A hozzáférés-vezérlés áttekintése
Az Azure Data Explorer hozzáférés-vezérlése hitelesítésen és engedélyezésen alapul. Az Azure-Data Explorer-erőforrások, például egy fürt vagy adatbázis minden lekérdezésének és parancsának át kell adnia a hitelesítési és engedélyezési ellenőrzéseket.
- Hitelesítés: Ellenőrzi a kérést kezdeményező rendszerbiztonsági tag identitását
- Engedélyezés: Ellenőrzi, hogy a kérést küldő rendszerbiztonsági tag jogosult-e a kérést a célerőforráson végrehajtani
Hitelesítés
A fürttel való programozott hitelesítéshez az ügyfélnek kommunikálnia kell Microsoft Entra ID, és le kell kérnie az Azure Data Explorer vonatkozó hozzáférési jogkivonatot. Ezután az ügyfél használhatja a megszerzett hozzáférési jogkivonatot az identitás igazolására, amikor kéréseket ad ki a fürtnek.
A fő hitelesítési forgatókönyvek a következők:
- Felhasználói hitelesítés: Az emberi felhasználók személyazonosságának ellenőrzésére szolgál.
- Alkalmazáshitelesítés: Egy olyan alkalmazás identitásának ellenőrzésére szolgál, amely emberi beavatkozás nélkül, konfigurált hitelesítő adatokkal fér hozzá az erőforrásokhoz.
- OBO-hitelesítés: Lehetővé teszi, hogy az alkalmazások jogkivonatot cseréljenek az adott alkalmazáshoz egy jogkivonattal egy Kusto-szolgáltatás eléréséhez. Ezt a folyamatot az MSAL-sel kell implementálnia.
- Egyoldalas alkalmazás (SPA) hitelesítése: Lehetővé teszi az ügyféloldali SPA-webalkalmazások számára, hogy bejelentkeztethessék a felhasználókat, és jogkivonatokat kérjenek a fürthöz való hozzáféréshez. Ezt a folyamatot az MSAL-sel kell implementálnia.
Megjegyzés
A felhasználó- és alkalmazáshitelesítéshez a Kusto-ügyfélkódtárak használatát javasoljuk. Ha nevében (OBO) vagy Single-Page application (SPA) hitelesítésre van szüksége, akkor közvetlenül az MSAL-t kell használnia, mivel ezeket a folyamatokat az ügyfélkódtárak nem támogatják. További információ: Hitelesítés a Microsoft Authentication Library (MSAL) használatával.
Felhasználóhitelesítés
A felhasználó hitelesítése akkor történik, ha egy felhasználó hitelesítő adatokat mutat be Microsoft Entra ID vagy egy olyan identitásszolgáltatónak, amely Microsoft Entra ID, például Active Directory összevonási szolgáltatások (AD FS). A felhasználó egy biztonsági jogkivonatot kap vissza, amely bemutatható az Azure Data Explorer szolgáltatásnak. Az Azure Data Explorer meghatározza, hogy a jogkivonat érvényes-e, hogy a jogkivonatot egy megbízható kiállító bocsátotta-e ki, és hogy a jogkivonat milyen biztonsági jogcímeket tartalmaz.
Az Azure Data Explorer a következő felhasználói hitelesítési módszereket támogatja, többek között a Kusto-ügyfélkódtárakon keresztül:
- Interaktív felhasználói hitelesítés bejelentkezéssel a felhasználói felületen keresztül.
- Felhasználói hitelesítés az Azure Data Explorer számára kiadott Microsoft Entra jogkivonattal.
- Felhasználóhitelesítés egy másik erőforráshoz kiadott Microsoft Entra-jogkivonattal, amely az Azure Data Explorer-jogkivonatra cserélhető a nevében történő (OBO) hitelesítéssel.
Alkalmazáshitelesítés
Alkalmazáshitelesítésre akkor van szükség, ha a kérések nincsenek egy adott felhasználóhoz társítva, vagy ha nem áll rendelkezésre felhasználó a hitelesítő adatok megadásához. Ebben az esetben az alkalmazás titkos adatok bemutatásával hitelesíti magát Microsoft Entra ID vagy az összevont identitásszolgáltatónál.
Az Azure Data Explorer a következő alkalmazáshitelesítési módszereket támogatja, többek között a Kusto ügyfélkódtárain keresztül:
- Alkalmazáshitelesítés azure-beli felügyelt identitással.
- Alkalmazáshitelesítés helyileg telepített X.509v2-tanúsítvánnyal.
- Alkalmazáshitelesítés az ügyfélkódtárnak bájtstreamként megadott X.509v2-tanúsítvánnyal.
- Alkalmazáshitelesítés egy Microsoft Entra alkalmazásazonosítóval és egy Microsoft Entra alkalmazáskulccsal. Az alkalmazásazonosító és az alkalmazáskulcs olyan, mint egy felhasználónév és egy jelszó.
- Alkalmazáshitelesítés az Azure Data Explorer számára korábban beszerzett érvényes Microsoft Entra jogkivonattal.
- Alkalmazáshitelesítés egy másik erőforráshoz kiadott Microsoft Entra jogkivonattal, amely egy Azure-Data Explorer-jogkivonatra cserélhető a nevében történő (OBO) hitelesítéssel.
Engedélyezés
Mielőtt műveletet hajtanak végre egy Azure Data Explorer-erőforráson, minden hitelesített felhasználónak át kell adnia egy engedélyezési ellenőrzést. Az Azure Data Explorer a Kusto szerepköralapú hozzáférés-vezérlési modellt használja, ahol a rendszerbiztonsági tagok egy vagy több biztonsági szerepkörhöz tartoznak. Az engedélyezés mindaddig meg van adva, amíg a felhasználóhoz rendelt szerepkörök egyike lehetővé teszi számukra a megadott művelet végrehajtását. Az Adatbázis-felhasználó szerepkör például jogokat biztosít a rendszerbiztonsági tagoknak egy adott adatbázis adatainak olvasására, táblák létrehozására az adatbázisban stb.
A rendszerbiztonsági tagok biztonsági szerepkörökhöz való társítása külön-külön vagy a Microsoft Entra ID definiált biztonsági csoportok használatával határozható meg. A biztonsági szerepkörök hozzárendelésével kapcsolatos további információkért lásd: Biztonsági szerepkörök áttekintése.
Csoportengedély
Az engedélyezés Microsoft Entra ID csoportok számára úgy adható meg, hogy egy vagy több szerepkört rendel a csoporthoz.
Ha egy felhasználó vagy alkalmazásnév engedélyezése be van jelölve, a rendszer először egy explicit szerepkör-hozzárendelést keres, amely lehetővé teszi az adott műveletet. Ha nincs ilyen szerepkör-hozzárendelés, a rendszer ezután elemzi a rendszertagságokat az összes olyan csoportban, amely esetleg engedélyezheti a műveletet. Ha a rendszerbiztonsági tag a csoportok bármelyikének tagja, a kért művelet engedélyezve lesz. Ellenkező esetben, ha a rendszerbiztonsági tag nem tagja egyik ilyen csoportnak sem, a művelet nem adja át az engedélyezési ellenőrzést, és a művelet nem engedélyezett.
Megjegyzés
A csoporttagságok ellenőrzése erőforrás-igényes lehet. Mivel a csoporttagságok nem változnak gyakran, a rendszer gyorsítótárazza a tagság-ellenőrzések eredményeit. A gyorsítótárazás időtartama változó, és olyan tényezők befolyásolják, mint például a tagság eredménye (függetlenül attól, hogy a tag tag-e vagy sem), a rendszerbiztonsági tag típusa (felhasználó vagy alkalmazás), többek között. A gyorsítótárazás maximális időtartama akár három órát is igénybe vehet, míg a minimális időtartam 30 perc.
Kapcsolódó tartalom
- A Kusto szerepköralapú hozzáférés-vezérlésének ismertetése.
- A felhasználó- vagy alkalmazáshitelesítéshez használja a Kusto ügyfélkódtárakat.
- Az OBO- vagy SPA-hitelesítéssel kapcsolatban lásd: Hitelesítés a Microsoft Authentication Library (MSAL) használatával.
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: