Share via

A hozzáférés-vezérlés áttekintése

  • Cikk

Az Azure Data Explorer hozzáférés-vezérlése hitelesítésen és engedélyezésen alapul. Az Azure-Data Explorer-erőforrások, például egy fürt vagy adatbázis minden lekérdezésének és parancsának át kell adnia a hitelesítési és engedélyezési ellenőrzéseket.

  • Hitelesítés: Ellenőrzi a kérést kezdeményező rendszerbiztonsági tag identitását
  • Engedélyezés: Ellenőrzi, hogy a kérést küldő rendszerbiztonsági tag jogosult-e a kérést a célerőforráson végrehajtani

Hitelesítés

A fürttel való programozott hitelesítéshez az ügyfélnek kommunikálnia kell Microsoft Entra ID, és le kell kérnie az Azure Data Explorer vonatkozó hozzáférési jogkivonatot. Ezután az ügyfél használhatja a megszerzett hozzáférési jogkivonatot az identitás igazolására, amikor kéréseket ad ki a fürtnek.

A fő hitelesítési forgatókönyvek a következők:

  • Felhasználói hitelesítés: Az emberi felhasználók személyazonosságának ellenőrzésére szolgál.
  • Alkalmazáshitelesítés: Egy olyan alkalmazás identitásának ellenőrzésére szolgál, amely emberi beavatkozás nélkül, konfigurált hitelesítő adatokkal fér hozzá az erőforrásokhoz.
  • OBO-hitelesítés: Lehetővé teszi, hogy az alkalmazások jogkivonatot cseréljenek az adott alkalmazáshoz egy jogkivonattal egy Kusto-szolgáltatás eléréséhez. Ezt a folyamatot az MSAL-sel kell implementálnia.
  • Egyoldalas alkalmazás (SPA) hitelesítése: Lehetővé teszi az ügyféloldali SPA-webalkalmazások számára, hogy bejelentkeztethessék a felhasználókat, és jogkivonatokat kérjenek a fürthöz való hozzáféréshez. Ezt a folyamatot az MSAL-sel kell implementálnia.

Megjegyzés

A felhasználó- és alkalmazáshitelesítéshez a Kusto-ügyfélkódtárak használatát javasoljuk. Ha nevében (OBO) vagy Single-Page application (SPA) hitelesítésre van szüksége, akkor közvetlenül az MSAL-t kell használnia, mivel ezeket a folyamatokat az ügyfélkódtárak nem támogatják. További információ: Hitelesítés a Microsoft Authentication Library (MSAL) használatával.

Felhasználóhitelesítés

A felhasználó hitelesítése akkor történik, ha egy felhasználó hitelesítő adatokat mutat be Microsoft Entra ID vagy egy olyan identitásszolgáltatónak, amely Microsoft Entra ID, például Active Directory összevonási szolgáltatások (AD FS). A felhasználó egy biztonsági jogkivonatot kap vissza, amely bemutatható az Azure Data Explorer szolgáltatásnak. Az Azure Data Explorer meghatározza, hogy a jogkivonat érvényes-e, hogy a jogkivonatot egy megbízható kiállító bocsátotta-e ki, és hogy a jogkivonat milyen biztonsági jogcímeket tartalmaz.

Az Azure Data Explorer a következő felhasználói hitelesítési módszereket támogatja, többek között a Kusto-ügyfélkódtárakon keresztül:

  • Interaktív felhasználói hitelesítés bejelentkezéssel a felhasználói felületen keresztül.
  • Felhasználói hitelesítés az Azure Data Explorer számára kiadott Microsoft Entra jogkivonattal.
  • Felhasználóhitelesítés egy másik erőforráshoz kiadott Microsoft Entra-jogkivonattal, amely az Azure Data Explorer-jogkivonatra cserélhető a nevében történő (OBO) hitelesítéssel.

Alkalmazáshitelesítés

Alkalmazáshitelesítésre akkor van szükség, ha a kérések nincsenek egy adott felhasználóhoz társítva, vagy ha nem áll rendelkezésre felhasználó a hitelesítő adatok megadásához. Ebben az esetben az alkalmazás titkos adatok bemutatásával hitelesíti magát Microsoft Entra ID vagy az összevont identitásszolgáltatónál.

Az Azure Data Explorer a következő alkalmazáshitelesítési módszereket támogatja, többek között a Kusto ügyfélkódtárain keresztül:

  • Alkalmazáshitelesítés azure-beli felügyelt identitással.
  • Alkalmazáshitelesítés helyileg telepített X.509v2-tanúsítvánnyal.
  • Alkalmazáshitelesítés az ügyfélkódtárnak bájtstreamként megadott X.509v2-tanúsítvánnyal.
  • Alkalmazáshitelesítés egy Microsoft Entra alkalmazásazonosítóval és egy Microsoft Entra alkalmazáskulccsal. Az alkalmazásazonosító és az alkalmazáskulcs olyan, mint egy felhasználónév és egy jelszó.
  • Alkalmazáshitelesítés az Azure Data Explorer számára korábban beszerzett érvényes Microsoft Entra jogkivonattal.
  • Alkalmazáshitelesítés egy másik erőforráshoz kiadott Microsoft Entra jogkivonattal, amely egy Azure-Data Explorer-jogkivonatra cserélhető a nevében történő (OBO) hitelesítéssel.

Engedélyezés

Mielőtt műveletet hajtanak végre egy Azure Data Explorer-erőforráson, minden hitelesített felhasználónak át kell adnia egy engedélyezési ellenőrzést. Az Azure Data Explorer a Kusto szerepköralapú hozzáférés-vezérlési modellt használja, ahol a rendszerbiztonsági tagok egy vagy több biztonsági szerepkörhöz tartoznak. Az engedélyezés mindaddig meg van adva, amíg a felhasználóhoz rendelt szerepkörök egyike lehetővé teszi számukra a megadott művelet végrehajtását. Az Adatbázis-felhasználó szerepkör például jogokat biztosít a rendszerbiztonsági tagoknak egy adott adatbázis adatainak olvasására, táblák létrehozására az adatbázisban stb.

A rendszerbiztonsági tagok biztonsági szerepkörökhöz való társítása külön-külön vagy a Microsoft Entra ID definiált biztonsági csoportok használatával határozható meg. A biztonsági szerepkörök hozzárendelésével kapcsolatos további információkért lásd: Biztonsági szerepkörök áttekintése.

Csoportengedély

Az engedélyezés Microsoft Entra ID csoportok számára úgy adható meg, hogy egy vagy több szerepkört rendel a csoporthoz.

Ha egy felhasználó vagy alkalmazásnév engedélyezése be van jelölve, a rendszer először egy explicit szerepkör-hozzárendelést keres, amely lehetővé teszi az adott műveletet. Ha nincs ilyen szerepkör-hozzárendelés, a rendszer ezután elemzi a rendszertagságokat az összes olyan csoportban, amely esetleg engedélyezheti a műveletet. Ha a rendszerbiztonsági tag a csoportok bármelyikének tagja, a kért művelet engedélyezve lesz. Ellenkező esetben, ha a rendszerbiztonsági tag nem tagja egyik ilyen csoportnak sem, a művelet nem adja át az engedélyezési ellenőrzést, és a művelet nem engedélyezett.

Megjegyzés

A csoporttagságok ellenőrzése erőforrás-igényes lehet. Mivel a csoporttagságok nem változnak gyakran, a rendszer gyorsítótárazza a tagság-ellenőrzések eredményeit. A gyorsítótárazás időtartama változó, és olyan tényezők befolyásolják, mint például a tagság eredménye (függetlenül attól, hogy a tag tag-e vagy sem), a rendszerbiztonsági tag típusa (felhasználó vagy alkalmazás), többek között. A gyorsítótárazás maximális időtartama akár három órát is igénybe vehet, míg a minimális időtartam 30 perc.

Kapcsolódó tartalom