#はじめに
Azure SQL Database(以下、DB)と Azure Synapse Analytics(以下、DW)にADユーザ or ADセキュリティグループ or Azure リソースを登録する方法についてメモ
※Azure リソースとはManaged IDを含むサービスプリンシパルを指します。本手順はData FactoryやMachine LearningなどのManaged IDに対する認可を確認済みです。Azure リソースに権限付与する場合はリソース名をSQL内に入れるようにしてください。
以下、参考リンク
MS Doc
CREATE USER (Transact-SQL)
ALTER ROLE (Transact-SQL)
sp_addrolemember (Transact-SQL)
#手順
- SQL Server ユーザに追加
- Database権限ロール付与にユーザ登録
##SQL Server ユーザに追加
sql
CREATE USER [ユーザID or リソース名] FROM EXTERNAL PROVIDER
ユーザIDはセキュリティグループ名を入れることも可能です。
通常はユーザID @xxx.onmicrosoft.comになりますが、もし外部ADからの招待ユーザなら下記のような指定となります。
ユーザID_外部ADドメイン#EXT#@xxx.onmicrosoft.com
##Database権限ロール付与にユーザ登録
上記だけだとSQLServerにはログインできますが、Databaseへアクセスできませんので、データへのアクセス権限を付与します。db_owner権限の場合の例です。
DBとDWで少し変わります。
###DB
sql
ALTER ROLE [db_owner] ADD MEMBER [ユーザID or リソース名]
###DW
sql
EXEC sp_addrolemember 'db_owner', 'ユーザID or リソース名'