Referencia a entidades de seguridad
El modelo de autorización de Azure Data Explorer permite el uso de Microsoft Entra identidades de usuario y aplicación y cuentas de Microsoft (MSA) como entidades de seguridad. En este artículo se proporciona información general sobre los tipos de entidad de seguridad admitidos para Microsoft Entra id. y MSAs, y se muestra cómo hacer referencia correctamente a estas entidades de seguridad al asignar roles de seguridad mediante comandos de administración.
Id. de Microsoft Entra
La manera recomendada de acceder al clúster es autenticando en el servicio Microsoft Entra. Microsoft Entra id. es un proveedor de identidades capaz de autenticar entidades de seguridad y coordinarse con otros proveedores de identidades, como Active Directory de Microsoft.
Microsoft Entra id. admite los siguientes escenarios de autenticación:
- Autenticación de usuarios (inicio de sesión interactivo): se usa para autenticar entidades de seguridad humanas.
- Autenticación de aplicaciones (inicio de sesión no interactivo): se usa para autenticar servicios y aplicaciones que tienen que ejecutarse o autenticarse sin interacción del usuario.
Nota
- Microsoft Entra id. no permite la autenticación de cuentas de servicio que son por definición entidades de AD locales. El Microsoft Entra equivalente de una cuenta de servicio de AD es la aplicación Microsoft Entra.
- Solo admite entidades de seguridad de grupo de seguridad (SG) y no se admiten entidades de seguridad de grupo de distribución (DG). Un intento de configurar el acceso para una DG en el clúster producirá un error.
Hacer referencia a entidades de seguridad y grupos de Microsoft Entra
La sintaxis para hacer referencia a Microsoft Entra usuarios y entidades de seguridad y grupos de aplicaciones se describe en la tabla siguiente.
Si usa un nombre principal de usuario (UPN) para hacer referencia a una entidad de seguridad de usuario y se intentará deducir el inquilino del nombre de dominio e intentar encontrar la entidad de seguridad. Si no se encuentra la entidad de seguridad, especifique explícitamente el identificador de inquilino o el nombre, además del UPN o el identificador de objeto del usuario.
Del mismo modo, puede hacer referencia a un grupo de seguridad con la dirección de correo electrónico del grupo en formato UPN y se intentará deducir el inquilino del nombre de dominio. Si no se encuentra el grupo, especifique explícitamente el identificador de inquilino o el nombre, además del nombre para mostrar del grupo o el identificador de objeto.
| Tipo de entidad | Inquilino de Microsoft Entra | Syntax |
|---|---|---|
| Usuario | Implícita | aaduser=UPN |
| Usuario | Explícito (id. ) | aaduser=UPN; TenantIdo aaduser=ObjectID; TenantId |
| Usuario | Explícito (nombre) | aaduser=UPN; TenantNameo aaduser=ObjectID; TenantName |
| Grupo | Implícita | aadgroup=GroupEmailAddress |
| Grupo | Explícito (id. ) | aadgroup=GroupDisplayName; TenantIdo aadgroup=GroupObjectId; TenantId |
| Grupo | Explícito (nombre) | aadgroup=GroupDisplayName; TenantNameo aadgroup=GroupObjectId; TenantName |
| Aplicación | Explícito (id. ) | aadapp=ApplicationDisplayName; TenantIdo aadapp=ApplicationId; TenantId |
| Aplicación | Explícito (nombre) | aadapp=ApplicationDisplayName; TenantNameo aadapp=ApplicationId; TenantName |
Nota
Use el formato "App" para hacer referencia a identidades administradas, en las que ApplicationId es el identificador de objeto de identidad administrada o el identificador de cliente de identidad administrada (aplicación).
Ejemplos
En el ejemplo siguiente se usa el UPN de usuario para definir una entidad de seguridad del rol de usuario en la Test base de datos. No se especifica la información del inquilino, por lo que el clúster intentará resolver el inquilino de Microsoft Entra mediante el UPN.
.add database Test users ('aaduser=imikeoein@fabrikam.com') 'Test user (AAD)'
En el ejemplo siguiente se usa un nombre de grupo y un nombre de inquilino para asignar el grupo al rol de usuario en la Test base de datos.
.add database Test users ('aadgroup=SGDisplayName;fabrikam.com') 'Test group @fabrikam.com (AAD)'
En el ejemplo siguiente se usa un identificador de aplicación y un nombre de inquilino para asignar a la aplicación el rol de usuario en la Test base de datos.
.add database Test users ('aadapp=4c7e82bd-6adb-46c3-b413-fdd44834c69b;fabrikam.com') 'Test app @fabrikam.com (AAD)'
Cuentas Microsoft (MSA)
Se admite la autenticación de usuario para cuentas Microsoft (MSA). Todas las MSA son todas las cuentas de usuario no organizativas administradas por Microsoft. Por ejemplo: hotmail.com, live.com y outlook.com.
Referencia a entidades de seguridad de MSA
| IdP | Tipo | Sintaxis |
|---|---|---|
| Live.com | Usuario | msauser=UPN |
Ejemplo
En el ejemplo siguiente se asigna un usuario de MSA al rol de usuario en la Test base de datos.
.add database Test users ('msauser=abbiatkins@live.com') 'Test user (live.com)'
para administrar directivas de creación de particiones de datos para tablas
- Lea la introducción a la autenticación.
- Aprenda a usar comandos de administración para asignar roles de seguridad
- Aprenda a usar el Azure Portal para administrar entidades de seguridad y roles de base de datos.
- current_principal_details()
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de