Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Usare questi esempi di sicurezza SQL Microsoft per confrontare il modo in cui il generatore di API dati (DAB) esegue l'autenticazione a SQL, convalida gli utenti e applica l'accesso per utente. Ogni esempio è indipendente, ma la serie passa dalle credenziali di base all'accesso Azure SQL delegato dall'utente.
Scegli una guida introduttiva rapida
Iniziare con la domanda che corrisponde al tuo obiettivo.
| Se vuoi... | Usare questa guida introduttiva |
|---|---|
| Informazioni sul modello di connessione DAB-to-SQL più semplice | Nome utente/password |
| Rimuovere le password SQL dalla configurazione di Azure | Identità gestita |
| Aggiungere la convalida del token di Microsoft Entra prima di richiedere l'accesso | Microsoft Entra |
| Filtrare le righe in DAB utilizzando i claim del token | Criteri DAB |
| Filtrare le righe in SQL usando la sicurezza a livello di riga applicata al database | Sicurezza a livello di riga SQL |
| Consentire Azure SQL autenticare direttamente l'utente connesso | Per conto di verso Azure SQL |
Albero delle decisioni
- È necessario solo un esempio di lavoro di base?
- Usare Nome utente/password.
- Si vuole l'accesso da DAB a Azure SQL senza password?
- Usa l'identità gestita.
- È necessario daB per convalidare i token di Microsoft Entra?
- Usare Microsoft Entra.
- Gli utenti connessi devono visualizzare solo le proprie righe?
- Se DAB deve applicare il filtro, usare i criteri DAB.
- Se SQL deve applicare il filtro, usare la sicurezza a livello di riga sql.
- I log di controllo o i criteri del database richiedono l'utente effettivamente connesso come identità SQL?
Confrontare il modello di sicurezza
La colonna provider di autenticazione DAB mostra il valore effettivo per runtime.host.authentication.provider. Se la configurazione omette questa impostazione, DAB usa Unauthenticated. Ad eccezione del nome utente/password e degli esempi on-behalf-of, le esecuzioni locali usano le credenziali SQL e le distribuzioni Azure usano l'identità gestita. L'esempio on-behalf-of imposta data-source.user-delegated-auth.provider anche su EntraId.
| Quickstart | Dall'utente all'app web | Da app Web a DAB | Fornitore di autenticazione DAB | DaB a SQL |
|---|---|---|---|---|
| Nome utente/password | Anonimo | Anonimo | Unauthenticated |
Credenziali SQL |
| Identità gestita | Anonimo | Anonimo | Unauthenticated |
Identità gestita in Azure |
| Microsoft Entra | Anonimo | Anonimo | EntraId |
Identità gestita in Azure |
| Criteri DAB | Accesso a Microsoft Entra | Token del portatore | EntraId |
Identità gestita in Azure |
| Sicurezza a livello di riga SQL | Accesso a Microsoft Entra | Token del portatore | EntraId |
Identità gestita in Azure |
| Per conto di in Azure SQL | Accesso a Microsoft Entra | Token del portatore | EntraId |
Token delegato dall'utente per Azure SQL |