Microsoft Purview 中用于源身份验证的凭据
本文介绍如何在 Microsoft Purview 中创建凭据。 这些保存的凭据可让你快速重复使用已保存的身份验证信息并将其应用于数据源扫描。
先决条件
- Azure 密钥保管库。 若要详细了解如何创建密钥保管库,请参阅快速入门:使用 Azure 门户创建密钥保管库。
简介
凭据是可供 Microsoft Purview 用来对已注册的数据源进行身份验证的身份验证信息。 可为各种类型的身份验证方案(例如,需要用户名/密码的基本身份验证)创建凭据对象。 凭据根据所选类型的身份验证方法,捕获进行身份验证所需的特定信息。 在凭据创建过程中,凭据使用现有的 Azure 密钥保管库机密来检索敏感的身份验证信息。
在 Microsoft Purview 中,有几个选项可用作身份验证方法来扫描数据源,例如以下选项。 请从每篇数据源文章中了解其支持的身份验证。
- Microsoft Purview 系统分配的托管标识
- 用户分配的托管标识(预览版)
- 帐户密钥(使用密钥保管库)
- SQL 身份验证(使用密钥保管库)
- 服务主体(使用密钥保管库)
- 使用者密钥(使用密钥保管库)
- 及其他信息
在创建任何凭据之前,请考虑数据源类型和网络要求,确定你的方案需要哪种身份验证方法。
使用 Microsoft Purview 系统分配的托管标识设置扫描
如果使用 Microsoft Purview 系统分配的托管标识 (SAMI) 来设置扫描,则无需创建凭据并将密钥保管库链接到 Microsoft Purview 来存储这些凭据。 有关添加有权扫描数据源的 Microsoft Purview SAMI 的详细说明,请参阅以下特定于数据源的身份验证部分:
- Azure Blob 存储
- Azure Data Lake Storage Gen1
- Azure Data Lake Storage Gen2
- Azure SQL 数据库
- Azure SQL 托管实例
- Azure Synapse 工作区
- Azure Synapse 专用 SQL 池(以前称为 SQL DW)
向 Microsoft Purview 授予对 Azure 密钥保管库的访问权限
若要向 Microsoft Purview 授予对 Azure 密钥保管库的访问权限,需要确认两项内容:
Azure 密钥保管库的防火墙访问权限
如果 Azure 密钥保管库禁用了公共网络访问,则可以通过两个选项来允许访问 Microsoft Purview。
受信任的 Microsoft 服务
Microsoft Purview 被列为 Azure 密钥保管库的受信任服务之一,因此,如果在 Azure 密钥保管库上禁用了公共网络访问,则只能启用对受信任 Microsoft 服务的访问,这些服务包含 Microsoft Purview。
可以在 Azure 密钥保管库中的“网络”选项卡下启用此设置。
在页面底部的“例外”下,启用“允许受信任的 Microsoft 服务绕过此防火墙”功能。
专用终结点连接
若要通过专用终结点连接到 Azure 密钥保管库,请遵循 Azure 密钥保管库的专用终结点文档。
Azure 密钥保管库上的 Microsoft Purview 权限
目前 Azure 密钥保管库支持两种权限模型:
在向 Microsoft Purview 系统分配的托管标识 (SAMI) 分配访问权限之前,请先从菜单中的密钥保管库资源“访问策略”确定你的 Azure 密钥保管库权限模型。 根据相关的权限模型,执行以下步骤。
选项 1 - 使用密钥保管库访问策略分配访问权限
只有当 Azure 密钥保管库资源中的权限模型设置为“保管库访问策略”时,才执行以下步骤:
导航到你的 Azure 密钥保管库。
选择“访问策略”页。
选择“添加访问策略”。
在“机密权限”下拉列表中,选择“获取”和“列出”权限。
对于“选择主体”,请选择“Microsoft Purview 系统托管标识”。 可以使用 Microsoft Purview 实例名称或托管标识应用程序 ID 来搜索 Microsoft Purview SAMI。 我们目前不支持复合标识(托管标识名称 + 应用程序 ID)。
选择 添加 。
选择“保存”以保存访问策略。
选项 2 - 使用密钥保管库 Azure 基于角色的访问控制分配访问权限
只有当 Azure 密钥保管库资源中的权限模型设置为“Azure 基于角色的访问控制”时,才执行以下步骤:
导航到你的 Azure 密钥保管库。
在左侧导航栏菜单中,选择“访问控制 (IAM)”。
选择“+ 添加”。
将“角色”设置为“密钥保管库机密用户”,然后在“选择”输入框下输入你的 Microsoft Purview 帐户名称。 然后,选择“保存”,将此角色分配给 Microsoft Purview 帐户。
在 Microsoft Purview 帐户中创建 Azure 密钥保管库连接
在创建凭据之前,首先需要将一个或多个现有 Azure 密钥保管库实例与 Microsoft Purview 帐户相关联。
如果使用经典 Microsoft Purview 门户,请导航到工作室中的“管理中心”,然后导航到“凭据”。 如果使用新的 Microsoft Purview 门户,打开“数据映射”解决方案,选择“源管理”下拉列表,然后选择“凭据”。
在“凭据”页中选择“管理密钥保管库连接”。
在“管理密钥保管库连接”页中选择“+ 新建”。
提供所需的信息,然后选择“创建”。
确认密钥保管库已成功关联到你的 Microsoft Purview 帐户,如以下示例中所示:
创建新凭据
Microsoft Purview 支持以下凭据类型:
- 基本身份验证:将密码添加为密钥保管库中的机密。
- 服务主体:将服务主体密钥添加为密钥保管库中的机密。
- SQL 身份验证:将密码添加为密钥保管库中的机密。
- Windows 身份验证:将密码添加为密钥保管库中的机密。
- 帐户密钥:将帐户密钥添加为密钥保管库中的机密。
- 用户分配的托管标识(预览版):可以添加用户分配的托管标识凭据。 有关详细信息,请参阅下面的创建用户分配的托管标识部分。
有关详细信息,请参阅向 Key Vault 添加机密。
在密钥保管库中存储机密后:
在 Microsoft Purview 中转到“凭据”页。
选择“+ 新建”来创建新凭据。
提供所需的信息。 选择“身份验证方法”,以及要从中选择机密的密钥保管库连接。
填写所有详细信息后,选择“创建”。
确认新凭据是否显示在列表视图中并随时可供使用。
管理密钥保管库连接
按名称搜索/查找密钥保管库连接
删除一个或多个密钥保管库连接
管理凭据
按名称搜索/查找凭据。
选择并更新现有凭据。
删除一个或多个凭据。
创建用户分配的托管标识
用户分配的托管标识 (UAMI) 使 Azure 资源能够使用 Microsoft Entra 身份验证直接通过其他资源完成身份验证,而无需管理这些凭据。 它们允许你进行身份验证和分配访问权限,就像使用系统分配的托管标识、Microsoft Entra 用户、Microsoft Entra 组或服务主体时一样。 用户分配的托管标识是作为其自身的资源创建的(而不是连接到预先存在的资源)。 有关托管标识的详细信息,请参阅 Azure 资源托管标识文档。
以下步骤说明如何创建供 Microsoft Purview 使用的 UAMI。
UAMI 支持的数据源
- Azure Data Lake Gen 1
- Azure Data Lake Gen 2
- Azure SQL 数据库
- Azure SQL 托管实例
- Azure SQL 专用 SQL 池
- Azure Blob 存储
创建用户分配的托管标识
在 Azure 门户中,导航到你的 Microsoft Purview 帐户。
在左侧菜单中的“托管标识”部分,选择“+ 添加”按钮以添加用户分配的托管标识。
完成设置后,在 Azure 门户中返回到你的 Microsoft Purview 帐户。 如果托管标识已成功部署,你将看到 Microsoft Purview 帐户的状态为“成功”。
在成功部署了托管标识后,通过选择“打开 Microsoft Purview 治理门户”按钮,导航到 Microsoft Purview 治理门户。
在 Microsoft Purview 治理门户 中,导航到工作室的“管理中心”,然后导航到“凭据”部分。
通过选择“+新建”创建用户分配的托管标识。
选择“托管标识身份验证方法”,然后从下拉菜单中选择你的用户分配托管标识。
注意
如果在创建用户分配的托管标识期间门户已打开,则需要刷新 Microsoft Purview Web 门户,以加载在 Azure 门户中完成的设置。
填写所有信息后,选择“创建”。
删除用户分配的托管标识
在 Azure 门户中,导航到你的 Microsoft Purview 帐户。
在左侧菜单的“托管标识”部分中,选择要删除的标识。
选择“删除”按钮。
在成功删除了托管标识后,通过选择“打开 Microsoft Purview 治理门户”按钮,导航到 Microsoft Purview 治理门户。
在 Studio 中导航到“管理中心”,然后导航到“凭据”部分。
选择要删除的标识,然后选择“删除”按钮。
注意
如果在 Azure 门户中删除了用户分配的托管标识,则需要删除原始标识并在 Microsoft Purview 治理门户中创建一个新标识。