Mereferensikan prinsip keamanan
Model otorisasi Azure Data Explorer memungkinkan penggunaan identitas pengguna dan aplikasi Microsoft Entra dan Akun Microsoft (MSA) sebagai prinsip keamanan. Artikel ini memberikan gambaran umum tentang jenis utama yang didukung untuk ID Microsoft Entra dan MSA, dan menunjukkan cara mereferensikan prinsipal ini dengan benar saat menetapkan peran keamanan menggunakan perintah manajemen.
Microsoft Entra ID
Cara yang disarankan untuk mengakses kluster Anda adalah dengan mengautentikasi ke layanan Microsoft Entra. Microsoft Entra ID adalah idP yang mampu mengautentikasi prinsip keamanan dan berkoordinasi dengan penyedia identitas lain, seperti Direktori Aktif Microsoft.
ID Microsoft Entra mendukung skenario autentikasi berikut:
- Autentikasi pengguna (masuk interaktif): Digunakan untuk mengautentikasi prinsipal manusia.
- Autentikasi aplikasi (masuk non-interaktif): Digunakan untuk mengautentikasi layanan dan aplikasi yang harus berjalan atau mengautentikasi tanpa interaksi pengguna.
Catatan
- id Microsoft Entra tidak mengizinkan autentikasi akun layanan yang berdasarkan definisi entitas AD lokal. Microsoft Entra setara dengan akun layanan AD adalah aplikasi Microsoft Entra.
- Hanya mendukung prinsipal Kelompok Keamanan (SG) dan bukan perwakilan Grup Distribusi (DG) yang didukung. Upaya untuk mengatur akses untuk DG pada kluster akan mengakibatkan kesalahan.
Mereferensikan prinsipal dan grup Microsoft Entra
Sintaks untuk mereferensikan Microsoft Entra pengguna dan prinsipal aplikasi dan grup diuraikan dalam tabel berikut.
Jika Anda menggunakan Nama Prinsipal Pengguna (UPN) untuk mereferensikan prinsipal pengguna, dan upaya akan dilakukan untuk menyimpulkan penyewa dari nama domain dan mencoba menemukan prinsipal. Jika perwakilan tidak ditemukan, tentukan ID atau nama penyewa secara eksplisit selain UPN atau ID objek pengguna.
Demikian pula, Anda dapat mereferensikan grup keamanan dengan alamat email grup dalam format UPN dan upaya akan dilakukan untuk menyimpulkan penyewa dari nama domain. Jika grup tidak ditemukan, tentukan ID atau nama penyewa secara eksplisit selain nama tampilan grup atau ID objek.
| Jenis Entitas | penyewa Microsoft Entra | Sintaks |
|---|---|---|
| Pengguna | Implisit | aaduser=UPN |
| Pengguna | Eksplisit (ID) | aaduser=UPN; TenantIdatau aaduser=ObjectID; TenantId |
| Pengguna | Eksplisit (Nama) | aaduser=UPN; TenantNameatau aaduser=ObjectID; TenantName |
| Grup | Implisit | aadgroup=GroupEmailAddress |
| Grup | Eksplisit (ID) | aadgroup=GroupDisplayName; TenantIdatau aadgroup=GroupObjectId; TenantId |
| Grup | Eksplisit (Nama) | aadgroup=GroupDisplayName; TenantNameatau aadgroup=GroupObjectId; TenantName |
| Aplikasi | Eksplisit (ID) | aadapp=ApplicationDisplayName; TenantIdatau aadapp=ApplicationId; TenantId |
| Aplikasi | Eksplisit (Nama) | aadapp=ApplicationDisplayName; TenantNameatau aadapp=ApplicationId; TenantName |
Catatan
Gunakan format "Aplikasi" untuk mereferensikan identitas terkelola, di mana ApplicationId adalah ID objek identitas terkelola atau ID klien identitas terkelola (aplikasi).
Contoh
Contoh berikut menggunakan UPN pengguna untuk menentukan peran pengguna utama pada Test database. Informasi penyewa tidak ditentukan, sehingga kluster Anda akan mencoba menyelesaikan penyewa Microsoft Entra menggunakan UPN.
.add database Test users ('aaduser=imikeoein@fabrikam.com') 'Test user (AAD)'
Contoh berikut menggunakan nama grup dan nama penyewa untuk menetapkan grup ke peran pengguna pada Test database.
.add database Test users ('aadgroup=SGDisplayName;fabrikam.com') 'Test group @fabrikam.com (AAD)'
Contoh berikut menggunakan ID aplikasi dan nama penyewa untuk menetapkan peran pengguna aplikasi pada Test database.
.add database Test users ('aadapp=4c7e82bd-6adb-46c3-b413-fdd44834c69b;fabrikam.com') 'Test app @fabrikam.com (AAD)'
Akun Microsoft (MSA)
Autentikasi pengguna untuk Akun Microsoft (MSA) didukung. MSA adalah semua akun pengguna non-organisasi yang dikelola Microsoft. Misalnya: hotmail.com, live.com, outlook.com.
Mereferensikan prinsipal MSA
| IdP | Jenis | Sintaks |
|---|---|---|
| Live.com | Pengguna | msauser=UPN |
Contoh
Contoh berikut menetapkan pengguna MSA ke peran pengguna pada Test database.
.add database Test users ('msauser=abbiatkins@live.com') 'Test user (live.com)'
untuk mengelola kebijakan pemartisian data untuk tabel
- Baca gambaran umum autentikasi
- Pelajari cara menggunakan perintah manajemen untuk menetapkan peran keamanan
- Pelajari cara menggunakan portal Azure untuk mengelola prinsipal dan peran database
- current_principal_details()
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk