个选项可用作身份验证方法来扫描数据源,例如以下选项。 请从每篇数据源文章中了解其支持的身份验证。

在创建任何凭据之前,请考虑数据源类型和网络要求,确定你的方案需要哪种身份验证方法。

使用 Microsoft Purview 系统分配的托管标识设置扫描

如果使用 Microsoft Purview 系统分配的托管标识 (SAMI) 来设置扫描,则无需创建凭据并将密钥保管库链接到 Microsoft Purview 来存储这些凭据。 有关添加有权扫描数据源的 Microsoft Purview SAMI 的详细说明,请参阅以下特定于数据源的身份验证部分:

向 Microsoft Purview 授予对 Azure 密钥保管库的访问权限

若要向 Microsoft Purview 授予对 Azure 密钥保管库的访问权限,需要确认两项内容:

Azure 密钥保管库的防火墙访问权限

如果 Azure 密钥保管库禁用了公共网络访问,则可以通过两个选项来允许访问 Microsoft Purview。

受信任的 Microsoft 服务

Microsoft Purview 被列为 Azure 密钥保管库的受信任服务之一,因此,如果在 Azure 密钥保管库上禁用了公共网络访问,则只能启用对受信任 Microsoft 服务的访问,这些服务包含 Microsoft Purview。

可以在 Azure 密钥保管库中的“网络”选项卡下启用此设置。

在页面底部的“例外”下,启用“允许受信任的 Microsoft 服务绕过此防火墙”功能。

已启用“允许受信任的 Microsoft 服务绕过此防火墙”功能的 Azure Key Vault“网络”页。

专用终结点连接

若要通过专用终结点连接到 Azure 密钥保管库,请遵循 Azure 密钥保管库的专用终结点文档

Azure 密钥保管库上的 Microsoft Purview 权限

目前 Azure 密钥保管库支持两种权限模型:

在向 Microsoft Purview 系统分配的托管标识 (SAMI) 分配访问权限之前,请先从菜单中的密钥保管库资源“访问策略”确定你的 Azure 密钥保管库权限模型。 根据相关的权限模型,执行以下步骤。

Azure 密钥保管库权限模型

选项 1 - 使用密钥保管库访问策略分配访问权限

只有当 Azure 密钥保管库资源中的权限模型设置为“保管库访问策略”时,才执行以下步骤:

  1. 导航到你的 Azure 密钥保管库。

  2. 选择“访问策略”页。

  3. 选择“添加访问策略”。

    将 Microsoft Purview 托管标识添加到 AKV

  4. 在“机密权限”下拉列表中,选择“获取”和“列出”权限。

  5. 对于“选择主体”,请选择“Microsoft Purview 系统托管标识”。 可以使用 Microsoft Purview 实例名称或托管标识应用程序 ID 来搜索 Microsoft Purview SAMI。 我们目前不支持复合标识(托管标识名称 + 应用程序 ID)。

    添加访问策略

  6. 选择 添加

  7. 选择“保存”以保存访问策略。

    保存访问策略

选项 2 - 使用密钥保管库 Azure 基于角色的访问控制分配访问权限

只有当 Azure 密钥保管库资源中的权限模型设置为“Azure 基于角色的访问控制”时,才执行以下步骤:

  1. 导航到你的 Azure 密钥保管库。

  2. 在左侧导航栏菜单中,选择“访问控制 (IAM)”。

  3. 选择“+ 添加”。

  4. 将“角色”设置为“密钥保管库机密用户”,然后在“选择”输入框下输入你的 Microsoft Purview 帐户名称。 然后,选择“保存”,将此角色分配给 Microsoft Purview 帐户。

    Azure 密钥保管库 RBAC

在 Microsoft Purview 帐户中创建 Azure 密钥保管库连接

在创建凭据之前,首先需要将一个或多个现有 Azure 密钥保管库实例与 Microsoft Purview 帐户相关联。

  1. 如果使用经典 Microsoft Purview 门户,请导航到工作室中的“管理中心”,然后导航到“凭据”。 如果使用新的 Microsoft Purview 门户,请打开“数据映射”解决方案,选择“源管理”下拉列表,然后选择“凭据”

  2. 在“凭据”页中选择“管理密钥保管库连接”。

    管理 Azure Key Vault 连接

  3. 在“管理密钥保管库连接”页中选择“+ 新建”。

  4. 提供所需的信息,然后选择“创建”。

  5. 确认密钥保管库已成功关联到你的 Microsoft Purview 帐户,如以下示例中所示:

    查看 Azure 密钥保管库连接以确认。

创建新凭据

Microsoft Purview 支持以下凭据类型:

  • 基本身份验证:将密码添加为密钥保管库中的机密。
  • 服务主体:将服务主体密钥添加为密钥保管库中的机密。
  • SQL 身份验证:将密码添加为密钥保管库中的机密。
  • Windows 身份验证:将密码添加为密钥保管库中的机密。
  • 帐户密钥:将帐户密钥添加为密钥保管库中的机密。
  • 用户分配的托管标识(预览版):可以添加用户分配的托管标识凭据。 有关详细信息,请参阅下面的创建用户分配的托管标识部分。

有关详细信息,请参阅向 Key Vault 添加机密

在密钥保管库中存储机密后:

  1. 在 Microsoft Purview 中转到“凭据”页。

  2. 选择“+ 新建”来创建新凭据。

  3. 提供所需的信息。 选择“身份验证方法”,以及要从中选择机密的密钥保管库连接

  4. 填写所有详细信息后,选择“创建”。

    新建凭据

  5. 确认新凭据是否显示在列表视图中并随时可供使用。

    查看凭据

管理密钥保管库连接

  1. 按名称搜索/查找密钥保管库连接

    搜索密钥保管库

  2. 删除一个或多个密钥保管库连接

    删除密钥保管库

管理凭据

  1. 按名称搜索/查找凭据。

  2. 选择并更新现有凭据。

  3. 删除一个或多个凭据。

创建用户分配的托管标识

用户分配的托管标识 (UAMI) 使 Azure 资源能够使用 Microsoft Entra 身份验证直接通过其他资源完成身份验证,而无需管理这些凭据。 它们允许你进行身份验证和分配访问权限,就像使用系统分配的托管标识、Microsoft Entra 用户、Microsoft Entra 组或服务主体时一样。 用户分配的托管标识是作为其自身的资源创建的(而不是连接到预先存在的资源)。 有关托管标识的详细信息,请参阅 Azure 资源托管标识文档

以下步骤说明如何创建供 Microsoft Purview 使用的 UAMI。

UAMI 支持的数据源

创建用户分配的托管标识

  1. Azure 门户中,导航到你的 Microsoft Purview 帐户。

  2. 在左侧菜单中的“托管标识”部分,选择“+ 添加”按钮以添加用户分配的托管标识。

    显示 Azure 门户中托管标识屏幕的屏幕截图,其中突出显示了“用户分配”和“添加”。

  3. 完成设置后,在 Azure 门户中返回到你的 Microsoft Purview 帐户。 如果托管标识已成功部署,你将看到 Microsoft Purview 帐户的状态为“成功”。

    Azure 门户中 Microsoft Purview 帐户的屏幕截图,其中在“概述”选项卡和“基本信息”菜单下突出显示了“状态”。

  4. 在成功部署了托管标识后,通过选择“打开 Microsoft Purview 治理门户”按钮,导航到 Microsoft Purview 治理门户

  5. Microsoft Purview 治理门户 中,导航到工作室的“管理中心”,然后导航到“凭据”部分。

  6. 通过选择“+新建”创建用户分配的托管标识。

  7. 选择“托管标识身份验证方法”,然后从下拉菜单中选择你的用户分配托管标识。

    显示新托管标识创建磁贴的屏幕截图,其中突出显示了“了解详细信息”链接。

    注意

    如果在创建用户分配的托管标识期间门户已打开,则需要刷新 Microsoft Purview Web 门户,以加载在 Azure 门户中完成的设置。

  8. 填写所有信息后,选择“创建”。

删除用户分配的托管标识

  1. Azure 门户中,导航到你的 Microsoft Purview 帐户。

  2. 在左侧菜单的“托管标识”部分中,选择要删除的标识。

  3. 选择“删除”按钮。

  4. 在成功删除了托管标识后,通过选择“打开 Microsoft Purview 治理门户”按钮,导航到 Microsoft Purview 治理门户

  5. 在 Studio 中导航到“管理中心”,然后导航到“凭据”部分。

  6. 选择要删除的标识,然后选择“删除”按钮。

注意

如果在 Azure 门户中删除了用户分配的托管标识,则需要删除原始标识并在 Microsoft Purview 治理门户中创建一个新标识。

后续步骤

创建扫描规则集