Hivatkozás a rendszerbiztonsági tagokra
Az Azure Data Explorer engedélyezési modell lehetővé teszi Microsoft Entra felhasználói és alkalmazási identitások és Microsoft-fiókok (MSA-k) használatát rendszerbiztonsági tagokként. Ez a cikk áttekintést nyújt a Microsoft Entra-azonosítók és az MSA-k támogatott egyszerű típusairól, és bemutatja, hogyan hivatkozhat megfelelően ezekre a rendszerbiztonsági szerepkörökre, amikor felügyeleti parancsokkal rendel hozzá biztonsági szerepköröket.
Microsoft Entra ID
A fürt elérésének ajánlott módja a Microsoft Entra szolgáltatás hitelesítése. Microsoft Entra azonosító egy identitásszolgáltató, amely képes a rendszerbiztonsági tagok hitelesítésére és más identitásszolgáltatókkal, például a Microsoft Active Directoryjával való koordinációra.
Microsoft Entra azonosító a következő hitelesítési forgatókönyveket támogatja:
- Felhasználóhitelesítés (interaktív bejelentkezés): Az emberi résztvevők hitelesítésére szolgál.
- Alkalmazáshitelesítés (nem interaktív bejelentkezés): Olyan szolgáltatások és alkalmazások hitelesítésére szolgál, amelyeknek felhasználói beavatkozás nélkül kell futniuk vagy hitelesíteniük kell magukat.
Megjegyzés
- Microsoft Entra azonosító nem engedélyezi a helyszíni AD-entitások által meghatározott szolgáltatásfiókok hitelesítését. Az AD-szolgáltatásfiók Microsoft Entra megfelelője az Microsoft Entra alkalmazás.
- Csak a biztonsági csoport (SG) rendszerbiztonsági tagjait támogatja, a terjesztési csoport (DG) rendszerbiztonsági tagjait nem. Ha megpróbálja beállítani a fürt egyik főigazgatóságának hozzáférését, az hibát fog eredményezni.
Hivatkozás Microsoft Entra tagokra és csoportokra
A Microsoft Entra felhasználókra és alkalmazásnevekre és -csoportokra való hivatkozás szintaxisát az alábbi táblázat ismerteti.
Ha egyszerű felhasználónévvel (UPN) hivatkozik egy egyszerű felhasználóra, és megkísérli kikövetkeztetni a bérlőt a tartománynévből, és megpróbálja megtalálni a rendszerbiztonsági tagot. Ha a rendszerbiztonsági tag nem található, explicit módon adja meg a bérlőazonosítót vagy a nevet a felhasználó egyszerű felhasználóneve vagy objektumazonosítója mellett.
Hasonlóképpen hivatkozhat egy olyan biztonsági csoportra, amelynek a csoport e-mail-címe UPN formátumban van megadva, és megkísérli kikövetkeztetni a bérlőt a tartománynévből. Ha a csoport nem található, explicit módon adja meg a bérlőazonosítót vagy a nevet a csoport megjelenítendő neve vagy objektumazonosítója mellett.
Entitás típusa | Microsoft Entra bérlő | Syntax |
---|---|---|
Felhasználó | Implicit | aaduser =UPN |
Felhasználó | Explicit (azonosító) | aaduser =UPN; TenantIdvagy aaduser =ObjectID; TenantId |
Felhasználó | Explicit (Név) | aaduser =UPN; TenantNamevagy aaduser =ObjectID; TenantName |
Group | Implicit | aadgroup =GroupEmailAddress |
Group | Explicit (azonosító) | aadgroup =GroupDisplayName; TenantIdvagy aadgroup =GroupObjectId; TenantId |
Group | Explicit (Név) | aadgroup =GroupDisplayName; TenantNamevagy aadgroup =GroupObjectId; TenantName |
Alkalmazás | Explicit (azonosító) | aadapp =ApplicationDisplayName; TenantIdvagy aadapp =ApplicationId; TenantId |
Alkalmazás | Explicit (Név) | aadapp =ApplicationDisplayName; TenantNamevagy aadapp =ApplicationId; TenantName |
Megjegyzés
Használja az "Alkalmazás" formátumot a felügyelt identitások hivatkozásához, amelyekben az ApplicationId a felügyelt identitás objektumazonosítója vagy a felügyelt identitás ügyfél-(alkalmazás-) azonosítója.
Példák
Az alábbi példa a felhasználói UPN használatával definiálja az adatbázis felhasználói szerepkörét Test
. A bérlő adatai nincsenek megadva, ezért a fürt megpróbálja feloldani a Microsoft Entra bérlőt az UPN használatával.
.add database Test users ('aaduser=imikeoein@fabrikam.com') 'Test user (AAD)'
Az alábbi példa egy csoportnév és egy bérlőnév használatával rendeli hozzá a csoportot az Test
adatbázis felhasználói szerepköréhez.
.add database Test users ('aadgroup=SGDisplayName;fabrikam.com') 'Test group @fabrikam.com (AAD)'
Az alábbi példa egy alkalmazásazonosító és egy bérlőnév használatával rendeli hozzá az alkalmazást az adatbázis felhasználói szerepköréhez Test
.
.add database Test users ('aadapp=4c7e82bd-6adb-46c3-b413-fdd44834c69b;fabrikam.com') 'Test app @fabrikam.com (AAD)'
Microsoft-fiókok (MSA-k)
A Microsoft-fiókok (MSA-k) felhasználói hitelesítése támogatott. Az MSA-k a Microsoft által felügyelt, nem szervezeti felhasználói fiókok. Például: hotmail.com
, live.com
, outlook.com
.
MSA-tagokra való hivatkozás
IdP | Típus | Syntax |
---|---|---|
Live.com | Felhasználó | msauser= UPN |
Példa
Az alábbi példa egy MSA-felhasználót rendel az adatbázis felhasználói szerepköréhez Test
.
.add database Test users ('msauser=abbiatkins@live.com') 'Test user (live.com)'
táblák adatparticionálási szabályzatainak kezelése
- Olvassa el a hitelesítés áttekintését
- Megtudhatja, hogyan rendelhet hozzá biztonsági szerepköröket felügyeleti parancsokkal
- Útmutató az Azure Portal az adatbázisnevek és -szerepkörök kezeléséhez
- current_principal_details()
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: