Ссылки на субъекты безопасности
Модель авторизации Data Explorer Azure позволяет использовать Microsoft Entra удостоверения пользователей и приложений, а также учетные записи Майкрософт (MSA) в качестве субъектов безопасности. В этой статье представлен обзор поддерживаемых типов субъектов для Microsoft Entra ID и MSA, а также показано, как правильно ссылаться на эти субъекты при назначении ролей безопасности с помощью команд управления.
Microsoft Entra ID
Рекомендуемый способ доступа к кластеру — проверка подлинности в службе Microsoft Entra. Microsoft Entra ID — это поставщик удостоверений, способный выполнять проверку подлинности субъектов безопасности и координировать работу с другими поставщиками удостоверений, такими как Active Directory корпорации Майкрософт.
идентификатор Microsoft Entra поддерживает следующие сценарии проверки подлинности:
- Проверка подлинности для пользователей (интерактивный вход в систему). Используется для аутентификации субъектов, представляющих людей.
- Проверка подлинности приложений (неинтерактивный вход). Используется для проверки подлинности служб и приложений, которые должны выполняться или проходить проверку подлинности без участия пользователя.
Примечание
- Microsoft Entra идентификатор не разрешает проверку подлинности учетных записей служб, которые по определению являются локальными сущностями AD. Microsoft Entra эквивалентом учетной записи службы AD является Microsoft Entra приложение.
- Поддерживаются только субъекты группы безопасности ( SG), но не субъекты группы рассылки (DG). Попытка настроить доступ для DG в кластере приведет к ошибке.
Ссылки на субъекты и группы Microsoft Entra
Синтаксис ссылки на Microsoft Entra пользователей, субъектов и групп приложений описан в следующей таблице.
Если вы используете имя участника-пользователя (UPN) для ссылки на участника-пользователя, и будет предпринята попытка вывести клиент из доменного имени и попытаться найти участника. Если субъект не найден, явно укажите идентификатор или имя клиента в дополнение к имени участника-пользователя или идентификатору объекта.
Аналогичным образом можно ссылаться на группу безопасности с адресом электронной почты группы в формате имени участника-пользователя , и будет предпринята попытка вывести клиент из доменного имени. Если группа не найдена, явно укажите идентификатор или имя клиента в дополнение к отображаемого имени группы или идентификатору объекта.
| Тип сущности | клиент Microsoft Entra | Синтаксис |
|---|---|---|
| Пользователь | Неявная | aaduser=UPN |
| Пользователь | Explicit (ID) | aaduser=Имя участника-пользователя; TenantIdили aaduser=ObjectID; TenantId |
| Пользователь | Explicit (Name) | aaduser=Имя участника-пользователя; Имя_клиентаили aaduser=ObjectID; Имя_клиента |
| Группа | Неявная | aadgroup=GroupEmailAddress |
| Группа | Explicit (ID) | aadgroup=GroupDisplayName; TenantIdили aadgroup=GroupObjectId; TenantId |
| Группа | Explicit (Name) | aadgroup=GroupDisplayName; Имя_клиентаили aadgroup=GroupObjectId; Имя_клиента |
| Приложение | Explicit (ID) | aadapp=ApplicationDisplayName; TenantIdили aadapp=ApplicationId; TenantId |
| Приложение | Explicit (Name) | aadapp=ApplicationDisplayName; Имя_клиентаили aadapp=ApplicationId; Имя_клиента |
Примечание
Используйте формат "Приложение" для ссылки на управляемые удостоверения, в которых ApplicationId является идентификатором объекта управляемого удостоверения или идентификатором клиента (приложения) управляемого удостоверения.
Примеры
В следующем примере имя участника-пользователя используется для определения субъекта роли пользователя в Test базе данных. Сведения о клиенте не указаны, поэтому кластер попытается разрешить Microsoft Entra клиента с помощью имени участника-пользователя.
.add database Test users ('aaduser=imikeoein@fabrikam.com') 'Test user (AAD)'
В следующем примере имя группы и имя клиента используются для назначения группе роли пользователя в Test базе данных.
.add database Test users ('aadgroup=SGDisplayName;fabrikam.com') 'Test group @fabrikam.com (AAD)'
В следующем примере идентификатор приложения и имя клиента используются для назначения приложению роли пользователя в Test базе данных.
.add database Test users ('aadapp=4c7e82bd-6adb-46c3-b413-fdd44834c69b;fabrikam.com') 'Test app @fabrikam.com (AAD)'
Учетные записи Майкрософт (MSA)
Проверка подлинности пользователей для учетных записей Майкрософт (MSA) поддерживается. MsAs — это все учетные записи пользователей, не управляемые корпорацией Майкрософт. Например hotmail.com, live.com, outlook.com.
Ссылки на субъекты MSA
| IdP | Тип | Синтаксис |
|---|---|---|
| Live.com | Пользователь | msauser=UPN |
Пример
В следующем примере пользователю MSA назначается роль пользователя в Test базе данных.
.add database Test users ('msauser=abbiatkins@live.com') 'Test user (live.com)'
для управления политиками секционирования данных для таблиц
- Ознакомьтесь с общими сведениями о проверке подлинности.
- Узнайте, как использовать команды управления для назначения ролей безопасности
- Узнайте, как использовать портал Azure для управления субъектами и ролями базы данных.
- current_principal_details()
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по