Sdílet prostřednictvím

Přehled řízení přístupu

  • Článek

Řízení přístupu Azure Data Explorer je založené na ověřování a autorizaci. Každý dotaz a příkaz u prostředku Azure Data Explorer, jako je cluster nebo databáze, musí projít ověřovacími i autorizačními kontrolami.

  • Ověřování: Ověřuje identitu objektu zabezpečení, který posílá požadavek.
  • Autorizace: Ověří, že objekt zabezpečení, který vytváří požadavek, má oprávnění provést tento požadavek na cílový prostředek.

Authentication

K programovému ověřování ve vašem clusteru musí klient komunikovat s Microsoft Entra ID a požádat o přístupový token specifický pro Azure Data Explorer. Klient pak může získaný přístupový token použít jako doklad identity při vydávání požadavků na cluster.

Hlavní scénáře ověřování jsou následující:

  • Ověřování uživatelů: Slouží k ověření identity lidských uživatelů.
  • Ověřování aplikace: Slouží k ověření identity aplikace, která potřebuje přístup k prostředkům bez zásahu člověka pomocí nakonfigurovaných přihlašovacích údajů.
  • Ověřování on-behalf-of (OBO): Umožňuje aplikaci vyměnit token za určitou aplikaci s tokenem pro přístup ke službě Kusto. Tento tok se musí implementovat s MSAL.
  • Ověřování jednostránkovou aplikací (SPA): Umožňuje webovým aplikacím SPA na straně klienta přihlásit uživatele a získat tokeny pro přístup ke clusteru. Tento tok se musí implementovat s MSAL.

Poznámka

Pro ověřování uživatelů a aplikací doporučujeme použít klientské knihovny Kusto. Pokud vyžadujete ověřování on-behalf-of (OBO) nebo Single-Page Application (SPA), budete muset použít MSAL přímo, protože tyto toky nejsou podporovány klientskými knihovnami. Další informace najdete v tématu Ověřování pomocí knihovny Microsoft Authentication Library (MSAL).

Ověřování uživatelů

K ověření uživatele dojde, když uživatel předloží přihlašovací údaje Microsoft Entra ID nebo zprostředkovateli identity, který se federuje s Microsoft Entra ID, například Active Directory Federation Services (AD FS). Uživatel získá zpět token zabezpečení, který je možné předložit službě Azure Data Explorer. Azure Data Explorer určuje, jestli je token platný, jestli je token vystavený důvěryhodným vystavitelem a jaké deklarace zabezpečení token obsahuje.

Azure Data Explorer podporuje následující metody ověřování uživatelů, včetně klientských knihoven Kusto:

  • Interaktivní ověřování uživatelů s přihlášením prostřednictvím uživatelského rozhraní
  • Ověřování uživatelů pomocí tokenu Microsoft Entra vydaného pro Azure Data Explorer.
  • Ověřování uživatelů pomocí Microsoft Entra tokenu vydaného pro jiný prostředek, který je možné vyměnit za token Azure Data Explorer pomocí ověřování on-behalf-of (OBO).

Ověřování aplikací

Ověřování aplikací je potřeba v případě, že požadavky nejsou přidružené ke konkrétnímu uživateli nebo když není k dispozici žádný uživatel, který by zadal přihlašovací údaje. V tomto případě se aplikace ověří ve Microsoft Entra ID nebo federovaného zprostředkovatele identity předložením tajných informací.

Azure Data Explorer podporuje následující metody ověřování aplikací, včetně klientských knihoven Kusto:

  • Ověřování aplikací pomocí spravované identity Azure.
  • Ověřování aplikací s místně nainstalovaným certifikátem X.509v2.
  • Ověřování aplikací pomocí certifikátu X.509v2 poskytnutého klientské knihovně jako datový proud bajtů.
  • Ověřování aplikace pomocí ID aplikace Microsoft Entra a Microsoft Entra klíče aplikace. ID a klíč aplikace se podobají uživatelskému jménu a heslu.
  • Ověřování aplikací pomocí dříve získaného platného tokenu Microsoft Entra vystaveného službě Azure Data Explorer.
  • Ověřování aplikací pomocí Microsoft Entra tokenu vydaného pro jiný prostředek, který je možné vyměnit za token Azure Data Explorer pomocí ověřování on-behalf-of (OBO).

Autorizace

Před provedením akce s prostředkem Azure Data Explorer musí všichni ověření uživatelé projít kontrolou autorizace. Azure Data Explorer používá model řízení přístupu na základě role Kusto, kde se objekty zabezpečení připisují jedné nebo několika rolím zabezpečení. Autorizace se uděluje, pokud mu jedna z rolí přiřazených uživateli umožňuje provést zadanou akci. Role Uživatel databáze například uděluje objektům zabezpečení právo číst data konkrétní databáze, vytvářet tabulky v databázi a další.

Přidružení objektů zabezpečení k rolím zabezpečení lze definovat jednotlivě nebo pomocí skupin zabezpečení definovaných v Microsoft Entra ID. Další informace o přiřazování rolí zabezpečení najdete v tématu Přehled rolí zabezpečení.

Autorizace skupin

Autorizaci je možné Microsoft Entra ID skupinám udělit přiřazením jedné nebo více rolí ke skupině.

Při kontrole autorizace uživatele nebo objektu zabezpečení aplikace systém nejprve zkontroluje explicitní přiřazení role povolující konkrétní akci. Pokud takové přiřazení role neexistuje, systém pak analyzuje členství objektu zabezpečení ve všech skupinách, které by mohly akci autorizovat. Pokud se potvrdí, že objekt zabezpečení je členem některé z těchto skupin, je požadovaná akce autorizována. Jinak platí, že pokud objekt zabezpečení není členem žádné takové skupiny, akce neprojde kontrolou autorizace a akce není povolená.

Poznámka

Kontrola členství ve skupinách může být náročná na prostředky. Vzhledem k tomu, že se členství ve skupinách často nemění, výsledky kontrol členství se ukládají do mezipaměti. Doba trvání ukládání do mezipaměti se liší a je ovlivněna faktory, jako jsou například výsledek členství (zda je objekt zabezpečení členem, nebo ne), typ objektu zabezpečení (uživatel nebo aplikace) mimo jiné. Maximální doba trvání ukládání do mezipaměti může trvat až tři hodiny, zatímco minimální doba trvání je 30 minut.

Související obsah