Erişim denetimine genel bakış

Azure Veri Gezgini erişim denetimi kimlik doğrulaması ve yetkilendirmeyi temel alır. Küme veya veritabanı gibi bir Azure Veri Gezgini kaynağındaki her sorgu ve komutun hem kimlik doğrulama hem de yetkilendirme denetimlerini geçirmesi gerekir.

• Kimlik Doğrulaması: İstekte bulunan güvenlik sorumlusunun kimliğini doğrular
• Yetkilendirme: İstekte bulunan güvenlik sorumlusunun hedef kaynakta istekte bulunma izni olduğunu doğrular

Kimlik Doğrulaması

Kümenizle program aracılığıyla kimlik doğrulaması yapmak için istemcinin Microsoft Entra ID ile iletişim kurması ve Azure Veri Gezgini özgü bir erişim belirteci istemesi gerekir. Ardından istemci, kümenize istekler oluştururken kimlik kanıtı olarak alınan erişim belirtecini kullanabilir.

Ana kimlik doğrulama senaryoları şunlardır:

• Kullanıcı kimlik doğrulaması: İnsan kullanıcıların kimliğini doğrulamak için kullanılır.
• Uygulama kimlik doğrulaması: Yapılandırılmış kimlik bilgilerini kullanarak insan müdahalesi olmadan kaynaklara erişmesi gereken bir uygulamanın kimliğini doğrulamak için kullanılır.
• Adına (OBO) kimlik doğrulaması: Bir uygulamanın kusto hizmetine erişmek için bir belirteçle belirli bir uygulama için belirteç değiştirmesine izin verir. Bu akışın MSAL ile uygulanması gerekir.
• Tek sayfalı uygulama (SPA) kimlik doğrulaması: İstemci tarafı SPA web uygulamalarının kullanıcıları oturum açmasına ve kümenize erişmek için belirteçler almasına izin verir. Bu akışın MSAL ile uygulanması gerekir.

Not

Kullanıcı ve uygulama kimlik doğrulaması için Kusto istemci kitaplıklarını kullanmanızı öneririz. Adına (OBO) veya Single-Page Uygulaması (SPA) kimlik doğrulamasına ihtiyacınız varsa, bu akışlar istemci kitaplıkları tarafından desteklenmediğinden MSAL'yi doğrudan kullanmanız gerekir. Daha fazla bilgi için bkz. Microsoft Authentication Library (MSAL) ile kimlik doğrulama.

Kullanıcı kimlik doğrulaması

Kullanıcı kimlik doğrulaması, bir kullanıcı kimlik bilgilerini Microsoft Entra ID veya Microsoft Entra ID ile federasyon oluşturan bir kimlik sağlayıcısına (Active Directory Federasyon Hizmetleri (AD FS) gibi) sunduğunda gerçekleşir. Kullanıcı, Azure Veri Gezgini hizmetine sunulabilecek bir güvenlik belirtecini geri alır. Azure Veri Gezgini belirtecin geçerli olup olmadığını, belirtecin güvenilir veren tarafından verilip verilmediğini ve belirtecin hangi güvenlik taleplerini içerdiğini belirler.

Azure Veri Gezgini, Kusto istemci kitaplıkları da dahil olmak üzere aşağıdaki kullanıcı kimlik doğrulaması yöntemlerini destekler:

• Kullanıcı arabirimi aracılığıyla oturum açma ile etkileşimli kullanıcı kimlik doğrulaması.
• Azure Veri Gezgini için verilen Microsoft Entra belirteci ile kullanıcı kimlik doğrulaması.
• Bir Azure Veri Gezgini belirteci için On-behalf-of (OBO) kimlik doğrulaması kullanılarak değiştirilebilen başka bir kaynak için verilen Microsoft Entra belirteci ile kullanıcı kimlik doğrulaması.

Uygulama kimlik doğrulaması

İstekler belirli bir kullanıcıyla ilişkilendirilmeyen veya kimlik bilgilerini sağlamak için kullanılabilir kullanıcı olmadığında uygulama kimlik doğrulaması gerekir. Bu durumda, uygulama gizli bilgileri sunarak Microsoft Entra ID veya federasyon IdP'sinde kimlik doğrulaması yapar.

Azure Veri Gezgini, Kusto istemci kitaplıkları da dahil olmak üzere aşağıdaki uygulama kimlik doğrulaması yöntemlerini destekler:

• Azure yönetilen kimliğiyle uygulama kimlik doğrulaması.
• Yerel olarak yüklenmiş bir X.509v2 sertifikasıyla uygulama kimlik doğrulaması.
• İstemci kitaplığına bayt akışı olarak verilen X.509v2 sertifikasıyla uygulama kimlik doğrulaması.
• Microsoft Entra uygulama kimliği ve Microsoft Entra uygulama anahtarı ile uygulama kimlik doğrulaması. Uygulama kimliği ve uygulama anahtarı, kullanıcı adı ve parola gibidir.
• Azure Veri Gezgini'a verilen, daha önce elde edilen geçerli bir Microsoft Entra belirteci ile uygulama kimlik doğrulaması.
• Bir Azure Veri Gezgini belirteci için On-behalf-of (OBO) kimlik doğrulaması kullanılarak değiştirilebilen başka bir kaynak için verilen Microsoft Entra belirteci ile uygulama kimlik doğrulaması.

Yetkilendirme

Azure Veri Gezgini kaynağında eylem gerçekleştirmeden önce, kimliği doğrulanmış tüm kullanıcıların yetkilendirme denetimi geçirmesi gerekir. Azure Veri Gezgini, sorumluların bir veya daha fazla güvenlik rolüne atandığı Kusto rol tabanlı erişim denetimi modelini kullanır. Kullanıcıya atanan rollerden biri belirtilen eylemi gerçekleştirmesine izin verdiği sürece yetkilendirme verilir. Örneğin, Veritabanı Kullanıcısı rolü güvenlik sorumlularına belirli bir veritabanının verilerini okuma, veritabanında tablo oluşturma ve daha fazlasını verme hakkı verir.

Güvenlik sorumlularının güvenlik rolleri ile ilişkisi tek tek veya Microsoft Entra ID tanımlanan güvenlik grupları kullanılarak tanımlanabilir. Güvenlik rollerini atama hakkında daha fazla bilgi için bkz . Güvenlik rollerine genel bakış.

Grup yetkilendirmesi

Gruba bir veya daha fazla rol atanarak Microsoft Entra ID gruplara yetkilendirme verilebilir.

Bir kullanıcı veya uygulama sorumlusunun yetkilendirmesi denetlendiğinde, sistem önce belirli bir eyleme izin verilen açık bir rol atamasını denetler. Böyle bir rol ataması yoksa sistem, eylemi yetkilendirebilecek tüm gruplar genelinde sorumlunun üyeliğini analiz eder. Sorumlunun bu gruplardan herhangi birinin üyesi olduğu onaylanırsa, istenen eylem yetkilendirilmiştir. Aksi takdirde, sorumlu bu tür grupların üyesi değilse, eylem yetkilendirme denetimini geçirmez ve eyleme izin verilmez.

Not

Grup üyeliklerinin denetlenme süresi yoğun olabilir. Grup üyelikleri sık değişmediğinden, üyelik denetimlerinin sonuçları önbelleğe alınır. Önbelleğe alma süresi değişir ve üyelik sonucu (sorumlunun üye olup olmadığı), sorumlunun türü (kullanıcı veya uygulama) gibi faktörlerden etkilenir. En uzun önbelleğe alma süresi üç saate kadar, minimum süre ise 30 dakikadır.

İlgili içerik

• Kusto rol tabanlı erişim denetimini anlama.
• Kullanıcı veya uygulama kimlik doğrulaması için Kusto istemci kitaplıklarını kullanın.
• OBO veya SPA kimlik doğrulaması için bkz. Microsoft Authentication Library (MSAL) ile kimlik doğrulaması.