Autoriser les requêtes et les commandes interlocataires

Les principaux de plusieurs locataires peuvent exécuter des requêtes et des commandes dans un seul cluster Azure Data Explorer. Dans cet article, vous allez apprendre à accorder au cluster l’accès aux principaux à partir d’un autre locataire.

Pour définir trustedExternalTenants sur le cluster, utilisez des modèles ARM, Azure CLI, PowerShell, Azure Resource Explorer ou envoyez une requête d’API.

Les exemples suivants montrent comment définir des locataires approuvés dans le portail et avec une requête d’API.

Remarque

Le principal qui exécutera des requêtes ou des commandes doit également avoir un rôle de base de données approprié. Consultez également le contrôle d’accès en fonction du rôle. La validation des rôles corrects a lieu après la validation des locataires externes approuvés.

Portail

1. Dans le portail Azure, accédez à la page de votre cluster Azure Data Explorer.

2. Dans le menu de gauche sous Paramètres, sélectionnez Sécurité.

3. Définissez les autorisations de locataires souhaitées.

API

Syntaxe

Autoriser des locataires spécifiques

trustedExternalTenants: [ {"value": "tenantId1" }, { "value": "tenantId2" }, ... ]

Autoriser tous les locataires

Le tableau trustedExternalTenants prend également en charge la notation étoile (« * ») de tous les locataires, qui autorise les requêtes et les commandes de tous les locataires.

trustedExternalTenants: [ { "value": "*" }]

Remarque

La valeur par défaut de trustedExternalTenants est tous les locataires : [ { "value": "*" }]. Si le tableau de locataires externes n’a pas été défini lors de la création du cluster, il peut être remplacé par une opération de mise à jour de cluster. Un tableau vide signifie que seules les identités du locataire de clusters sont autorisées à s’authentifier auprès de ce cluster.

En savoir plus sur les conventions de syntaxe.

Exemples

L’exemple suivant permet à des locataires spécifiques d’exécuter des requêtes sur le cluster :

{
    "properties": {
        "trustedExternalTenants": [
            { "value": "tenantId1" },
            { "value": "tenantId2" },
            ...
        ]
    }
}

L’exemple suivant permet à tous les locataires d’exécuter des requêtes sur le cluster :

{
    "properties": {
        "trustedExternalTenants": [  { "value": "*" }  ]
    }
}

Mettre à jour le cluster

Mettez à jour le cluster en effectuant l’opération suivante :

PATCH https://management.azure.com/subscriptions/12345678-1234-1234-1234-123456789098/resourceGroups/kustorgtest/providers/Microsoft.Kusto/clusters/kustoclustertest?api-version=2020-09-18

Ajouter des principaux

Après avoir mis à jour la propriété trustedExternalTenants, vous pouvez accorder l’accès aux principaux à partir des locataires approuvés. Utilisez le Portail Azure pour accorder à un principal des autorisations au niveau du cluster ou des autorisations de base de données. Vous pouvez également accorder l’accès à une base de données, une table, une fonction ou un niveau de vue matérialisée à l’aide de commandes de gestion.

Limites

La configuration de cette fonctionnalité s’applique uniquement aux identités Microsoft Entra (utilisateurs, applications, groupes) qui tentent de se connecter à Azure Data Explorer. Elle n’a aucun impact sur l’ingestion Microsoft Entra croisée.