Учетные данные для проверки подлинности источника в Microsoft Purview

  • Статья

В этой статье описывается создание учетных данных в Microsoft Purview. Эти сохраненные учетные данные позволяют быстро повторно использовать и применять сохраненные сведения для проверки источников данных.

Предварительные требования

Введение

Учетные данные — это сведения о проверке подлинности, которые Microsoft Purview может использовать для проверки подлинности в зарегистрированных источниках данных. Объект учетных данных можно создать для различных типов сценариев проверки подлинности, таких как обычная проверка подлинности, требующая имени пользователя или пароля. Сбор учетных данных определенных сведений, необходимых для проверки подлинности, в зависимости от выбранного типа метода проверки подлинности. Учетные данные используют существующие секреты Azure Key Vault для получения конфиденциальных сведений о проверке подлинности в процессе создания учетных данных.

В Microsoft Purview существует несколько вариантов, которые можно использовать в качестве метода проверки подлинности для сканирования источников данных, например следующие параметры. Узнайте из каждой статьи об источнике данных о поддерживаемой проверке подлинности.

Прежде чем создавать учетные данные, рассмотрите типы источников данных и требования к сети, чтобы решить, какой метод проверки подлинности необходим для вашего сценария.

Настройка проверок с помощью управляемого удостоверения, назначаемого системой Microsoft Purview

Если для настройки проверок используется управляемое удостоверение Microsoft Purview, назначаемое системой (SAMI), вам не нужно создавать учетные данные и связывать хранилище ключей с Microsoft Purview для их хранения. Подробные инструкции по добавлению SAMI Microsoft Purview для доступа к сканированию источников данных см. в следующих разделах проверки подлинности для конкретных источников данных:

Предоставьте Microsoft Purview доступ к Key Vault Azure

Чтобы предоставить Microsoft Purview доступ к Key Vault Azure, необходимо подтвердить два действия.

Доступ в брандмауэре к Azure Key Vault

Если ваш Key Vault Azure отключил доступ к общедоступной сети, у вас есть два варианта, чтобы разрешить доступ для Microsoft Purview.

Доверенные службы Майкрософт

Microsoft Purview указан как одна из доверенных служб Azure Key Vault, поэтому если доступ к общедоступной сети отключен на Key Vault Azure, вы можете включить доступ только к доверенным службам Майкрософт, и microsoft Purview будет включен.

Этот параметр можно включить в Key Vault Azure на вкладке Сеть.

В нижней части страницы в разделе Исключение включите параметр Разрешить доверенным службам Майкрософт обойти эту функцию брандмауэра .

Azure Key Vault страницу сети с включенным параметром Разрешить доверенным службам Майкрософт обойти эту функцию брандмауэра.

Подключения к частной конечной точке

Чтобы подключиться к azure Key Vault с помощью частных конечных точек, следуйте документации по частной конечной точке Azure Key Vault.

Примечание.

Параметр подключения к частной конечной точке поддерживается при использовании среды выполнения интеграции Azure в управляемой виртуальной сети для сканирования источников данных. Для локальной среды выполнения интеграции необходимо включить доверенные службы Майкрософт.

Разрешения Microsoft Purview на Key Vault Azure

В настоящее время azure Key Vault поддерживает две модели разрешений:

Перед назначением доступа к управляемому удостоверению Microsoft Purview, назначаемому системой (SAMI), сначала определите модель разрешений azure Key Vault из Key Vault политики доступа к ресурсам в меню. Выполните следующие действия на основе соответствующей модели разрешений.

Модель разрешений azure Key Vault

Вариант 1. Назначение доступа с помощью политики доступа Key Vault

Выполните следующие действия, только если модель разрешений в ресурсе Key Vault Azure имеет значение Политика доступа к хранилищу.

  1. Перейдите к Key Vault Azure.

  2. Выберите страницу Политики доступа .

  3. Выберите Добавить политику доступа.

    Добавление управляемого удостоверения Microsoft Purview в AKV

  4. В раскрывающемся списке Разрешения секретов выберите Получить и Получить разрешения.

  5. В поле Выбрать субъект выберите управляемое системное удостоверение Microsoft Purview. Вы можете выполнить поиск по SAMI Microsoft Purview, используя имя экземпляра Microsoft Purview или идентификатор приложения с управляемым удостоверением. В настоящее время мы не поддерживаем составные удостоверения (имя управляемого удостоверения + идентификатор приложения).

    Добавление политики доступа

  6. Нажмите Добавить.

  7. Нажмите кнопку Сохранить , чтобы сохранить политику доступа.

    Сохранение политики доступа

Вариант 2. Назначение доступа с помощью Key Vault управления доступом на основе ролей Azure

Выполните следующие действия, только если для модели разрешений в ресурсе Key Vault Azure задано управление доступом на основе ролей Azure.

  1. Перейдите к Key Vault Azure.

  2. Выберите контроль доступа (IAM) в меню навигации слева.

  3. Выберите + Добавить.

  4. Задайте для параметра Рользначение Key Vault Секретный пользователь и введите имя учетной записи Microsoft Purview в поле Выбор входных данных. Затем нажмите кнопку Сохранить, чтобы предоставить это назначение роли учетной записи Microsoft Purview.

    Azure Key Vault RBAC

Создание подключений Azure Key Vault в учетной записи Microsoft Purview

Прежде чем создавать учетные данные, сначала свяжите один или несколько существующих экземпляров azure Key Vault с учетной записью Microsoft Purview.

  1. Откройте портал управления Microsoft Purview, выполнив следующие действия.

  2. Перейдите в Центр управления в студии, а затем перейдите к учетным данным.

  3. На странице Учетные данные выберите Управление Key Vault подключениями.

    Управление подключениями azure Key Vault

  4. Выберите + Создать на странице Управление подключениями Key Vault.

  5. Укажите необходимые сведения, а затем нажмите кнопку Создать.

  6. Убедитесь, что Key Vault успешно связан с вашей учетной записью Microsoft Purview, как показано в этом примере:

    Просмотрите подключения azure Key Vault для подтверждения.

Создание учетных данных

В Microsoft Purview поддерживаются следующие типы учетных данных:

  • Обычная проверка подлинности. Пароль добавляется в хранилище ключей в качестве секрета.
  • Субъект-служба. Вы добавляете ключ субъекта-службы в качестве секрета в хранилище ключей.
  • Проверка подлинности SQL. Пароль добавляется в качестве секрета в хранилище ключей.
  • проверка подлинности Windows. Пароль добавляется в качестве секрета в хранилище ключей.
  • Ключ учетной записи. Ключ учетной записи добавляется в качестве секрета в хранилище ключей.
  • Role ARN. Для источника данных Amazon S3 добавьте свою роль ARN в AWS.
  • Ключ потребителя. Для источников данных Salesforce можно добавить пароль и секрет потребителя в хранилище ключей.
  • Управляемое удостоверение, назначаемое пользователем (предварительная версия). Вы можете добавить учетные данные управляемого удостоверения, назначаемые пользователем. Дополнительные сведения см. в разделе Создание управляемого удостоверения, назначаемого пользователем , ниже.

Дополнительные сведения см. в разделах Добавление секрета в Key Vault и Создание новой роли AWS для Microsoft Purview.

После сохранения секретов в хранилище ключей:

  1. В Microsoft Purview перейдите на страницу Учетные данные.

  2. Создайте учетные данные, выбрав + Создать.

  3. Укажите необходимые сведения. Выберите метод проверки подлинности и Key Vault подключение, из которого следует выбрать секрет.

  4. После заполнения всех сведений нажмите кнопку Создать.

    Новые учетные данные

  5. Убедитесь, что новые учетные данные отображаются в представлении списка и готовы к использованию.

    Просмотр учетных данных

Управление подключениями к хранилищу ключей

  1. Поиск и поиск Key Vault подключений по имени

    Поиск хранилища ключей

  2. Удаление одного или нескольких подключений Key Vault

    Удаление хранилища ключей

Управление учетными данными

  1. Поиск и поиск учетных данных по имени.

  2. Выберите и внесите обновления в существующие учетные данные.

  3. Удалите одну или несколько учетных данных.

Создание управляемого удостоверения, назначаемого пользователем

Управляемые удостоверения, назначаемые пользователем (UAMI), позволяют ресурсам Azure выполнять проверку подлинности непосредственно с другими ресурсами с помощью проверки подлинности Azure Active Directory (Azure AD) без необходимости управлять этими учетными данными. Они позволяют проходить проверку подлинности и назначать доступ так же, как с управляемым удостоверением, назначаемого системой, Azure AD пользователя, Azure AD группы или субъекта-службы. Управляемые удостоверения, назначаемые пользователем, создаются как собственный ресурс (а не подключаются к уже существующему ресурсу). Дополнительные сведения об управляемых удостоверениях см. в документации по управляемым удостоверениям для ресурсов Azure.

Ниже показано, как создать UAMI для Microsoft Purview.

Поддерживаемые источники данных для UAMI

Создание управляемого удостоверения, назначаемого пользователем

  1. В портал Azure перейдите к учетной записи Microsoft Purview.

  2. В разделе Управляемые удостоверения в меню слева нажмите кнопку + Добавить , чтобы добавить управляемые удостоверения, назначаемые пользователем.

    Снимок экрана: экран управляемого удостоверения в портал Azure с выделенным элементом , назначаемого пользователем и добавляемого.

  3. После завершения настройки вернитесь к учетной записи Microsoft Purview в портал Azure. Если управляемое удостоверение успешно развернуто, вы увидите состояние учетной записи Microsoft Purview как Успешно.

    Снимок экрана: учетная запись Microsoft Purview в портал Azure с выделенным состоянием на вкладке

  4. После успешного развертывания управляемого удостоверения перейдите на портал управления Microsoft Purview, нажав кнопку Открыть портал управления Microsoft Purview .

  5. На портале управления Microsoft Purview перейдите в Центр управления в студии, а затем перейдите в раздел Учетные данные.

  6. Создайте управляемое удостоверение, назначаемое пользователем, выбрав +Создать.

  7. Выберите метод проверки подлинности управляемого удостоверения и выберите управляемое удостоверение, назначаемое пользователем, в раскрывающемся меню.

    Снимок экрана: плитка создания нового управляемого удостоверения с выделенной ссылкой Подробнее.

    Примечание.

    Если портал был открыт во время создания управляемого удостоверения, назначаемого пользователем, необходимо обновить веб-портал Microsoft Purview, чтобы загрузить параметры, завершенные в портал Azure.

  8. После заполнения всех сведений выберите Создать.

Удаление управляемого удостоверения, назначаемого пользователем

  1. В портал Azure перейдите к учетной записи Microsoft Purview.

  2. В разделе Управляемые удостоверения в меню слева выберите удостоверение, которое нужно удалить.

  3. Нажмите кнопку Удалить .

  4. После успешного удаления управляемого удостоверения перейдите на портал управления Microsoft Purview, нажав кнопку Открыть портал управления Microsoft Purview .

  5. Перейдите в Центр управления в студии, а затем перейдите в раздел Учетные данные.

  6. Выберите удостоверение, которое нужно удалить, а затем нажмите кнопку Удалить .

Примечание.

Если вы удалили управляемое удостоверение, назначаемое пользователем, в портал Azure, необходимо удалить исходный идентификатор и создать новое на портале управления Microsoft Purview.

Дальнейшие действия

Создание набора правил проверки