Güvenlik sorumlularına başvurma
Azure Veri Gezgini yetkilendirme modeli, Microsoft Entra kullanıcı ve uygulama kimliklerinin ve Microsoft Hesaplarının (MSA) güvenlik sorumlusu olarak kullanılmasına olanak tanır. Bu makalede, hem Microsoft Entra kimliği hem de MSA'lar için desteklenen sorumlu türlerine genel bir bakış sağlanır ve yönetim komutlarını kullanarak güvenlik rollerini atarken bu sorumlulara nasıl düzgün başvurulduğunu gösterir.
Microsoft Entra Kimlik
Kümenize erişmenin önerilen yolu, Microsoft Entra hizmetinde kimlik doğrulaması yapmaktır. Microsoft Entra Kimliği, güvenlik sorumlularının kimliğini doğrulayabilen ve Microsoft'un Active Directory'si gibi diğer kimlik sağlayıcılarıyla koordinasyon sağlayabilen bir kimlik sağlayıcısıdır.
Microsoft Entra Kimliği aşağıdaki kimlik doğrulama senaryolarını destekler:
- Kullanıcı kimlik doğrulaması (etkileşimli oturum açma): İnsan sorumluların kimliğini doğrulamak için kullanılır.
- Uygulama kimlik doğrulaması (etkileşimli olmayan oturum açma): Kullanıcı etkileşimi olmadan çalışması veya kimlik doğrulaması gerektiren hizmetlerin ve uygulamaların kimliğini doğrulamak için kullanılır.
Not
- Microsoft Entra kimliği, tanım gereği şirket içi AD varlıkları olan hizmet hesaplarının kimlik doğrulamasına izin vermez. AD hizmet hesabının Microsoft Entra eşdeğeri, Microsoft Entra uygulamasıdır.
- Yalnızca Güvenlik Grubu (SG) sorumlularını destekler; Dağıtım Grubu (DG) sorumluları desteklenmez. Kümedeki bir DG için erişim ayarlama girişimi hataya neden olur.
Microsoft Entra sorumlularına ve gruplarına başvurma
Kullanıcı ve uygulama sorumluları ile grupları Microsoft Entra başvurma söz dizimi aşağıdaki tabloda özetlenmiştir.
Kullanıcı sorumlusuna başvurmak için Bir Kullanıcı Asıl Adı (UPN) kullanırsanız ve kiracıyı etki alanı adından çıkarsamaya ve sorumluyu bulmaya çalışırsanız. Sorumlu bulunamazsa, kullanıcının UPN veya nesne kimliğine ek olarak kiracı kimliğini veya adını açıkça belirtin.
Benzer şekilde, grup e-posta adresi UPN biçiminde olan bir güvenlik grubuna başvurabilirsiniz ve kiracıyı etki alanı adından çıkarsama girişiminde bulunulacaktır. Grup bulunamazsa, grup görünen adına veya nesne kimliğine ek olarak kiracı kimliğini veya adını açıkça belirtin.
| Varlık Türü | Microsoft Entra kiracı | Syntax |
|---|---|---|
| Kullanıcı | Örtük | aaduser=UPN |
| Kullanıcı | Açık (Kimlik) | aaduser=UPN; Kiracı Kimliğiveya aaduser=ObjectID; Kiracı Kimliği |
| Kullanıcı | Açık (Ad) | aaduser=UPN; TenantNameveya aaduser=ObjectID; TenantName |
| Grup | Örtük | aadgroup=GroupEmailAddress |
| Grup | Açık (Kimlik) | aadgroup=GroupDisplayName; Kiracı Kimliğiveya aadgroup=GroupObjectId; Kiracı Kimliği |
| Grup | Açık (Ad) | aadgroup=GroupDisplayName; TenantNameveya aadgroup=GroupObjectId; TenantName |
| Uygulama | Açık (Kimlik) | aadapp=ApplicationDisplayName; Kiracı Kimliğiveya aadapp=ApplicationId; Kiracı Kimliği |
| Uygulama | Açık (Ad) | aadapp=ApplicationDisplayName; TenantNameveya aadapp=ApplicationId; TenantName |
Not
ApplicationId değerinin yönetilen kimlik nesne kimliği veya yönetilen kimlik istemcisi (uygulama) kimliği olduğu yönetilen kimliklere başvurmak için "Uygulama" biçimini kullanın.
Örnekler
Aşağıdaki örnek, veritabanında kullanıcı rolünün sorumlusunu tanımlamak için kullanıcı UPN'sini Test kullanır. Kiracı bilgileri belirtilmediğinden kümeniz UPN kullanarak Microsoft Entra kiracıyı çözümlemeyi dener.
.add database Test users ('aaduser=imikeoein@fabrikam.com') 'Test user (AAD)'
Aşağıdaki örnek, grubu veritabanındaki kullanıcı rolüne Test atamak için bir grup adı ve kiracı adı kullanır.
.add database Test users ('aadgroup=SGDisplayName;fabrikam.com') 'Test group @fabrikam.com (AAD)'
Aşağıdaki örnekte, uygulamaya veritabanındaki kullanıcı rolünü Test atamak için bir uygulama kimliği ve kiracı adı kullanılır.
.add database Test users ('aadapp=4c7e82bd-6adb-46c3-b413-fdd44834c69b;fabrikam.com') 'Test app @fabrikam.com (AAD)'
Microsoft Hesapları (MSA)
Microsoft Hesapları (MSA) için kullanıcı kimlik doğrulaması desteklenir. MSA'lar, Microsoft tarafından yönetilen kuruluş dışı kullanıcı hesaplarının tümüdir. Örneğin, hotmail.com, live.com, outlook.com.
MSA sorumlularına başvurma
| IdP | Tür | Syntax |
|---|---|---|
| Live.com | Kullanıcı | msauser=UPN |
Örnek
Aşağıdaki örnek, veritabanındaki kullanıcı rolüne Test bir MSA kullanıcısı atar.
.add database Test users ('msauser=abbiatkins@live.com') 'Test user (live.com)'
tablolar için veri bölümleme ilkelerini yönetmek için
- Kimlik doğrulamasına genel bakışı okuyun
- Güvenlik rolleri atamak için yönetim komutlarını kullanmayı öğrenin
- Veritabanı sorumlularını ve rollerini yönetmek için Azure portal kullanmayı öğrenin
- current_principal_details()
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin