Consentire query e comandi tra tenant

Articolo
01/17/2024

Le entità di più tenant possono eseguire query e comandi in un singolo cluster di Azure Esplora dati. In questo articolo si apprenderà come concedere al cluster l'accesso alle entità da un altro tenant.

Per impostare nel trustedExternalTenants cluster, usare i modelli arm, l'interfaccia della riga di comando di Azure, PowerShell, Azure Resource Explorer o inviare una richiesta API.

Gli esempi seguenti illustrano come definire tenant attendibili nel portale e con una richiesta API.

Nota

Anche l'entità che eseguirà query o comandi deve avere un ruolo di database pertinente. Vedere anche controllo degli accessi in base al ruolo. La convalida dei ruoli corretti viene eseguita dopo la convalida dei tenant esterni attendibili.

Portale
API

Nella portale di Azure passare alla pagina del cluster Esplora dati di Azure.
Nel menu a sinistra, in Impostazioni, selezionare Sicurezza.
Definire le autorizzazioni per i tenant desiderati.

Sintassi

Consenti tenant specifici

trustedExternalTenants: [ {"value": "tenantId1" }, { "value": "tenantId2" }, ... ]

Consenti tutti i tenant

La matrice trustedExternalTenants supporta anche la notazione all-tenant star ('*'), che consente query e comandi da tutti i tenant.

trustedExternalTenants: [ { "value": "*" }]

Nota

Il valore predefinito per trustedExternalTenants è tutti i tenant: [ { "value": "*" }]. Se la matrice di tenant esterni non è stata definita durante la creazione del cluster, è possibile eseguirne l'override con un'operazione di aggiornamento del cluster. Una matrice vuota significa che solo le identità del tenant dei cluster possono eseguire l'autenticazione in questo cluster.

Altre informazioni sulle convenzioni di sintassi.

Esempio

L'esempio seguente consente a tenant specifici di eseguire query nel cluster:

{
    "properties": { 
        "trustedExternalTenants": [
            { "value": "tenantId1" }, 
            { "value": "tenantId2" }, 
            ...
        ]
    }
}

L'esempio seguente consente a tutti i tenant di eseguire query nel cluster:

{
    "properties": { 
        "trustedExternalTenants": [  { "value": "*" }  ]
    }
}

Aggiornare il cluster

Aggiornare il cluster usando l'operazione seguente:

PATCH https://management.azure.com/subscriptions/12345678-1234-1234-1234-123456789098/resourceGroups/kustorgtest/providers/Microsoft.Kusto/clusters/kustoclustertest?api-version=2020-09-18

Aggiungere entità

Dopo aver aggiornato la trustedExternalTenants proprietà, è possibile concedere l'accesso alle entità dai tenant approvati. Usare il portale di Azure per concedere autorizzazioni a livello di cluster principale o a un database. In alternativa, per concedere l'accesso a un database, una tabella, una funzione o un livello di vista materializzato, usare i comandi di gestione.

Limitazioni

La configurazione di questa funzionalità si applica esclusivamente alle identità Microsoft Entra (utenti, applicazioni, gruppi) che tentano di connettersi ad Azure Esplora dati. Non ha alcun impatto sull'inserimento tra Microsoft Entra.

Condividi tramite