Общие сведения о контроле доступа

  • Статья

Управление доступом Data Explorer Azure основано на проверке подлинности и авторизации. Каждый запрос и команда в ресурсе Data Explorer Azure, например в кластере или базе данных, должны проходить проверку подлинности и проверки авторизации.

  • Аутентификация. Проверка удостоверения субъекта безопасности, который выполняет запрос.
  • Авторизация: проверяет, что субъект безопасности, выполняющий запрос, разрешено выполнять этот запрос к целевому ресурсу.

Аутентификация

Для программной проверки подлинности в кластере клиент должен взаимодействовать с Microsoft Entra ID и запрашивать маркер доступа, относясь к Data Explorer Azure. Затем клиент может использовать полученный маркер доступа в качестве подтверждения удостоверения при отправке запросов к кластеру.

Ниже приведены main сценарии проверки подлинности.

Примечание

Для проверки подлинности пользователей и приложений рекомендуется использовать клиентские библиотеки Kusto. Если требуется проверка подлинности on-behalf-of (OBO) или Single-Page Application (SPA), необходимо использовать MSAL напрямую, так как эти потоки не поддерживаются клиентскими библиотеками. Дополнительные сведения см. в статье Проверка подлинности с помощью библиотеки проверки подлинности Майкрософт (MSAL).

Аутентификация пользователей

Проверка подлинности пользователя происходит, когда пользователь предоставляет учетные данные Microsoft Entra ID или поставщику удостоверений, который объединяется с Microsoft Entra ID, например службы федерации Active Directory (AD FS). Пользователь возвращает маркер безопасности, который может быть представлен службе azure Data Explorer. Azure Data Explorer определяет, является ли маркер допустимым, выдан ли маркер доверенным издателем и какие утверждения безопасности содержит маркер.

Azure Data Explorer поддерживает следующие методы проверки подлинности пользователей, в том числе через клиентские библиотеки Kusto:

  • Интерактивная проверка подлинности пользователей с помощью входа через пользовательский интерфейс.
  • Проверка подлинности пользователей с помощью маркера Microsoft Entra, выданного для Data Explorer Azure.
  • Проверка подлинности пользователя с помощью маркера Microsoft Entra, выданного для другого ресурса, который можно обменять на маркер Data Explorer Azure с помощью проверки подлинности от имени (OBO).

Проверка подлинности приложения

Проверка подлинности приложения требуется, если запросы не связаны с определенным пользователем или когда пользователь не может предоставить учетные данные. В этом случае приложение выполняет проверку подлинности для Microsoft Entra ID или федеративного поставщика удостоверений, предоставляя секретные сведения.

Azure Data Explorer поддерживает следующие методы проверки подлинности приложений, в том числе через клиентские библиотеки Kusto:

  • Проверка подлинности приложения с помощью управляемого удостоверения Azure.
  • Проверка подлинности приложения с помощью локально установленного сертификата X.509v2.
  • Проверка подлинности приложения с помощью сертификата X.509v2, переданного клиентской библиотеке в виде потока байтов.
  • Проверка подлинности приложения с помощью идентификатора приложения Microsoft Entra и ключа приложения Microsoft Entra. Идентификатор приложения и ключ приложения похожи на имя пользователя и пароль.
  • Проверка подлинности приложения с использованием ранее полученного допустимого маркера Microsoft Entra, выданного Data Explorer Azure.
  • Проверка подлинности приложения с помощью маркера Microsoft Entra, выданного для другого ресурса, который можно обменять на маркер Data Explorer Azure с помощью проверки подлинности от имени (OBO).

Авторизация

Перед выполнением действия с ресурсом Data Explorer Azure все пользователи, прошедшие проверку подлинности, должны пройти проверка авторизации. Azure Data Explorer использует модель управления доступом на основе ролей Kusto, в которой субъекты приписываются одной или нескольким ролям безопасности. Авторизация предоставляется при условии, что одна из ролей, назначенных пользователю, позволяет ему выполнять указанное действие. Например, роль "Пользователь базы данных" предоставляет субъектам безопасности право считывать данные конкретной базы данных, создавать таблицы в базе данных и многое другое.

Связь субъектов безопасности с ролями безопасности можно определить по отдельности или с помощью групп безопасности, определенных в Microsoft Entra ID. Дополнительные сведения о назначении ролей безопасности см. в статье Общие сведения о ролях безопасности.

Авторизация группы

Авторизацию можно предоставить Microsoft Entra ID группам, назначив ей одну или несколько ролей.

При проверке авторизации пользователя или субъекта приложения система сначала проверяет явное назначение ролей, разрешающее определенное действие. Если такого назначения ролей не существует, система анализирует членство субъекта во всех группах, которые могут потенциально авторизовать действие. Если субъект подтверждается, что он является членом любой из этих групп, запрошенное действие авторизоваться. В противном случае, если субъект не является членом таких групп, действие не передает проверка авторизации и действие не разрешено.

Примечание

Проверка членства в группах может быть ресурсоемкой. Так как членство в группах меняется редко, результаты проверок членства кэшируются. Длительность кэширования зависит от таких факторов, как результат членства (является ли участник участником или нет), тип участника (пользователь или приложение) и т. д. Максимальная продолжительность кэширования может продлиться до трех часов, а минимальная — 30 минут.

См. также