Referenciando entidades de segurança
O modelo de autorização de Data Explorer do Azure permite o uso de Microsoft Entra identidades de usuário e aplicativo e MSAs (Contas da Microsoft) como entidades de segurança. Este artigo fornece uma visão geral dos tipos de entidade de segurança com suporte para Microsoft Entra ID e MSAs e demonstra como referenciar corretamente essas entidades de segurança ao atribuir funções de segurança usando comandos de gerenciamento.
Microsoft Entra ID
A maneira recomendada de acessar o cluster é autenticando-se no serviço Microsoft Entra. Microsoft Entra ID é um provedor de identidade capaz de autenticar entidades de segurança e coordenar com outros provedores de identidade, como o Active Directory da Microsoft.
Microsoft Entra ID dá suporte aos seguintes cenários de autenticação:
- Autenticação de usuário (logon interativo): Usada para autenticar entidades de segurança humanas.
- Autenticação de aplicativo (entrada não interativa): usada para autenticar serviços e aplicativos que precisam ser executados ou autenticados sem interação do usuário.
Observação
- Microsoft Entra ID não permite a autenticação de contas de serviço que são por definição de entidades do AD local. O Microsoft Entra equivalente a uma conta de serviço do AD é o aplicativo Microsoft Entra.
- Há suporte apenas para entidades de segurança do Grupo de Segurança (SG) e não para entidades de segurança do Grupo de Distribuição (DG). Uma tentativa de configurar o acesso a um DG no cluster resultará em um erro.
Referenciando entidades de Microsoft Entra e grupos
A sintaxe para referenciar Microsoft Entra entidades e grupos de usuários e aplicativos é descrita na tabela a seguir.
Se você usar um UPN (Nome de Entidade de Usuário) para fazer referência a uma entidade de segurança de usuário, será feita uma tentativa de inferir o locatário do nome de domínio e tentar localizar a entidade de segurança. Se a entidade de segurança não for encontrada, especifique explicitamente a ID ou o nome do locatário, além do UPN ou da ID do objeto do usuário.
Da mesma forma, você pode fazer referência a um grupo de segurança com o endereço de email do grupo no formato UPN e será feita uma tentativa de inferir o locatário do nome de domínio. Se o grupo não for encontrado, especifique explicitamente a ID ou o nome do locatário, além do nome de exibição do grupo ou da ID do objeto.
| Tipo de Entidade | Locatário do Microsoft Entra | Syntax |
|---|---|---|
| Usuário | Implícita | aaduser=UPN |
| Usuário | Explícito (ID) | aaduser=UPN; TenantIdou aaduser=ObjectID; TenantId |
| Usuário | Explícito (Nome) | aaduser=UPN; TenantNameou aaduser=ObjectID; TenantName |
| Grupo | Implícita | aadgroup=GroupEmailAddress |
| Grupo | Explícito (ID) | aadgroup=GroupDisplayName; TenantIdou aadgroup=GroupObjectId; TenantId |
| Grupo | Explícito (Nome) | aadgroup=GroupDisplayName; TenantNameou aadgroup=GroupObjectId; TenantName |
| Aplicativo | Explícito (ID) | aadapp=ApplicationDisplayName; TenantIdou aadapp=ApplicationId; TenantId |
| Aplicativo | Explícito (Nome) | aadapp=ApplicationDisplayName; TenantNameou aadapp=ApplicationId; TenantName |
Observação
Use o formato "App" para fazer referência a identidades gerenciadas, nas quais o ApplicationId é a ID do objeto de identidade gerenciada ou a ID do cliente de identidade gerenciada (aplicativo).
Exemplos
O exemplo a seguir usa o UPN do usuário para definir uma entidade de segurança da função de usuário no Test banco de dados. As informações do locatário não são especificadas, portanto, o cluster tentará resolve o locatário Microsoft Entra usando o UPN.
.add database Test users ('aaduser=imikeoein@fabrikam.com') 'Test user (AAD)'
O exemplo a seguir usa um nome de grupo e um nome de locatário para atribuir o grupo à função de usuário no Test banco de dados.
.add database Test users ('aadgroup=SGDisplayName;fabrikam.com') 'Test group @fabrikam.com (AAD)'
O exemplo a seguir usa uma ID do aplicativo e um nome de locatário para atribuir ao aplicativo a função de usuário no Test banco de dados.
.add database Test users ('aadapp=4c7e82bd-6adb-46c3-b413-fdd44834c69b;fabrikam.com') 'Test app @fabrikam.com (AAD)'
MSAs (Contas da Microsoft)
Há suporte para a autenticação de usuário para MSAs (Contas da Microsoft). As MSAs são todas as contas de usuário não organizacionais gerenciadas pela Microsoft. Por exemplo, hotmail.com, live.com, outlook.com.
Referenciando entidades de segurança msa
| IdP | Tipo | Syntax |
|---|---|---|
| Live.com | Usuário | msauser=UPN |
Exemplo
O exemplo a seguir atribui um usuário MSA à função de usuário no Test banco de dados.
.add database Test users ('msauser=abbiatkins@live.com') 'Test user (live.com)'
para gerenciar políticas de particionamento de dados para tabelas
- Ler a visão geral da autenticação
- Saiba como usar comandos de gerenciamento para atribuir funções de segurança
- Saiba como usar o portal do Azure para gerenciar entidades de banco de dados e funções
- current_principal_details()
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de