Referenciando entidades de segurança
O modelo de autorização de Data Explorer do Azure permite o uso de Microsoft Entra identidades de usuário e aplicativo e MSAs (Contas da Microsoft) como entidades de segurança. Este artigo fornece uma visão geral dos tipos de entidade de segurança com suporte para Microsoft Entra ID e MSAs e demonstra como referenciar corretamente essas entidades de segurança ao atribuir funções de segurança usando comandos de gerenciamento.
Microsoft Entra ID
A maneira recomendada de acessar o cluster é autenticando-se no serviço Microsoft Entra. Microsoft Entra ID é um provedor de identidade capaz de autenticar entidades de segurança e coordenar com outros provedores de identidade, como o Active Directory da Microsoft.
Microsoft Entra ID dá suporte aos seguintes cenários de autenticação:
- Autenticação de usuário (logon interativo): Usada para autenticar entidades de segurança humanas.
- Autenticação de aplicativo (entrada não interativa): usada para autenticar serviços e aplicativos que precisam ser executados ou autenticados sem interação do usuário.
Observação
- Microsoft Entra ID não permite a autenticação de contas de serviço que são por definição de entidades do AD local. O Microsoft Entra equivalente a uma conta de serviço do AD é o aplicativo Microsoft Entra.
- Há suporte apenas para entidades de segurança do Grupo de Segurança (SG) e não para entidades de segurança do Grupo de Distribuição (DG). Uma tentativa de configurar o acesso a um DG no cluster resultará em um erro.
Referenciando entidades de Microsoft Entra e grupos
A sintaxe para referenciar Microsoft Entra entidades e grupos de usuários e aplicativos é descrita na tabela a seguir.
Se você usar um UPN (Nome de Entidade de Usuário) para fazer referência a uma entidade de segurança de usuário, será feita uma tentativa de inferir o locatário do nome de domínio e tentar localizar a entidade de segurança. Se a entidade de segurança não for encontrada, especifique explicitamente a ID ou o nome do locatário, além do UPN ou da ID do objeto do usuário.
Da mesma forma, você pode fazer referência a um grupo de segurança com o endereço de email do grupo no formato UPN e será feita uma tentativa de inferir o locatário do nome de domínio. Se o grupo não for encontrado, especifique explicitamente a ID ou o nome do locatário, além do nome de exibição do grupo ou da ID do objeto.
Tipo de Entidade | Locatário do Microsoft Entra | Syntax |
---|---|---|
Usuário | Implícita | aaduser =UPN |
Usuário | Explícito (ID) | aaduser =UPN; TenantIdou aaduser =ObjectID; TenantId |
Usuário | Explícito (Nome) | aaduser =UPN; TenantNameou aaduser =ObjectID; TenantName |
Grupo | Implícita | aadgroup =GroupEmailAddress |
Grupo | Explícito (ID) | aadgroup =GroupDisplayName; TenantIdou aadgroup =GroupObjectId; TenantId |
Grupo | Explícito (Nome) | aadgroup =GroupDisplayName; TenantNameou aadgroup =GroupObjectId; TenantName |
Aplicativo | Explícito (ID) | aadapp =ApplicationDisplayName; TenantIdou aadapp =ApplicationId; TenantId |
Aplicativo | Explícito (Nome) | aadapp =ApplicationDisplayName; TenantNameou aadapp =ApplicationId; TenantName |
Observação
Use o formato "App" para fazer referência a identidades gerenciadas, nas quais o ApplicationId é a ID do objeto de identidade gerenciada ou a ID do cliente de identidade gerenciada (aplicativo).
Exemplos
O exemplo a seguir usa o UPN do usuário para definir uma entidade de segurança da função de usuário no Test
banco de dados. As informações do locatário não são especificadas, portanto, o cluster tentará resolve o locatário Microsoft Entra usando o UPN.
.add database Test users ('aaduser=imikeoein@fabrikam.com') 'Test user (AAD)'
O exemplo a seguir usa um nome de grupo e um nome de locatário para atribuir o grupo à função de usuário no Test
banco de dados.
.add database Test users ('aadgroup=SGDisplayName;fabrikam.com') 'Test group @fabrikam.com (AAD)'
O exemplo a seguir usa uma ID do aplicativo e um nome de locatário para atribuir ao aplicativo a função de usuário no Test
banco de dados.
.add database Test users ('aadapp=4c7e82bd-6adb-46c3-b413-fdd44834c69b;fabrikam.com') 'Test app @fabrikam.com (AAD)'
MSAs (Contas da Microsoft)
Há suporte para a autenticação de usuário para MSAs (Contas da Microsoft). As MSAs são todas as contas de usuário não organizacionais gerenciadas pela Microsoft. Por exemplo, hotmail.com
, live.com
, outlook.com
.
Referenciando entidades de segurança msa
IdP | Tipo | Syntax |
---|---|---|
Live.com | Usuário | msauser= UPN |
Exemplo
O exemplo a seguir atribui um usuário MSA à função de usuário no Test
banco de dados.
.add database Test users ('msauser=abbiatkins@live.com') 'Test user (live.com)'
para gerenciar políticas de particionamento de dados para tabelas
- Ler a visão geral da autenticação
- Saiba como usar comandos de gerenciamento para atribuir funções de segurança
- Saiba como usar o portal do Azure para gerenciar entidades de banco de dados e funções
- current_principal_details()
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de