Autenticación con Azure Active Directory

  • Artículo
  • Tiempo de lectura: 4 minutos

Azure Active Directory (Azure AD) es un servicio de directorio en la nube multiantente. Es capaz de autenticar entidades de seguridad o federar con otros proveedores de identidades, como Microsoft Active Directory.

Azure AD permite que las aplicaciones de varios tipos se autentiquen y usen uniformemente Azure Data Explorer servicios.

Azure AD admite varios escenarios de autenticación. Si hay un usuario, autentíquenlo para Azure AD mediante la autenticación interactiva. En algunos casos, es posible que quiera que un servicio use Kusto incluso cuando no haya ningún usuario. En tales casos, autentique la aplicación mediante un secreto de aplicación o cualquier otro método admitido, como se describe en Autenticación de aplicación.

Los siguientes métodos de autenticación son compatibles con Azure Data Explorer, incluso a través de sus bibliotecas de .NET:

  • Autenticación de usuario interactiva. Este modo incluye el inicio de sesión a través de la interfaz de usuario.
  • Autenticación de usuario con un token Azure AD existente, emitido previamente para Kusto.
  • Autenticación de aplicaciones con AppID y un secreto compartido.
  • Autenticación de aplicaciones con identidad administrada de Azure.
  • Autenticación de aplicaciones con un certificado X.509v2 instalado localmente o un certificado proporcionado en línea.
  • Autenticación de aplicaciones con un token Azure AD existente, emitido anteriormente para Kusto.
  • Autenticación de usuario o aplicación con Azure AD token emitido para otro recurso. En este caso, debe existir una relación de confianza entre ese recurso y Azure Data Explorer.

Para obtener instrucciones y ejemplos, consulte la referencia de cadenas de conexión.

Autenticación de usuarios

La autenticación de usuario se produce cuando el usuario presenta credenciales a Azure AD o a algún proveedor de identidades que se federa con Azure AD, como Servicios de federación de Active Directory (AD FS) (AD FS). El usuario obtiene un token de seguridad. Ese token se puede presentar al servicio Azure Data Explorer datos. Azure Data Explorer determina si el token es válido, si lo emite un emisor de confianza y qué notificaciones de seguridad contiene el token.

En el lado cliente, Azure Data Explorer admite la autenticación interactiva y desatendida, mediante MSAL (Biblioteca de autenticación de Microsoft). También se admite la autenticación basada en tokens. Con este tipo de autenticación, una aplicación que usa Azure Data Explorer un token de usuario válido y, a continuación, puede acceder a Azure Data Explorer. Si una aplicación obtiene un token de usuario válido para algún otro recurso, debe haber una relación de confianza entre ese recurso y Azure Data Explorer.

Autenticación de la aplicación

Cuando las solicitudes no están asociadas a un usuario específico o no hay ningún usuario disponible para escribir credenciales, puede usar el proceso de autenticación Azure AD aplicación en su lugar. La aplicación se autentica para Azure AD (o para el proveedor de identidades federado) mediante la presentación de información secreta. Los distintos clientes de Kusto admiten los siguientes escenarios de autenticación de aplicaciones:

  • Mediante un certificado X.509v2 instalado localmente.
  • Mediante el uso de un certificado X.509v2 dado a la biblioteca cliente como una secuencia de bytes.
  • Mediante el uso de un Azure AD de aplicación y una clave de aplicación asociada. (Esto equivale a la autenticación de nombre de usuario y contraseña para las aplicaciones).
  • Mediante una identidad administrada de Azure, asociada al servicio que se comunica con Azure Data Explorer.
  • Mediante el uso de un token de Azure AD válido obtenido previamente (emitido para Kusto).
  • Mediante el uso de un token de Azure AD válido obtenido previamente (emitido para algún otro recurso). En este caso, debe haber una relación de confianza entre ese recurso y Kusto.

Azure AD permisos de aplicación de servidor

Por lo general, Azure AD aplicación de servicio puede definir varios permisos, como de solo lectura o de lectura y escritura. La Azure AD cliente puede decidir qué permisos necesita cuando solicita un token de autorización. Como parte de la adquisición del token, se pide al usuario que autorice Azure AD la aplicación cliente de Azure AD para que actúe en nombre del usuario, con autorización para tener estos permisos. Si el usuario aprueba, estos permisos aparecen en la notificación de ámbito del token emitido para la Azure AD cliente.

La Azure AD cliente está configurada para solicitar el permiso Access Kusto al usuario. Tenga en cuenta Azure AD hace referencia al usuario como propietario del recurso.

SDK de cliente de Kusto como aplicación Azure AD cliente

Cuando la biblioteca cliente de Kusto invoca a MSAL para adquirir un token para comunicarse con Kusto, proporciona la siguiente información:

  • El Azure AD uri de la entidad de certificación (https://login.microsoftonline.com en azure global) y el Azure AD, tal y como se recibió del autor de la llamada.
  • El Azure AD de la aplicación cliente.
  • Para la autenticación de aplicaciones, Azure AD de la aplicación cliente (un secreto o certificado).
  • Para la autenticación de usuario, Azure AD aplicación ReplyUrl cliente (la dirección URL a la que Azure AD redirige, después de que la autenticación se complete correctamente). A continuación, MSAL captura este redireccionamiento y extrae el código de autorización de él.
  • Uri del clúster (normalmente https://cluster.region.kusto.windows.net en azure global).

El token devuelto por MSAL a la biblioteca cliente de Kusto tiene el Azure Data Explorer como audiencia.

Autenticación mediante programación

En los artículos siguientes se explica cómo autenticarse en Kusto con Azure AD programación: