Bagikan melalui

Ringkasan kontrol akses

  • Artikel

Kontrol akses Azure Data Explorer didasarkan pada autentikasi dan otorisasi. Setiap kueri dan perintah pada sumber daya Azure Data Explorer, seperti kluster atau database, harus melewati pemeriksaan autentikasi dan otorisasi.

  • Autentikasi: Memvalidasi identitas prinsipal keamanan yang membuat permintaan
  • Otorisasi: Memvalidasi prinsip keamanan yang membuat permintaan diizinkan untuk membuat permintaan tersebut pada sumber daya target

Autentikasi

Untuk mengautentikasi secara terprogram dengan kluster Anda, klien harus berkomunikasi dengan Microsoft Entra ID dan meminta token akses khusus untuk Azure Data Explorer. Kemudian, klien dapat menggunakan token akses yang diperoleh sebagai bukti identitas saat mengeluarkan permintaan ke kluster Anda.

Skenario autentikasi utama adalah sebagai berikut:

  • Autentikasi pengguna: Digunakan untuk memverifikasi identitas pengguna manusia.
  • Autentikasi aplikasi: Digunakan untuk memverifikasi identitas aplikasi yang perlu mengakses sumber daya tanpa intervensi manusia dengan menggunakan kredensial yang dikonfigurasi.
  • Autentikasi atas nama (OBO): Memungkinkan aplikasi untuk bertukar token dengan aplikasi tersebut dengan token untuk mengakses layanan Kusto. Alur ini harus diimplementasikan dengan MSAL.
  • Autentikasi aplikasi halaman tunggal (SPA): Memungkinkan aplikasi web SPA sisi klien untuk memasukkan pengguna dan mendapatkan token untuk mengakses kluster Anda. Alur ini harus diimplementasikan dengan MSAL.

Catatan

Untuk autentikasi pengguna dan aplikasi, sebaiknya gunakan pustaka klien Kusto. Jika Anda memerlukan autentikasi On-behalf-of (OBO) atau Single-Page Application (SPA), Anda harus menggunakan MSAL secara langsung karena alur ini tidak didukung oleh pustaka klien. Untuk informasi selengkapnya, lihat Mengautentikasi dengan Microsoft Authentication Library (MSAL).

Autentikasi pengguna

Autentikasi pengguna terjadi ketika pengguna menyajikan kredensial ke Microsoft Entra ID atau penyedia identitas yang bergabung dengan Microsoft Entra ID, seperti Active Directory Federation Services. Pengguna mendapatkan kembali token keamanan yang dapat disajikan ke layanan Azure Data Explorer. Azure Data Explorer menentukan apakah token valid atau tidak, apakah token dikeluarkan oleh penerbit tepercaya atau tidak, dan klaim keamanan apa yang dimuat pada token.

Azure Data Explorer mendukung metode autentikasi pengguna berikut, termasuk melalui pustaka klien Kusto:

  • Autentikasi pengguna interaktif dengan masuk melalui antarmuka pengguna.
  • Autentikasi pengguna dengan token Microsoft Entra yang dikeluarkan untuk Azure Data Explorer.
  • Autentikasi pengguna dengan token Microsoft Entra yang dikeluarkan untuk sumber daya lain yang dapat ditukar dengan token Azure Data Explorer menggunakan autentikasi On-behalf-of (OBO).

Autentikasi aplikasi

Autentikasi aplikasi diperlukan ketika permintaan tidak terkait dengan pengguna tertentu atau ketika tidak ada pengguna yang tersedia untuk memberikan kredensial. Dalam hal ini, aplikasi mengautentikasi ke Microsoft Entra ID atau IdP federasi dengan menyajikan informasi rahasia.

Azure Data Explorer mendukung metode autentikasi aplikasi berikut, termasuk melalui pustaka klien Kusto:

  • Autentikasi aplikasi dengan identitas terkelola Azure.
  • Autentikasi aplikasi dengan sertifikat X.509v2 yang diinstal secara lokal.
  • Autentikasi aplikasi dengan sertifikat X.509v2 yang diberikan ke pustaka klien sebagai aliran byte.
  • Autentikasi aplikasi dengan ID aplikasi Microsoft Entra dan kunci aplikasi Microsoft Entra. ID aplikasi dan kunci aplikasi seperti nama pengguna dan kata sandi.
  • Autentikasi aplikasi dengan token Microsoft Entra valid yang diperoleh sebelumnya, dikeluarkan untuk Azure Data Explorer.
  • Autentikasi aplikasi dengan token Microsoft Entra yang dikeluarkan untuk sumber daya lain yang dapat ditukar dengan token Azure Data Explorer menggunakan autentikasi Atas Nama (OBO).

Authorization

Sebelum melakukan tindakan pada sumber daya Azure Data Explorer, semua pengguna yang diautentikasi harus melewati pemeriksaan otorisasi. Azure Data Explorer menggunakan model kontrol akses berbasis peran Kusto, di mana prinsipal berlangganan satu atau beberapa peran keamanan. Otorisasi diberikan selama salah satu peran yang ditetapkan kepada pengguna memungkinkan mereka untuk melakukan tindakan yang ditentukan. Misalnya, peran Pengguna Database memberikan hak kepada prinsip keamanan untuk membaca data database tertentu, membuat tabel dalam database, dan banyak lagi.

Asosiasi prinsip keamanan ke peran keamanan dapat didefinisikan secara individual atau dengan menggunakan kelompok keamanan yang didefinisikan dalam Microsoft Entra ID. Untuk informasi selengkapnya tentang cara menetapkan peran keamanan, lihat Gambaran umum peran keamanan.

Otorisasi grup

Otorisasi dapat diberikan kepada grup Microsoft Entra ID dengan menetapkan satu atau beberapa peran ke grup.

Ketika otorisasi pengguna atau perwakilan aplikasi diperiksa, sistem terlebih dahulu memeriksa penetapan peran eksplisit yang mengizinkan tindakan tertentu. Jika tidak ada penetapan peran seperti itu, sistem kemudian menganalisis keanggotaan utama di semua grup yang berpotensi mengotorisasi tindakan. Jika perwakilan dikonfirmasi sebagai anggota salah satu grup ini, tindakan yang diminta akan diotorisasi. Jika tidak, jika prinsipal bukan anggota grup tersebut, tindakan tidak lulus pemeriksaan otorisasi dan tindakan tidak diizinkan.

Catatan

Memeriksa keanggotaan grup bisa intensif sumber daya. Karena keanggotaan grup tidak sering berubah, hasil pemeriksaan keanggotaan di-cache. Durasi penembolokan bervariasi dan dipengaruhi oleh faktor-faktor seperti hasil keanggotaan (apakah prinsipal adalah anggota atau tidak), jenis prinsipal (pengguna atau aplikasi), antara lain. Durasi penembolokan maksimum dapat diperpanjang hingga tiga jam, sedangkan durasi minimum adalah 30 menit.

Konten terkait