Ověřování přes HTTPS

Aby bylo možné s clusterem pracovat přes PROTOKOL HTTPS, musí se objekt zabezpečení, který požadavek provede, ověřit pomocí hlavičky požadavku HTTP Authorization .

Syntaxe

Authorization:Bearer AccessToken

Přečtěte si další informace o konvencích syntaxe.

Parametry

Název	Type	Požadováno	Popis
AccessToken	string	✔️	Přístupový token Microsoft Entra pro službu.

Získání přístupového tokenu

Existuje mnoho různých metod získání přístupového tokenu Microsoft Entra. Další informace najdete v tématu Ověřování uživatelů a ověřování aplikací.

Získání přístupového tokenu pro objekt zabezpečení uživatele pomocí Azure CLI

Následující kroky vrátí přístupový token pro objekt zabezpečení uživatele, který požadavek provede. Ujistěte se, že má objekt zabezpečení uživatele přístup k prostředku, ke který chcete získat přístup. Další informace najdete v tématu řízení přístupu na základě role.

1. Přihlaste se k Azure CLI.

   az login --output table
   

2. Najděte řádek, na kterém je truesloupec Default . Ověřte, že předplatné v daném řádku je předplatné, pro které chcete vytvořit přístupový token Microsoft Entra. Informace o předplatném najdete v tématu Získání ID předplatného a tenanta na webu Azure Portal. Pokud potřebujete přepnout na jiné předplatné, spusťte jeden z následujících příkazů.

   az account set --subscription <SUBSCRIPTION_ID>
   

   az account set --name "<SUBSCRIPTION_NAME>"
   

3. Spuštěním následujícího příkazu získejte přístupový token.

   az account get-access-token \
     --resource "https://api.kusto.windows.net" \
     --query "accessToken"
   

Získání přístupového tokenu pro instanční objekt pomocí Azure CLI

Instanční objekty Microsoft Entra představují aplikace nebo služby, které potřebují přístup k prostředkům, obvykle v neinteraktivních scénářích, jako jsou volání rozhraní API. Následující kroky vás provedou vytvořením instančního objektu a získáním nosný token pro tento objekt zabezpečení.

1. Přihlaste se k Azure CLI.

   az login --output table
   

2. Najděte řádek, na kterém je truesloupec Default . Ověřte, že předplatné v daném řádku je předplatné, ve kterém chcete vytvořit instanční objekt. Informace o předplatném najdete v tématu Získání ID předplatného a tenanta na webu Azure Portal. Pokud potřebujete přepnout na jiné předplatné, spusťte jeden z následujících příkazů.

   az account set --subscription <SUBSCRIPTION_ID>
   

   az account set --name "<SUBSCRIPTION_NAME>"
   

3. Vytvořte instanční objekt. Následující příkaz vytvoří instanční objekt Microsoft Entra a vrátí appIdhodnotu , displayNamepassworda tenantId pro instanční objekt.

   az ad sp create-for-rbac -n <SERVICE_PRINCIPAL_NAME> 
   

4. Udělte instančnímu objektu aplikace přístup k vaší databázi. Například v kontextu databáze pomocí následujícího příkazu přidejte objekt zabezpečení jako uživatele.

   .add database <DATABASE> users ('aadapp=<appId>;<tenantId>')
   

   Informace o různých rolích a jejich přiřazování najdete v tématu Správa rolí zabezpečení.

5. Odešle požadavek HTTP pro vyžádání přístupového tokenu. Nahraďte <tenantId>a <appId><password> hodnotami získanými z předchozího příkazu. Tento požadavek vrátí objekt JSON obsahující přístupový token, který můžete použít jako hodnotu hlavičky Authorization v požadavcích.

   curl -X POST https://login.microsoftonline.com/<tenantId>/oauth2/token \
     -F grant_type=client_credentials \
     -F client_id=<appId> \
     -F client_secret=<password> \
     -F resource=https://api.kusto.windows.net
   

Související obsah

• Přehled ověřování
• Informace o tom, jak provést ověřování jménem uživatele (OBO) nebo ověřování jednostránkové aplikace (SPA), najdete v tématu Postup ověření pomocí knihovny MICROSOFT Authentication Library (MSAL).