コネクタと接続 > データ取り込みおよびレプリケーション接続プロパティ > Microsoft Azure Synapse SQL接続のプロパティ

Microsoft Azure Synapse SQL接続のプロパティ

Microsoft Azure Synapse SQLとの間でデータの読み取りまたは書き込みを行うためのMicrosoft Azure Synapse SQL接続を作成します。

前提条件

Microsoft Azure Synapse SQLにアクセスするように、Microsoft SQL Server認証、Azure Active Directory認証、マネージドID認証、、およびサービスプリンシパル認証タイプを設定できます。

接続プロパティを設定する前に、使用する認証のタイプに基づいて認証の詳細を用意しておく必要があります。

Azure Active Directory認証

Azure Active Directory（AAD）認証を使用してMicrosoft Azure Synapse SQLに接続するには、Azure Active Directory管理者とAzure Active Directoryユーザーを作成する必要があります。

Azure Active Directory管理者の作成

Azure Active Directoryに新しいユーザーを追加するには、管理者ロールが必要です。

Microsoft Azure Synapse SQLをホストするAADとMicrosoft SQL ServerのAzure Active Directory管理者を設定するには、次の手順を実行します。

1資格情報を使用して、Microsoft Azureポータルにログオンします。

［ダッシュボード］ページが表示されます。

2［すべてのリソース］ページで、Microsoft Azure Synapse SQLをホストしているMicrosoft SQL Serverを選択します。
3Microsoft SQL Serverに表示された［設定］で、［Active Directory管理者］オプションを選択します。

以下の図に、Active Directory管理者設定を示します。

4［管理者の設定］をクリックします。

［管理者の追加］ページが表示されます。

5管理者として使用する電子メールIDを入力してから、［選択］をクリックします。
6［保存］をクリックします。

Azure Active Directoryユーザーの作成

AADユーザーを作成し、AAD認証を使用してMicrosoft Azure Synapse SQL接続を設定するときにAADユーザー資格情報を使用します。

AADユーザーを作成するには、次の手順を実行します。

1前の手順で作成したAzure Active Directory管理者を使用して、Microsoft Azure Synapse SQLに接続します。

Microsoft SQL Server Management Studioを使用して、Microsoft Azure Synapse SQLに接続できます。

2Microsoft SQL Server Management Studioの新しいクエリウィンドウで、次のコマンドを実行してAADユーザーを作成します:

create user [user@foobar.com] from external provider;

3次の特権をユーザーに割り当てます:

CREATE USER [username] FROM EXTERNAL PROVIDER;

ALTER ROLE db_datareader ADD MEMBER [username]

ALTER ROLE db_datawriter ADD MEMBER [username]

GRANT EXECUTE TO [username]

grant ALTER ANY EXTERNAL DATA SOURCE to [username];

grant create table to [username];

grant create schema to [username];

grant select to [username];

grant update to [username];

grant insert to [username];

grant delete to [username];

grant create view to [username];

grant select on schema :: sys to [username];

grant control to [username];

EXEC sp_addrolemember 'db_owner','[username]';

ALTER ROLE db_owner ADD MEMBER [username]

サービスプリンシパル認証

サービスプリンシパル認証では、サービスプリンシパルIDを使用してAzureリソースへのアクセスを認証および承認します。サービスプリンシパル認証を使用してMicrosoft Azure Synapse SQLに接続する前に、特定の前提条件を必ず満たすようにしてください。

1サービスプリンシパルアプリケーションを登録する。
2専用SQLプールのサービスプリンシパルユーザーを設定する。

詳細については、Informatica How-Toライブラリの記事「Prerequisites to use service principal authentication」を参照してください。

マネージドID認証

マネージドID認証では、Azure Active DirectoryのマネージドIDを使用してAzureリソースへのアクセスを安全に認証および承認します。

マネージドID認証を使用してMicrosoft Azure Synapse SQLに接続する場合、システム割り当てIDのユーザーは、そのIDを有効にした仮想マシンになります。ユーザー割り当てIDのユーザーは、Azure portalで作成したユーザーIDになります。

マネージドID認証を使用してMicrosoft Azure Synapse SQLまたはMicrosoft Azure Data Lake Storage Gen2に接続する前に、特定の前提条件を必ず満たすようにしてください。

1Azure仮想マシンを作成する。
2Secure AgentをAzure仮想マシンにインストールする。
3Azure仮想マシンのシステム割り当てIDまたはユーザー割り当てIDを有効にする。

両方のIDを有効にしてもクライアントIDが指定されていない場合は、システムで割り当てられたIDが認証に使用されます。

4マネージドIDを追加または削除した後に、Azure仮想マシンを再起動する。

権限

権限により、Microsoft Azure Synapse SQLで実行できる操作のアクセスレベルを定義します。

次のような権限を確認する必要があります。

•デフォルトのスキーマがアカウントレベルまたはユーザーあるいはグループレベルでMicrosoft Azure SQL Data Warehouseに存在することを確認します。
•Microsoft Azure SQL Data Warehouseに接続して操作を正常に実行するためのdb_owner特権、または次のようなより詳細な特権のいずれかがユーザーに付与されていることを確認します。

- EXEC sp_addrolemember 'db_datareader', '<user>'; // または、個々のテーブルに対する権限を割り当てます。
- EXEC sp_addrolemember 'db_datawriter', '<user>'; // または、個々のテーブルに対する権限を割り当てます。
- GRANT ALTER ANY EXTERNAL DATA SOURCE TO <user>;
- GRANT ALTER ANY EXTERNAL FILE FORMAT TO <user>;
- GRANT CONTROL TO <user>;// データベースに対するすべての権限を付与します。

または

GRANT ALTER ANY SCHEMA TO <user>;// スキーマに対してのみ権限を付与します。

- GRANT CREATE TABLE TO <user>;
- Pre-SQLコマンドとPost-SQLコマンドでタスクを実行するのに必要な特権を割り当てます。

•接続プロパティでステージングスキーマ名を設定する場合は、次の追加の権限がユーザーに付与されていることを確認してください:

- ALTER ROLE db_datareader ADD MEMBER <user>;
- GRANT ALTER ANY EXTERNAL DATA SOURCE TO <user>;
- GRANT ALTER ANY EXTERNAL FILE FORMAT TO <user>;
- GRANT CREATE TABLE TO <user>;
- GRANT ALTER ON SCHEMA::<staging_schema_name> TO <user>;// 別のスキーマで外部テーブルを作成または削除するためのアクセス権がこのユーザーに割り当てられていないことを確認します。
- GRANT REFERENCES ON DATABASE SCOPED CREDENTIAL::<db_credential_name> TO <user>;// 資格情報を削除するためのアクセス権がこのユーザーに割り当てられていないことを確認します。

例: GRANT REFERENCES ON DATABASE SCOPED CREDENTIAL::db_creds1 TO srvls;

•ALTER ANY SCHEMA権限を持っている場合は、Microsoft Azure Synapse SQLでマスタキー、データベーススコープ資格情報、および外部データソースを作成する必要があります。これには、データベースに対するCONTROL権限が必要であり、接続の作成時に外部データソースを指定する必要があります。

また、Microsoft Azure Synapse SQLコネクタは、データベーススコープ資格情報と外部データソースを削除しません。データベーススコープ資格情報と外部データソースを手動で削除する必要があります。

•マネージドID認証を使用してMicrosoft Azure Synapse SQLに接続する場合は、仮想マシンとユーザーIDに権限を付与してください。例: GRANT CONTROL TO <virtual machine name>;およびGRANT CONTROL TO <user identity name>;

Microsoft Azure Synapse SQLへの接続

Microsoft Azure Synapse SQLに接続するようにMicrosoft Azure Synapse SQL接続プロパティを設定してみましょう。

始める前に

開始する前に、設定する認証タイプに基づいてMicrosoft Azure Synapse SQLアカウントから情報を取得する必要があります。

接続の詳細

次の表に、基本接続プロパティを示します。

財産	説明
接続名	接続の名前。各接続名は組織内で一意である必要があります。接続名には、英数字、スペース、および次の特殊文字を含めることができます。_ .+ -, 最大長は255文字です。
説明	接続の説明。最大長は4000文字です。
タイプ	Microsoft Azure Synapse SQL
ランタイム環境	タスクを実行するランタイム環境の名前。アプリケーション取り込みとレプリケーションタスク、データベース取り込みとレプリケーションタスク、およびストリーミング取り込みとレプリケーションタスクでは、ホステッドエージェントまたはサーバーレスランタイム環境を使用することはできません。ファイル取り込みとレプリケーションタスクでは、ホステッドエージェントを使用できますが、サーバーレス環境を使用することはできません。
Azure DW JDBC URL	Microsoft Azure Synapse SQL JDBC接続文字列。次の文字列を使用して、Microsoft Azure Synapse SQLに接続します。 jdbc:sqlserver://<Server>.database.windows.net:1433;database=<Database> 接続文字列に認証パラメータを含めて、認証タイプを指定できます。Microsoft Azure Synapse SQLに接続するための次の認証タイプを設定できます。 - Microsoft SQL Server - Azure Active Directory - マネージドID - サービスプリンシパル接続文字列に認証パラメータを含めない場合、Secure Agentでは認証タイプとしてMicrosoft SQL Server認証が使用されます。 Microsoft SQL Server認証の接続文字列形式 jdbc:sqlserver://<Server>.database.windows.net:1433;database=<Database> Azure Active Directory（AAD）認証の接続文字列形式 jdbc:sqlserver://<サーバー>.database.windows.net:1433; database=<データベース>;encrypt=true;trustServerCertificate=false; hostNameInCertificate=.database.windows.net;loginTimeout=30; Authentication=ActiveDirectoryPassword; サービスプリンシパル認証の接続文字列形式* jdbc:sqlserver://<Server>.database.windows.net:1433; database=<Database>;encrypt=true;trustServerCertificate=false; hostNameInCertificate=.database.windows.net;loginTimeout=30; Authentication= ActiveDirectoryServicePrincipal; マネージドID認証の接続文字列形式* jdbc:sqlserver://<サーバー>.database.windows.net:1433;database=<データーベース>;Authentication=ActiveDirectoryMsi;
Azure DW JDBCユーザー名	Microsoft Azure Synapse SQLアカウントに接続するためのユーザー名。 - AAD認証の場合は、AADユーザー名を指定します。 - Microsoft SQL Server認証の場合は、SQL認証ユーザー名を指定します。 - サービスプリンシパル認証の場合は、Azure Active Directoryに登録されているアプリケーションのアプリケーションIDまたはクライアントIDを指定します。このプロパティは、マネージドID認証には適用されません。
Azure DW JDBCパスワード	Microsoft Azure Synapse SQLアカウントに接続するためのパスワード。 - AAD認証の場合は、AADユーザーのパスワードを指定します。 - Microsoft SQL Server認証の場合は、SQL認証ユーザーのパスワードを指定します。 - サービスプリンシパル認証の場合は、Azure Active Directoryに登録されているアプリケーションのクライアントシークレットを指定します。このプロパティは、マネージドID認証には適用されません。
Azure DWクライアントID	マネージドID認証でユーザー割り当てマネージドIDを使用してMicrosoft Azure Synapse SQLに接続する場合は必須です。ユーザー割り当てマネージドIDのクライアントID。システム割り当てのマネージドIDを使用する場合は、フィールドを空のままにします。
Azure DWスキーマ名	Microsoft Azure Synapse SQL内のスキーマの名前。

Azureストレージタイプ

データファイルをステージングするAzureストレージタイプとして、Microsoft Azure Blob StorageまたはMicrosoft Azure Data Lake Storage Gen2を選択できます。デフォルトはAzure Blobです。

希望するストレージタイプを選択し、ストレージ固有のパラメータを設定します。

Microsoft Azure Blob StorageまたはMicrosoft Azure Data Lake Storage Gen2に接続してファイルをステージングするときに、共有キー認証の資格情報を取得する方法については、How-Toライブラリの記事「Get credentials for shared key authentication」を参照してください。

Microsoft Azure Data Lake Storage Gen2に接続してファイルをステージングするときに、サービスプリンシパル認証の資格情報を取得する方法については、How-Toライブラリの記事「Get credentials for service principal authentication」を参照してください。

Azure Blob Storage

ストレージタイプとしてMicrosoft Azure Blobを選択すると、ファイルをステージングするための認証タイプとして共有キー認証を設定できます。

次の表に、Microsoft Azure BLOB Storageに対して設定できる認証タイプを示します。

プロパティ	説明
認証タイプ	ファイルをステージングするMicrosoft Azure Blob Storageに接続するための認証タイプ。ファイルをステージングするための認証タイプとして共有キー認証を設定できます。

共有キー認証

ストレージアカウント名とアカウントキーを使用して、Microsoft Azure Blob Storageに接続します。

次の表に、共有キー認証の基本接続プロパティを示します。

プロパティ	説明
Azure Blobアカウント名	ファイルをステージングするMicrosoft Azure Blob Storageアカウントの名前。
Azure Blobアカウントキー	ファイルをステージングするためのMicrosoft Azure Blob Storageアクセスキー。
コンテナ名	Azure Blob Storageアカウントのコンテナの名前。

ADLS Gen2ストレージ

ストレージタイプとしてMicrosoft Azure Data Lake Storage Gen2を選択すると、ファイルをステージングするためのさまざまな認証タイプを設定をできます。

次の表に、Microsoft Azure Data Lake Storage Gen2ストレージに対して設定できる認証タイプを示します。

プロパティ	説明
認証タイプ	ファイルをステージングするAzureストレージに接続するための認証タイプ。次のいずれかのオプションを選択します。 - 共有キー認証 - サービスプリンシパル認証 - マネージドID認証認証タイプの設定方法の詳細については、「Setting up authentication to connect to Microsoft Azure Synapse SQL.」を参照してください。

プロパティ

説明

認証タイプ

ファイルをステージングするAzureストレージに接続するための認証タイプ。

次のいずれかのオプションを選択します。

- 共有キー認証
- サービスプリンシパル認証
- マネージドID認証

認証タイプの設定方法の詳細については、「Setting up authentication to connect to Microsoft Azure Synapse SQL.」を参照してください。

共有キー認証

ストレージアカウント名とアカウントキーを使用して、Microsoft Azure Data Lake Storage Gen2に接続します。

次の表に、共有キー認証の基本接続プロパティを示します。

プロパティ	説明
ADLS Gen2ストレージアカウント名	ファイルをステージングするためのMicrosoft Azure Data Lake Storage Gen2ストレージアカウントの名前。
ADLS Gen2アカウントキー	ファイルをステージングするためのMicrosoft Azure Data Lake Storage Gen2アクセスキー。
ファイルシステム名	Microsoft Azure Data Lake Storage Gen2アカウントのファイルシステムの名前。

サービスプリンシパル認証

アカウント名、クライアントID、クライアントシークレット、およびテナントIDを使用してMicrosoft Azure Data Lake Storage Gen2に接続します。

次の表に、サービスプリンシパル認証の基本接続プロパティを示します。

プロパティ	説明
ADLS Gen2ストレージアカウント名	ファイルをステージングするためのMicrosoft Azure Data Lake Storage Gen2ストレージアカウントの名前。
クライアントID	アプリケーションのクライアントID。 Azure Active Directoryに登録されているアプリケーションのアプリケーションIDまたはクライアントIDを入力します。
クライアントシークレット	アプリケーションのクライアントシークレット。
テナントID	アプリケーションのディレクトリIDまたはテナントID。
ファイルシステム名	Microsoft Azure Data Lake Storage Gen2アカウントのファイルシステムの名前。

マネージドID認証

Microsoft Azure Data Lake Storage Gen2のAzureリソースにアクセスするために、Azureのアプリケーションに割り当てられたシステム割り当てIDまたはユーザー割り当てIDを使用して認証するには、この認証タイプを選択します。

次の表に、マネージドID認証の基本接続プロパティを示します。

プロパティ	説明
ADLS Gen2ストレージアカウント名	ファイルをステージングするためのMicrosoft Azure Data Lake Storage Gen2ストレージアカウントの名前。
クライアントID	アプリケーションのクライアントID。ユーザー割り当てマネージドIDのクライアントIDを入力します。マネージドIDがシステム割り当てである場合は、フィールドを空のままにします。
ファイルシステム名	Microsoft Azure Data Lake Storage Gen2アカウントのファイルシステムの名前。

ファイル取り込みとレプリケーションタスクで、ターゲットとしてマネージドID認証タイプのMicrosoft Azure Synapse SQLを選択した場合は、ソースとしてMicrosoft Azure Data Lake Storage Gen2を選択する必要があります。

詳細設定

次の表に、詳細接続のプロパティを示します。

プロパティ	説明
外部データソース	外部テーブルを作成するデータソース。外部データソースがMicrosoft Azure Synapse SQLに存在していること、および外部データソースにアクセスする権限があることを確認してください。コピーコマンド方式を使用してステージングの場所からMicrosoft Azure Synapse SQLにデータのロードを行う場合、外部データソースを指定する必要はありません。
ステージングスキーマ名	Secure Agentがデータファイルをステージングする外部テーブルを作成するのに使用するスキーマの名前。ステージングスキーマ名が指定されていない場合、Secure Agentは設定されたAzure DWスキーマ名を考慮します。
Blobエンドポイント	Microsoft Azureエンドポイントのタイプ。次のいずれかのエンドポイントを選択します。 - core.windows.net。Azureエンドポイントに接続します。 - core.usgovcloudapi.net。米国政府のMicrosoft Azure Synapse SQLエンドポイントに接続します。 - core.chinacloudapi.cn。中国地域のMicrosoft Azure Synapse SQLエンドポイントに接続します。デフォルトはcore.windows.netです
VNetルール	仮想ネットワーク（VNet）にあるMicrosoft Azure Synapse SQLエンドポイントへの接続を有効にします。このプロパティは、サーバーレスランタイム環境には適用されません。