Credenciais para autenticação de origem no Microsoft Purview

  • Artigo

Este artigo descreve como você pode criar credenciais no Microsoft Purview. Essas credenciais salvas permitem que você reutilize rapidamente e aplique informações de autenticação salvas às suas verificações de fonte de dados.

Pré-requisitos

Introdução

Uma credencial são informações de autenticação que o Microsoft Purview pode usar para autenticar suas fontes de dados registradas. Um objeto de credencial pode ser criado para vários tipos de cenários de autenticação, como Autenticação Básica que exige nome de usuário/senha. Informações específicas de captura de credenciais necessárias para autenticação, com base no tipo de método de autenticação escolhido. As credenciais usam os segredos existentes do Azure Key Vaults para recuperar informações confidenciais de autenticação durante o processo de criação da credencial.

No Microsoft Purview, há poucas opções a serem usadas como método de autenticação para verificar fontes de dados, como as opções a seguir. Aprenda com cada artigo de fonte de dados para sua autenticação com suporte.

Antes de criar credenciais, considere seus tipos de fonte de dados e requisitos de rede para decidir qual método de autenticação você precisa para seu cenário.

Usar a identidade gerenciada atribuída pelo sistema do Microsoft Purview para configurar verificações

Se você estiver usando a SAMI (identidade gerenciada atribuída pelo sistema) do Microsoft Purview para configurar verificações, não precisará criar uma credencial e vincular seu cofre de chaves ao Microsoft Purview para armazená-las. Para obter instruções detalhadas sobre como adicionar o SAMI do Microsoft Purview para ter acesso para examinar suas fontes de dados, consulte as seções de autenticação específicas da fonte de dados abaixo:

Conceder acesso do Microsoft Purview ao seu Key Vault do Azure

Para dar ao Microsoft Purview acesso ao seu Key Vault do Azure, há duas coisas que você precisará confirmar:

Acesso de firewall ao Azure Key Vault

Se o Key Vault do Azure tiver desabilitado o acesso à rede pública, você terá duas opções para permitir o acesso ao Microsoft Purview.

Serviços confiáveis da Microsoft

O Microsoft Purview está listado como um dos serviços confiáveis do Azure Key Vault, portanto, se o acesso à rede pública estiver desabilitado no Azure Key Vault você poderá habilitar o acesso apenas a serviços confiáveis da Microsoft e o Microsoft Purview será incluído.

Você pode habilitar essa configuração no Key Vault do Azure na guia Rede.

Na parte inferior da página, em Exceção, habilite os serviços confiáveis da Microsoft para ignorar esse recurso de firewall .

O Azure Key Vault página de rede com os serviços confiáveis da Microsoft para ignorar esse recurso de firewall habilitado.

Conexões de ponto de extremidade privado

Para se conectar ao Azure Key Vault com pontos de extremidade privados, siga a documentação do ponto de extremidade privado do Azure Key Vault.

Observação

Há suporte para a opção de conexão de ponto de extremidade privado ao usar o runtime de integração do Azure na rede virtual gerenciada para verificar as fontes de dados. Para o runtime de integração auto-hospedada, você precisa habilitar serviços confiáveis da Microsoft.

Permissões do Microsoft Purview no Key Vault do Azure

Atualmente, o Azure Key Vault dá suporte a dois modelos de permissão:

Antes de atribuir acesso à SAMI (identidade gerenciada atribuída pelo sistema) do Microsoft Purview, primeiro identifique seu modelo de permissão do Azure Key Vault de Key Vault políticas de acesso de recursos no menu. Siga as etapas abaixo com base no modelo de permissão relevante.

Modelo de permissão de Key Vault do Azure

Opção 1 – Atribuir acesso usando Key Vault Política de Acesso

Siga estas etapas somente se o modelo de permissão no recurso do Azure Key Vault estiver definido como Política de Acesso do Cofre:

  1. Navegue até o Key Vault do Azure.

  2. Selecione a página Políticas de acesso .

  3. Selecione Adicionar Política de Acesso.

    Adicionar a identidade gerenciada do Microsoft Purview ao AKV

  4. Na lista suspensa Permissões de segredos , selecione Obter e Listar permissões.

  5. Para Selecionar entidade de segurança, escolha a identidade gerenciada do sistema do Microsoft Purview. Você pode pesquisar o SAMI do Microsoft Purview usando o nome da instância do Microsoft Purview ou a ID do aplicativo de identidade gerenciada. Atualmente, não oferecemos suporte a identidades compostas (nome da identidade gerenciada + ID do aplicativo).

    Adicionar política de acesso

  6. Selecione Adicionar.

  7. Selecione Salvar para salvar a política de acesso.

    Salvar a política de acesso

Opção 2 – Atribuir acesso usando Key Vault controle de acesso baseado em função do Azure

Siga estas etapas somente se o modelo de permissão no recurso do Azure Key Vault estiver definido como controle de acesso baseado em função do Azure:

  1. Navegue até o Key Vault do Azure.

  2. Selecione Controle de Acesso (IAM) no menu de navegação à esquerda.

  3. Selecione + Adicionar.

  4. Defina a Função como Key Vault Usuário de Segredos e insira o nome da conta do Microsoft Purview na caixa de entrada Selecionar. Em seguida, selecione Salvar para dar essa atribuição de função à sua conta do Microsoft Purview.

    RBAC Key Vault do Azure

Criar conexões do Azure Key Vaults em sua conta do Microsoft Purview

Antes de criar uma Credencial, primeiro associe uma ou mais instâncias existentes do Azure Key Vault com sua conta do Microsoft Purview.

  1. Abra o portal de governança do Microsoft Purview por:

  2. Navegue até o Centro de Gerenciamento no estúdio e navegue até as credenciais.

  3. Na página Credenciais, selecione Gerenciar conexões Key Vault.

    Gerenciar conexões de Key Vault do Azure

  4. Selecione + Novo na página Gerenciar conexões Key Vault.

  5. Forneça as informações necessárias e selecione Criar.

  6. Confirme se o Key Vault foi associado com êxito à sua conta do Microsoft Purview, conforme mostrado neste exemplo:

    Exibir conexões de Key Vault do Azure para confirmar.

Criar uma nova credencial

Esses tipos de credencial têm suporte no Microsoft Purview:

  • Autenticação básica: você adiciona a senha como um segredo no cofre de chaves.
  • Entidade de serviço: você adiciona a chave da entidade de serviço como um segredo no cofre de chaves.
  • Autenticação SQL: você adiciona a senha como um segredo no cofre de chaves.
  • autenticação do Windows: você adiciona a senha como um segredo no cofre de chaves.
  • Chave de Conta: você adiciona a chave da conta como um segredo no cofre de chaves.
  • Função ARN: para uma fonte de dados do Amazon S3, adicione sua função ARN no AWS.
  • Chave do Consumidor: para fontes de dados do Salesforce, você pode adicionar a senha e o segredo do consumidor no cofre de chaves.
  • Identidade gerenciada atribuída pelo usuário (versão prévia): você pode adicionar credenciais de identidade gerenciada atribuídas pelo usuário. Para obter mais informações, confira a seção criar uma identidade gerenciada atribuída pelo usuário abaixo.

Para obter mais informações, consulte Adicionar um segredo ao Key Vault e Criar uma nova função AWS para o Microsoft Purview.

Depois de armazenar seus segredos no cofre de chaves:

  1. No Microsoft Purview, acesse a página Credenciais.

  2. Crie sua nova Credencial selecionando + Novo.

  3. Forneça as informações necessárias. Selecione o método autenticação e uma conexão Key Vault da qual selecionar um segredo.

  4. Depois que todos os detalhes forem preenchidos, selecione Criar.

    Nova credencial

  5. Verifique se sua nova credencial aparece no modo de exibição de lista e está pronta para uso.

    Exibir credencial

Gerenciar suas conexões do cofre de chaves

  1. Pesquisar/localizar conexões de Key Vault por nome

    Cofre de chaves de pesquisa

  2. Excluir uma ou mais conexões Key Vault

    Excluir cofre de chaves

Gerenciar suas credenciais

  1. Pesquisar/localizar credenciais pelo nome.

  2. Selecione e faça atualizações em uma Credencial existente.

  3. Exclua uma ou mais Credenciais.

Criar uma identidade gerenciada atribuída pelo usuário

A UAMI (identidades gerenciadas atribuídas pelo usuário) permite que os recursos do Azure se autentiquem diretamente com outros recursos usando a autenticação do Azure Active Directory (Azure AD), sem a necessidade de gerenciar essas credenciais. Eles permitem que você autentique e atribua acesso como faria com uma identidade gerenciada atribuída pelo sistema, Azure AD usuário, grupo Azure AD ou entidade de serviço. As identidades gerenciadas atribuídas pelo usuário são criadas como seu próprio recurso (em vez de serem conectadas a um recurso pré-existente). Para obter mais informações sobre identidades gerenciadas, consulte as identidades gerenciadas para documentação de recursos do Azure.

As etapas a seguir mostrarão como criar uma interface do usuário para o Microsoft Purview usar.

Fontes de dados com suporte para UAMI

Criar uma identidade gerenciada atribuída pelo usuário

  1. No portal do Azure navegue até sua conta do Microsoft Purview.

  2. Na seção Identidades gerenciadas no menu esquerdo, selecione o botão + Adicionar para adicionar identidades gerenciadas atribuídas pelo usuário.

    Captura de tela mostrando a tela de identidade gerenciada no portal do Azure com o usuário atribuído e adicionar realçado.

  3. Depois de terminar a instalação, volte para sua conta do Microsoft Purview no portal do Azure. Se a identidade gerenciada for implantada com êxito, você verá o status da conta do Microsoft Purview como Bem-sucedido.

    Captura de tela da conta do Microsoft Purview no portal do Azure com Status realçado na guia visão geral e no menu essencial.

  4. Depois que a identidade gerenciada for implantada com êxito, navegue até o portal de governança do Microsoft Purview selecionando o botão Abrir portal de governança do Microsoft Purview .

  5. No portal de governança do Microsoft Purview, navegue até o Centro de Gerenciamento no estúdio e navegue até a seção Credenciais.

  6. Crie uma identidade gerenciada atribuída pelo usuário selecionando +Novo.

  7. Selecione o método de autenticação de identidade gerenciada e selecione sua identidade gerenciada atribuída pelo usuário no menu suspenso.

    Captura de tela mostrando o novo bloco de criação de identidade gerenciada, com o link Learn More realçado.

    Observação

    Se o portal estiver aberto durante a criação da identidade gerenciada atribuída pelo usuário, você precisará atualizar o portal da Web do Microsoft Purview para carregar as configurações concluídas no portal do Azure.

  8. Depois que todas as informações forem preenchidas, selecione Criar.

Excluir uma identidade gerenciada atribuída pelo usuário

  1. No portal do Azure navegue até sua conta do Microsoft Purview.

  2. Na seção Identidades gerenciadas no menu esquerdo, selecione a identidade que você deseja excluir.

  3. Selecione o botão Remover .

  4. Depois que a identidade gerenciada for removida com êxito, navegue até o portal de governança do Microsoft Purview selecionando o botão Abrir portal de governança do Microsoft Purview .

  5. Navegue até o Centro de Gerenciamento no estúdio e navegue até a seção Credenciais.

  6. Selecione a identidade que você deseja excluir e selecione o botão Excluir .

Observação

Se você tiver excluído uma identidade gerenciada atribuída pelo usuário no portal do Azure, precisará excluir o identiy original e criar uma nova no portal de governança do Microsoft Purview.

Próximas etapas

Criar um conjunto de regras de verificação