Zulassen von mandantenübergreifenden Abfragen und Befehlen

Artikel
12/08/2023

Prinzipale von mehreren Mandanten können Abfragen und Befehle in einem einzelnen Azure Data Explorer-Cluster ausführen. In diesem Artikel erfahren Sie, wie Sie einem Cluster Zugriff auf Prinzipale eines anderen Mandanten erteilen.

Verwenden Sie arm-Vorlagen, DIE AZ CLI, PowerShell, Azure Resource Explorer, oder senden Sie eine API-Anforderung, um die trustedExternalTenants im Cluster festzulegen.

Die folgenden Beispiele zeigen, wie vertrauenswürdige Mandanten im Portal und mit einer API-Anforderung definiert werden.

Hinweis

Der Prinzipal, der Abfragen oder Befehle ausführen wird, muss zudem über eine entsprechende Datenbankrolle verfügen. Siehe auch rollenbasierte Zugriffssteuerung. Die Überprüfung korrekter Rollen erfolgt nach der Überprüfung vertrauenswürdiger externer Mandanten.

Portal
API

Navigieren Sie im Azure-Portal zur Seite mit dem Azure Data Explorer-Cluster.
Wählen Sie im Menü auf der linken Seite unter Einstellungen die Option Sicherheit aus.
Legen Sie die gewünschten Mandantenberechtigungen fest.

Syntax

Zulassen bestimmter Mandanten

trustedExternalTenants: [ {"value": "tenantId1" }, { "value": "tenantId2" }, ... ]

Zulassen aller Mandanten

Das Array „trustedExternalTenants“ unterstützt außerdem die Notation mit Sternchen (*) für alle Mandanten, mit der Abfragen und Befehle von allen Mandanten zugelassen werden.

trustedExternalTenants: [ { "value": "*" }]

Hinweis

Der Standardwert für trustedExternalTenants ist „alle Mandanten“: [ { "value": "*" }]. Wenn das Array externer Mandanten bei der Clustererstellung nicht definiert wurde, kann es mit einem Clusteraktualisierungsvorgang überschrieben werden. Ein leeres Array bedeutet, dass nur Identitäten des Clustermandanten bei diesem Cluster authentifiziert werden dürfen.

Erfahren Sie mehr über Syntaxkonventionen.

Beispiele

Im folgenden Beispiel können bestimmte Mandanten Abfragen im Cluster ausführen:

{
    "properties": { 
        "trustedExternalTenants": [
            { "value": "tenantId1" }, 
            { "value": "tenantId2" }, 
            ...
        ]
    }
}

Im folgenden Beispiel können alle Mandanten Abfragen im Cluster ausführen:

{
    "properties": { 
        "trustedExternalTenants": [  { "value": "*" }  ]
    }
}

Aktualisieren des Clusters

Aktualisieren Sie den Cluster mithilfe des folgenden Vorgangs:

PATCH https://management.azure.com/subscriptions/12345678-1234-1234-1234-123456789098/resourceGroups/kustorgtest/providers/Microsoft.Kusto/clusters/kustoclustertest?api-version=2020-09-18

Hinzufügen von Prinzipalen

Nach dem Aktualisieren der trustedExternalTenants Eigenschaft können Sie zugriff auf Prinzipale von den genehmigten Mandanten gewähren. Verwenden Sie die Azure-Portal, um einem Prinzipal auf Clusterebene Berechtigungen oder Datenbankberechtigungen zu erteilen. Alternativ können Sie Verwaltungsbefehle verwenden, um Zugriff auf eine Datenbank-, Tabellen-, Funktions- oder materialisierte Ansichtsebene zu gewähren.

Einschränkungen

Die Konfiguration dieses Features gilt nur für Microsoft Entra Identitäten (Benutzer, Anwendungen, Gruppen), die versuchen, eine Verbindung mit Azure Data Explorer herzustellen. Es hat keine Auswirkungen auf die Kreuzerfassung Microsoft Entra.