时间戳

首页 > 解决方案 > 用于使用数据仓库进行身份验证的 Azure AD

azure - 用于使用数据仓库进行身份验证的 Azure AD

问题描述

我正在尝试使用 Azure AD 设置身份验证以登录 DWH。

假设我有一个名为 target.onmicrosoft.com 的目录

我有 2 个外部用户已被邀请到此目录(user1@gmail.com,user2@gmail.com)

对于 user1@gmail.com,我使用 RBAC 授予他订阅范围的所有者权限。

对于 user2@gmail.com,我只使用 RBAC 授予读者订阅范围的权限。

从 DWH AD 管理员门户,我将 user1@gmail.com 设置为管理员。换句话说,DWH 的 Active Directory 管理员是 user1@gmail.com

另外,DWH 的真正管理员用户是另一个用户,我们称之为topmanager

首先,我使用 topmanager 登录 DWH 并尝试从外部提供商创建 AAD 用户 CREATE USER [user2@gmail.com];

但它说:只有与 Active Directory 帐户建立的连接才能创建其他 Active Directory 用户。

所以我必须使用 user1@gmail.com 凭据登录(因为 user1 已经添加为 AAD 管理员)。我也无法使用 user2 凭据登录。

现在我执行了相同的查询

从外部提供商创建用户 [user1@gmail.com];

并出现错误:找不到主体“user1@gmail.com”或不支持此主体类型。

我的最终目的是为 user1 授予对 DWH 的完全权限,并为 user2 授予基于模式的完全权限。

标签: azureauthenticationazure-active-directoryazure-sqldw

解决方案

在数据仓库中使用 GRANT 权限。这是一个很好的概述:

https://docs.microsoft.com/en-us/sql/t-sql/statements/permissions-grant-deny-revoke-azure-sql-data-warehouse-parallel-data-warehouse?view=aps-pdw- 2016-au7

这个例子完全符合你的要求:

https://docs.microsoft.com/en-us/sql/t-sql/statements/permissions-grant-deny-revoke-azure-sql-data-warehouse-parallel-data-warehouse?view=aps-pdw- 2016-au7#d-granting-denying-and-revoking-a-schema-permission

推荐阅读