Entidades de seguridad y proveedores de identidades
El modelo de autorización admite varios proveedores de identidades (IDP) y varios tipos de entidad de seguridad. En este artículo se revisan los tipos de entidad de seguridad admitidos y se muestra su uso con los comandos de asignación de roles.
Azure Active Directory
Azure Active Directory (Azure AD) es el proveedor de identidades y el servicio de directorio en la nube multiinquilino preferido de Azure. Es capaz de autenticar entidades de seguridad o federarse con otros proveedores de identidades, como Active Directory (AD) de Microsoft.
Azure AD es el método preferido para autenticarse en el clúster. Admite los siguientes escenarios de autenticación:
- Autenticación de usuarios (inicio de sesión interactivo): se usa para autenticar entidades de seguridad humanas.
- Autenticación de aplicaciones (inicio de sesión no interactivo): se usa para autenticar servicios y aplicaciones que tienen que ejecutarse o autenticarse sin interacción del usuario.
Nota:
Azure AD no permite la autenticación de cuentas de servicio que son por definición entidades de AD locales. El equivalente de Azure AD de una cuenta de servicio de AD es la aplicación de Azure AD.
Entidades de seguridad de grupo de Azure AD
Azure Data Explorer solo admite entidades de seguridad de grupo de seguridad (SG) y no entidades de seguridad del grupo de distribución (DG). Un intento de configurar el acceso para una DG en el clúster producirá un error.
Inquilinos de Azure AD
Si no se especifica explícitamente un inquilino de Azure AD, se intentará resolverlo desde el nombre principal universal (UPN) (por ejemplo, johndoe@fabrikam.com), si se proporciona. Si la entidad de seguridad no incluye la información del inquilino en el formulario UPN, debe mencionarla explícitamente anexando el identificador de inquilino o el nombre al descriptor principal.
Ejemplos de entidades de seguridad de Azure AD
| Inquilino de Azure AD | Tipo | Sintaxis |
|---|---|---|
| Implícito (UPN) | Usuario | aaduser=UserEmailAddress |
| Explícito (id. ) | Usuario | aaduser=UserEmailAddress;TenantId o aaduser=ObjectID;TenantId |
| Explícito (nombre) | Usuario | aaduser=UserEmailAddress;TenantName o aaduser=ObjectID;TenantName |
| Implícito (UPN) | Grupo | aadgroup=GroupEmailAddress |
| Explícito (id. ) | Grupo | aadgroup=GroupObjectId;TenantId oaadgroup=GroupDisplayName;TenantId |
| Explícito (nombre) | Grupo | aadgroup=GroupObjectId;TenantName oaadgroup=GroupDisplayName;TenantName |
| Explícito (UPN) | Aplicación | aadapp=ApplicationDisplayName;TenantId |
| Explícito (nombre) | Aplicación | aadapp=ApplicationId;TenantName |
// No need to specify Azure AD tenant for UPN, because query engine attempts to perform the resolution by itself
.add database Test users ('aaduser=imikeoein@fabrikam.com') 'Test user (AAD)'
// Azure AD SG on 'fabrikam.com' tenant
.add database Test users ('aadgroup=SGDisplayName;fabrikam.com') 'Test group @fabrikam.com (AAD)'
// Azure AD App on 'fabrikam.com' tenant - by tenant name
.add database Test users ('aadapp=4c7e82bd-6adb-46c3-b413-fdd44834c69b;fabrikam.com') 'Test app @fabrikam.com (AAD)'
Cuentas Microsoft (MSA)
La cuenta microsoft (MSA) es el término para todas las cuentas de usuario no organizativas administradas por Microsoft (por ejemplo, hotmail.com, live.com, outlook.com). Azure Data Explorer admite la autenticación de usuarios para MSA identificadas por su UPN; no hay ningún concepto de grupos de seguridad.
No se intentará resolver los UPN cuando se configure una entidad de seguridad de MSA en él.
Ejemplos de ENTIDADES de seguridad de MSA
| IdP | Tipo | Sintaxis |
|---|---|---|
| Live.com | Usuario | msauser=john.doe@live.com` |
.add database Test users ('msauser=john.doe@live.com') 'Test user (live.com)'