Référencement des principaux de sécurité
Le modèle d’autorisation Azure Data Explorer permet d’utiliser des identités d’utilisateur et d’application Microsoft Entra et des comptes Microsoft (MSA) comme principaux de sécurité. Cet article fournit une vue d’ensemble des types principaux pris en charge pour l’ID Microsoft Entra et les contrats MSA, et montre comment référencer correctement ces principaux lors de l’attribution de rôles de sécurité à l’aide de commandes de gestion.
Microsoft Entra ID
La méthode recommandée pour accéder à votre cluster consiste à s’authentifier auprès du service Microsoft Entra. Microsoft Entra ID est un fournisseur d’identité capable d’authentifier les principaux de sécurité et de se coordonner avec d’autres fournisseurs d’identité, comme Active Directory de Microsoft.
Microsoft Entra ID prend en charge les scénarios d’authentification suivants :
- Authentification utilisateur (connexion interactive) : utilisée pour authentifier les principaux humains.
- Authentification d’application (connexion non interactive) : utilisée pour authentifier les services et les applications qui doivent s’exécuter ou s’authentifier sans intervention de l’utilisateur.
Notes
- Microsoft Entra ID n’autorise pas l’authentification des comptes de service qui sont par définition des entités AD locales. L’Microsoft Entra équivalent d’un compte de service AD est l’application Microsoft Entra.
- Prend uniquement en charge les principaux de groupe de sécurité (SG), et pas les principaux de groupe de distribution (DG) sont pris en charge. Une tentative de configuration de l’accès d’un DG sur le cluster entraîne une erreur.
Référencement de Microsoft Entra principaux et de groupes
La syntaxe permettant de référencer Microsoft Entra utilisateur et les principaux et groupes d’application est décrite dans le tableau suivant.
Si vous utilisez un nom d’utilisateur principal (UPN) pour référencer un principal d’utilisateur, et qu’une tentative d’inférence du locataire à partir du nom de domaine et d’essayer de trouver le principal est effectuée. Si le principal est introuvable, spécifiez explicitement l’ID ou le nom du locataire en plus de l’UPN ou de l’ID d’objet de l’utilisateur.
De même, vous pouvez référencer un groupe de sécurité avec l’adresse e-mail du groupe au format UPN et une tentative d’inférence du locataire à partir du nom de domaine sera effectuée. Si le groupe est introuvable, spécifiez explicitement l’ID ou le nom du locataire en plus du nom d’affichage du groupe ou de l’ID d’objet.
| Type d’entité | Locataire Microsoft Entra | Syntax |
|---|---|---|
| Utilisateur | Implicite | aaduser=UPN |
| Utilisateur | Explicite (ID) | aaduser=UPN ; TenantIdou aaduser=ObjectID ; TenantId |
| Utilisateur | Explicite (Nom) | aaduser=UPN ; TenantNameou aaduser=ObjectID ; TenantName |
| Grouper | Implicite | aadgroup=GroupEmailAddress |
| Grouper | Explicite (ID) | aadgroup=GroupDisplayName ; TenantIdou aadgroup=GroupObjectId ; TenantId |
| Grouper | Explicite (Nom) | aadgroup=GroupDisplayName ; TenantNameou aadgroup=GroupObjectId ; TenantName |
| Application | Explicite (ID) | aadapp=ApplicationDisplayName ; TenantIdou aadapp=ApplicationId ; TenantId |
| Application | Explicite (Nom) | aadapp=ApplicationDisplayName ; TenantNameou aadapp=ApplicationId ; TenantName |
Notes
Utilisez le format « Application » pour référencer des identités managées, dans lesquelles ApplicationId est l’ID d’objet d’identité managée ou l’ID de client d’identité managée (application).
Exemples
L’exemple suivant utilise l’UPN utilisateur pour définir un principal le rôle d’utilisateur sur la Test base de données. Les informations sur le locataire ne sont pas spécifiées. Votre cluster tente donc de résoudre le Microsoft Entra locataire à l’aide de l’UPN.
.add database Test users ('aaduser=imikeoein@fabrikam.com') 'Test user (AAD)'
L’exemple suivant utilise un nom de groupe et un nom de locataire pour affecter le groupe au rôle d’utilisateur sur la Test base de données.
.add database Test users ('aadgroup=SGDisplayName;fabrikam.com') 'Test group @fabrikam.com (AAD)'
L’exemple suivant utilise un ID d’application et un nom de locataire pour attribuer à l’application le rôle d’utilisateur sur la Test base de données.
.add database Test users ('aadapp=4c7e82bd-6adb-46c3-b413-fdd44834c69b;fabrikam.com') 'Test app @fabrikam.com (AAD)'
Comptes Microsoft (MSA)
L’authentification utilisateur pour les comptes Microsoft (MSA) est prise en charge. Les contrats MSA sont tous des comptes d’utilisateur non organisationnels gérés par Microsoft. Par exemple, hotmail.com, live.com, outlook.com.
Référencement des principaux MSA
| Fournisseur d’identité | Type | Syntaxe |
|---|---|---|
| Live.com | Utilisateur | msauser=UPN |
Exemple
L’exemple suivant affecte un utilisateur MSA au rôle d’utilisateur sur la Test base de données.
.add database Test users ('msauser=abbiatkins@live.com') 'Test user (live.com)'
pour gérer les stratégies de partitionnement des données pour les tables
- Lire la vue d’ensemble de l’authentification
- Découvrez comment utiliser des commandes de gestion pour attribuer des rôles de sécurité
- Découvrez comment utiliser le Portail Azure pour gérer les principaux et les rôles de base de données
- current_principal_details()
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour