Hivatkozás a rendszerbiztonsági tagokra
Az Azure Data Explorer engedélyezési modell lehetővé teszi Microsoft Entra felhasználói és alkalmazási identitások és Microsoft-fiókok (MSA-k) használatát rendszerbiztonsági tagokként. Ez a cikk áttekintést nyújt a Microsoft Entra-azonosítók és az MSA-k támogatott egyszerű típusairól, és bemutatja, hogyan hivatkozhat megfelelően ezekre a rendszerbiztonsági szerepkörökre, amikor felügyeleti parancsokkal rendel hozzá biztonsági szerepköröket.
Microsoft Entra ID
A fürt elérésének ajánlott módja a Microsoft Entra szolgáltatás hitelesítése. Microsoft Entra azonosító egy identitásszolgáltató, amely képes a rendszerbiztonsági tagok hitelesítésére és más identitásszolgáltatókkal, például a Microsoft Active Directoryjával való koordinációra.
Microsoft Entra azonosító a következő hitelesítési forgatókönyveket támogatja:
- Felhasználóhitelesítés (interaktív bejelentkezés): Az emberi résztvevők hitelesítésére szolgál.
- Alkalmazáshitelesítés (nem interaktív bejelentkezés): Olyan szolgáltatások és alkalmazások hitelesítésére szolgál, amelyeknek felhasználói beavatkozás nélkül kell futniuk vagy hitelesíteniük kell magukat.
Megjegyzés
- Microsoft Entra azonosító nem engedélyezi a helyszíni AD-entitások által meghatározott szolgáltatásfiókok hitelesítését. Az AD-szolgáltatásfiók Microsoft Entra megfelelője az Microsoft Entra alkalmazás.
- Csak a biztonsági csoport (SG) rendszerbiztonsági tagjait támogatja, a terjesztési csoport (DG) rendszerbiztonsági tagjait nem. Ha megpróbálja beállítani a fürt egyik főigazgatóságának hozzáférését, az hibát fog eredményezni.
Hivatkozás Microsoft Entra tagokra és csoportokra
A Microsoft Entra felhasználókra és alkalmazásnevekre és -csoportokra való hivatkozás szintaxisát az alábbi táblázat ismerteti.
Ha egyszerű felhasználónévvel (UPN) hivatkozik egy egyszerű felhasználóra, és megkísérli kikövetkeztetni a bérlőt a tartománynévből, és megpróbálja megtalálni a rendszerbiztonsági tagot. Ha a rendszerbiztonsági tag nem található, explicit módon adja meg a bérlőazonosítót vagy a nevet a felhasználó egyszerű felhasználóneve vagy objektumazonosítója mellett.
Hasonlóképpen hivatkozhat egy olyan biztonsági csoportra, amelynek a csoport e-mail-címe UPN formátumban van megadva, és megkísérli kikövetkeztetni a bérlőt a tartománynévből. Ha a csoport nem található, explicit módon adja meg a bérlőazonosítót vagy a nevet a csoport megjelenítendő neve vagy objektumazonosítója mellett.
| Entitás típusa | Microsoft Entra bérlő | Syntax |
|---|---|---|
| Felhasználó | Implicit | aaduser=UPN |
| Felhasználó | Explicit (azonosító) | aaduser=UPN; TenantIdvagy aaduser=ObjectID; TenantId |
| Felhasználó | Explicit (Név) | aaduser=UPN; TenantNamevagy aaduser=ObjectID; TenantName |
| Group | Implicit | aadgroup=GroupEmailAddress |
| Group | Explicit (azonosító) | aadgroup=GroupDisplayName; TenantIdvagy aadgroup=GroupObjectId; TenantId |
| Group | Explicit (Név) | aadgroup=GroupDisplayName; TenantNamevagy aadgroup=GroupObjectId; TenantName |
| Alkalmazás | Explicit (azonosító) | aadapp=ApplicationDisplayName; TenantIdvagy aadapp=ApplicationId; TenantId |
| Alkalmazás | Explicit (Név) | aadapp=ApplicationDisplayName; TenantNamevagy aadapp=ApplicationId; TenantName |
Megjegyzés
Használja az "Alkalmazás" formátumot a felügyelt identitások hivatkozásához, amelyekben az ApplicationId a felügyelt identitás objektumazonosítója vagy a felügyelt identitás ügyfél-(alkalmazás-) azonosítója.
Példák
Az alábbi példa a felhasználói UPN használatával definiálja az adatbázis felhasználói szerepkörét Test . A bérlő adatai nincsenek megadva, ezért a fürt megpróbálja feloldani a Microsoft Entra bérlőt az UPN használatával.
.add database Test users ('aaduser=imikeoein@fabrikam.com') 'Test user (AAD)'
Az alábbi példa egy csoportnév és egy bérlőnév használatával rendeli hozzá a csoportot az Test adatbázis felhasználói szerepköréhez.
.add database Test users ('aadgroup=SGDisplayName;fabrikam.com') 'Test group @fabrikam.com (AAD)'
Az alábbi példa egy alkalmazásazonosító és egy bérlőnév használatával rendeli hozzá az alkalmazást az adatbázis felhasználói szerepköréhez Test .
.add database Test users ('aadapp=4c7e82bd-6adb-46c3-b413-fdd44834c69b;fabrikam.com') 'Test app @fabrikam.com (AAD)'
Microsoft-fiókok (MSA-k)
A Microsoft-fiókok (MSA-k) felhasználói hitelesítése támogatott. Az MSA-k a Microsoft által felügyelt, nem szervezeti felhasználói fiókok. Például: hotmail.com, live.com, outlook.com.
MSA-tagokra való hivatkozás
| IdP | Típus | Syntax |
|---|---|---|
| Live.com | Felhasználó | msauser=UPN |
Példa
Az alábbi példa egy MSA-felhasználót rendel az adatbázis felhasználói szerepköréhez Test .
.add database Test users ('msauser=abbiatkins@live.com') 'Test user (live.com)'
táblák adatparticionálási szabályzatainak kezelése
- Olvassa el a hitelesítés áttekintését
- Megtudhatja, hogyan rendelhet hozzá biztonsági szerepköröket felügyeleti parancsokkal
- Útmutató az Azure Portal az adatbázisnevek és -szerepkörök kezeléséhez
- current_principal_details()
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: