Partage via


Vue d’ensemble des identités managées

Une identité managée de Microsoft Entra ID permet à votre cluster d’accéder à d’autres ressources protégées par Microsoft Entra, comme Stockage Azure. Managée par la plateforme Azure, l’identité ne nécessite pas que vous approvisionniez ou permutiez de secrets.

Types d'identités managées

Deux types d’identités peuvent être accordées à votre cluster Azure Data Explorer :

  • Identité affectée par le système : liée à votre cluster et supprimée si votre ressource est supprimée. Un cluster ne peut avoir qu’une seule identité attribuée par le système.

  • Identité attribuée par l’utilisateur : ressource Azure autonome qui peut être assignée à votre cluster. Un cluster peut avoir plusieurs identités affectées par l’utilisateur.

Authentifier avec des identités managées

Les ressources Microsoft Entra à locataire unique peuvent utiliser seulement des identités managées pour communiquer avec les ressources du même locataire. Cette limitation restreint l’utilisation d’identités managées dans certains scénarios d’authentification. Par exemple, vous ne pouvez pas utiliser une identité managée Azure Data Explorer pour accéder à un hub d’événements situé dans un autre locataire. Dans ce cas, utilisez l’authentification par clé de compte.

Azure Data Explorer peut fonctionner avec plusieurs locataires, ce qui signifie que vous pouvez accorder l’accès à des identités managées provenant de différents locataires. Pour cela, attribuez les rôles de sécurité appropriés. Lors de l’attribution des rôles, faites référence à l’identité managée, comme décrit dans Faire référence à des principaux de sécurité.

Pour vous authentifier avec des identités managées, procédez comme suit :

  1. Configurer une identité managée pour votre cluster
  2. Configurer la stratégie d’identité managée
  3. Utiliser l’identité managée dans les workflows pris en charge

Configurer une identité managée pour votre cluster

Votre cluster a besoin d’autorisations afin d’agir pour le compte de l’identité managée donnée. Cette attribution peut être accordée pour les identités managées attribuées par le système et par l’utilisateur. Pour obtenir des instructions, consultez Configurer des identités managées pour votre cluster Azure Data Explorer.

Configurer la stratégie d’identité managée

Pour utiliser l’identité managée, vous devez configurer la stratégie d’identité managée afin d’autoriser cette identité. Pour obtenir des instructions, consultez Stratégie d’identité managée.

Les commandes de contrôle des stratégies d’identité managée sont les suivantes :

Utiliser l’identité managée dans des workflows pris en charge

Après avoir attribué l’identité managée à votre cluster et configuré l’utilisation appropriée de la stratégie d’identité managée, vous pouvez commencer à utiliser l’authentification par identité managée dans les workflows suivants :

  • Tables externes : créez une table externe avec l’authentification par identité managée. L’authentification est indiquée dans le cadre de la chaîne de connexion. Pour obtenir des exemples, consultez Chaîne de connexion de stockage. Pour obtenir des instructions sur l’utilisation de tables externes avec l’authentification par identité managée, consultez Authentifier des tables externes avec des identités managées.

  • Exportation continue : exécutez une exportation continue pour le compte d’une identité managée. Une identité managée est requise si la table externe utilise l’authentification par emprunt d’identité ou si la requête d’exportation référence des tables dans d’autres bases de données. Pour utiliser une identité managée, ajoutez l’identificateur de l’identité managée dans les paramètres facultatifs de la commande create-or-alter. Pour obtenir un guide pas à pas, consultez S’authentifier avec une identité managée pour l’exportation continue.

  • Ingestion native d’Event Hubs : utilisez une identité managée avec l’ingestion native de hub d’événements. Pour plus d’informations, consultez Ingérer des données de hub d’événements dans Azure Data Explorer.

  • Plug-in Python : utilisez une identité managée pour vous authentifier sur des comptes de stockage d’artefacts externes utilisés dans le plug-in Python. Notez que l’utilisation de SandboxArtifacts doit être définie sur la stratégie d’identité managée au niveau du cluster. Pour plus d’informations, consultez Plug-in Python.

  • Ingestion basée sur un Kit de développement logiciel (SDK) : lors de la mise en file d’attente de blobs pour une ingestion depuis vos propres comptes de stockage, vous pouvez utiliser des identités managées comme alternative aux jetons de signature d’accès partagé (SAP) et aux méthodes d’authentification avec des clés partagées. Pour plus d’informations, consultez Mettre en file d’attente des objets blob pour ingestion en utilisant l’authentification d’identité managée.

  • Ingérer depuis un stockage : ingérez des données provenant de fichiers situés dans des stockages cloud dans une table cible en utilisant l’authentification d’identité managée. Pour plus d’informations, consultez Ingérer depuis un stockage.

  • Plug-ins de requête SQL : utilisez une identité managée pour vous authentifier auprès d’une base de données externe lors de l’utilisation des plug-ins sql_request ou cosmosdb_request.