Verweisen auf Sicherheitsprinzipale
Das Azure Data Explorer-Autorisierungsmodell ermöglicht die Verwendung von Microsoft Entra Benutzer- und Anwendungsidentitäten sowie Microsoft-Konten (MSAs) als Sicherheitsprinzipale. Dieser Artikel bietet eine Übersicht über die unterstützten Prinzipaltypen für Microsoft Entra-ID und MSAs und veranschaulicht, wie Sie beim Zuweisen von Sicherheitsrollen mithilfe von Verwaltungsbefehlen ordnungsgemäß auf diese Prinzipale verweisen.
Microsoft Entra ID
Die empfohlene Möglichkeit für den Zugriff auf Ihren Cluster besteht darin, sich beim Microsoft Entra-Dienst zu authentifizieren. Microsoft Entra ID ist ein Identitätsanbieter, der Sicherheitsprinzipale authentifizieren und mit anderen Identitätsanbietern wie Active Directory von Microsoft koordinieren kann.
Microsoft Entra ID unterstützt die folgenden Authentifizierungsszenarien:
- Benutzerauthentifizierung (interaktive Anmeldung): Dient zur Authentifizierung menschlicher Prinzipale.
- Anwendungsauthentifizierung (nicht interaktive Anmeldung): Wird verwendet, um Dienste und Anwendungen zu authentifizieren, die ohne Benutzerinteraktion ausgeführt oder authentifiziert werden müssen.
Hinweis
- Microsoft Entra ID lässt keine Authentifizierung von Dienstkonten zu, die per Definition lokale AD-Entitäten sind. Das Microsoft Entra Äquivalent eines AD-Dienstkontos ist die Microsoft Entra-Anwendung.
- Es werden nur SG-Prinzipale (Security Group) unterstützt, und es werden keine Verteilergruppenprinzipale (DG) unterstützt. Ein Versuch, den Zugriff für eine DG im Cluster einzurichten, führt zu einem Fehler.
Verweisen auf Microsoft Entra Prinzipale und Gruppen
Die Syntax zum Verweisen auf Microsoft Entra Benutzer- und Anwendungsprinzipale und -gruppen ist in der folgenden Tabelle beschrieben.
Wenn Sie einen Benutzerprinzipalnamen (User Principal Name, UPN) verwenden, um auf einen Benutzerprinzipal zu verweisen, wird versucht, den Mandanten aus dem Domänennamen abzuleiten und zu versuchen, den Prinzipal zu finden. Wenn der Prinzipal nicht gefunden wird, geben Sie explizit die Mandanten-ID oder den Namen zusätzlich zum UPN oder der Objekt-ID des Benutzers an.
Ebenso können Sie auf eine Sicherheitsgruppe mit der Gruppen-E-Mail-Adresse im UPN-Format verweisen, und es wird versucht, den Mandanten aus dem Domänennamen abzuleiten. Wenn die Gruppe nicht gefunden wird, geben Sie explizit die Mandanten-ID oder den Namen zusätzlich zum Anzeigenamen oder der Objekt-ID der Gruppe an.
| Entitätstyp | Microsoft Entra-Mandant | Syntax |
|---|---|---|
| Benutzer | Implizit | aaduser=UPN |
| Benutzer | Explizit (ID) | aaduser=UPN; TenantIdoder aaduser=ObjectID; TenantId |
| Benutzer | Explicit (Name) | aaduser=UPN; TenantNameoder aaduser=ObjectID; TenantName |
| Gruppieren | Implizit | aadgroup=GroupEmailAddress |
| Gruppieren | Explizit (ID) | aadgroup=GroupDisplayName; TenantIdoder aadgroup=GroupObjectId; TenantId |
| Gruppieren | Explicit (Name) | aadgroup=GroupDisplayName; TenantNameoder aadgroup=GroupObjectId; TenantName |
| App | Explizit (ID) | aadapp=ApplicationDisplayName; TenantIdoder aadapp=ApplicationId; TenantId |
| App | Explicit (Name) | aadapp=ApplicationDisplayName; TenantNameoder aadapp=ApplicationId; TenantName |
Hinweis
Verwenden Sie das Format "App", um auf verwaltete Identitäten zu verweisen, wobei applicationId die Objekt-ID der verwalteten Identität oder die Client-ID der verwalteten Identität (Anwendung) ist.
Beispiele
Im folgenden Beispiel wird der Benutzer-UPN verwendet, um einen Prinzipal mit der Benutzerrolle für die Test Datenbank zu definieren. Die Mandanteninformationen werden nicht angegeben, sodass Ihr Cluster versucht, den Microsoft Entra Mandanten mithilfe des UPN aufzulösen.
.add database Test users ('aaduser=imikeoein@fabrikam.com') 'Test user (AAD)'
Im folgenden Beispiel werden ein Gruppenname und ein Mandantname verwendet, um die Gruppe der Benutzerrolle in der Test Datenbank zuzuweisen.
.add database Test users ('aadgroup=SGDisplayName;fabrikam.com') 'Test group @fabrikam.com (AAD)'
Im folgenden Beispiel werden eine App-ID und ein Mandantenname verwendet, um der App die Benutzerrolle in der Test Datenbank zuzuweisen.
.add database Test users ('aadapp=4c7e82bd-6adb-46c3-b413-fdd44834c69b;fabrikam.com') 'Test app @fabrikam.com (AAD)'
Microsoft-Konten (MSAs)
Die Benutzerauthentifizierung für Microsoft-Konten (MSAs) wird unterstützt. MSAs sind alle von Microsoft verwalteten, nicht organisatorischen Benutzerkonten. Beispiel: hotmail.com, live.com, outlook.com.
Verweisen auf MSA-Prinzipale
| IdP | Typ | Syntax |
|---|---|---|
| Live.com | Benutzer | msauser=UPN |
Beispiel
Im folgenden Beispiel wird der Benutzerrolle in der Test Datenbank ein MSA-Benutzer zugewiesen.
.add database Test users ('msauser=abbiatkins@live.com') 'Test user (live.com)'
zum Verwalten von Datenpartitionierungsrichtlinien für Tabellen
- Authentifizierungsübersicht lesen
- Erfahren Sie, wie Sie Mithilfe von Verwaltungsbefehlen Sicherheitsrollen zuweisen.
- Erfahren Sie, wie Sie die Azure-Portal verwenden, um Datenbankprinzipale und -rollen zu verwalten.
- current_principal_details()
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für