Предоставление доступа на чтение группе Azure Active Directory в SQL DW (Synapse)

Кто-нибудь может мне помочь с этим, я застрял, и чтение меня ни к чему не привело :(

Мой вопрос касается группы Azure Active Directory и SQL DW. Я хочу предоставить доступ для чтения к базе данных группе Azure Active Directory (группа ADD). Для этого я предпринял следующие шаги:

  • Я создал две группы в ADD как Пользователи-администраторы Azure AnalytcisDW и Пользователи базы данных Azure AnalytcisDW, каждая из которых состоит из группы пользователей.
  • Затем я зашел на портал Azure, выбрал свой SQL DW и добавил группу Пользователи-администраторы Azure AnalytcisDW как Администратор Active Directory (изображение ниже).
  • Затем я проверил SSMS и увидел, что группа Пользователи-администраторы Azure AnalytcisDW находится в разделе mater = ›Security =› Пользователи (см. Изображение ниже).

Теперь я хочу предоставить группе Пользователи базы данных Azure AnalytcisDW разрешение на чтение (базы данных) (с использованием SSMS или чего-либо еще). Я не мог понять, как это сделать. Я прочитал кучу материалов по этому поводу и не смог найти дорогу, например:

Предоставить доступ к таблице SQL Server пользователю AD

Добавление пользователей в базы данных SQL Azure

Администратор Active Directory в SQL DW (портал)

SSMS


azure-synapse azure-active-directory ssms active-directory-group
person mas    schedule 08.01.2021    source источник

Ответы (1)


arrow_upward
2
arrow_downward

Мне удалось сделать то же самое, используя приведенные ниже команды, где db_users (такие же, как ваши пользователи базы данных Azure AnalytcisDW) являются активной группой каталогов, и я использовал идентификатор из db_admin (такой же, как ваши пользователи-администраторы Azure AnalytcisDW) для подключения к Synapse.

введите описание изображения здесь

Ссылка на документ: RoleAssign, AADGroupUser

person HarithaMaddi-MSFT    schedule 08.01.2021
comment
Спасибо @ HarithaMaddi-MSFT за это. К сожалению, я попробовал и получил эту ошибку: невозможно изменить роль db_datareader, потому что она не существует или у вас нет разрешения. Что делать под master или под database? Кстати, как это подключается к моей user группе AD? Нигде не вижу в ssms - person mas; 10.01.2021
comment
также в ссылка, которой вы поделились, говорит, что этот синтаксис не поддерживается бессерверным пулом SQL в Azure Synapse Analytics. - person mas; 10.01.2021
comment
Привет @mas, Вам нужно выполнить вышеуказанные запросы в самой базе данных. Чтобы увидеть созданную вами роль, выполните в базе данных следующий запрос: SELECT DP1.name AS DatabaseRoleName, isnull (DP2.name, 'No members') AS DatabaseUserName FROM sys.database_role_members AS DRM RIGHT OUTER JOIN sys.database_principals AS DP1 ON DRM.role_principal_id = DP1.principal_id LEFT OUTER JOIN sys.database_principals AS DP2 ON DRM.member_principal_id = DP2.principal_id WHERE DP1.type IN ( 'R') ORDER BY DP1.name; - person Nandan; 11.01.2021
comment
Кроме того, вам необходимо войти в систему через учетную запись AD только для выполнения этого запроса создания нового пользователя AD. - person Nandan; 11.01.2021
comment
кажется, что вам нужно сделать пользователей под master, а также с любой базой данных, которой вы хотите назначить роль. - person mas; 11.01.2021
comment
Чтобы запустить любые команды предоставления роли активного каталога, используйте учетную запись администратора активного каталога для входа в Synapse - person HarithaMaddi-MSFT; 11.01.2021