Autoriser les requêtes et les commandes interlocataires

Les principaux de plusieurs locataires peuvent exécuter des requêtes et des commandes dans un seul cluster Azure Data Explorer. Dans cet article, vous allez apprendre à accorder au cluster l’accès aux principaux à partir d’un autre locataire.

Pour définir le trustedExternalTenants sur le cluster, utilisez des modèles ARM, AZ CLI, PowerShell, Azure Resource Explorer ou envoyez une demande d’API.

Les exemples suivants montrent comment définir des locataires approuvés dans le portail et avec une demande d’API.

Notes

Le principal qui exécutera des requêtes ou des commandes doit également avoir un rôle de base de données approprié. Consultez également contrôle d’accès en fonction du rôle. La validation des rôles corrects a lieu après la validation des locataires externes approuvés.

Portail

1. Dans le portail Azure, accédez à la page de votre cluster Azure Data Explorer.

2. Dans le menu de gauche sous Paramètres, sélectionnez Sécurité.

3. Définissez les autorisations de locataires souhaitées.

API

Syntaxe

Autoriser des locataires spécifiques

trustedExternalTenants: [ {"value": "tenantId1" }, { "value": "tenantId2" }, ... ]

Autoriser tous les locataires

Le tableau trustedExternalTenants prend également en charge la notation étoile (« * ») de tous les locataires, qui autorise les requêtes et les commandes de tous les locataires.

trustedExternalTenants: [ { "value": "*" }]

Notes

La valeur par défaut de trustedExternalTenants est tous les locataires : [ { "value": "*" }]. Si le tableau de locataires externes n’a pas été défini lors de la création du cluster, il peut être remplacé par une opération de mise à jour de cluster. Un tableau vide signifie que seules les identités du locataire de clusters sont autorisées à s’authentifier auprès de ce cluster.

En savoir plus sur les conventions de syntaxe.

Exemples

L’exemple suivant permet à des locataires spécifiques d’exécuter des requêtes sur le cluster :

{
    "properties": { 
        "trustedExternalTenants": [
            { "value": "tenantId1" }, 
            { "value": "tenantId2" }, 
            ...
        ]
    }
}

L’exemple suivant permet à tous les locataires d’exécuter des requêtes sur le cluster :

{
    "properties": { 
        "trustedExternalTenants": [  { "value": "*" }  ]
    }
}

Mettre à jour le cluster

Mettez à jour le cluster en effectuant l’opération suivante :

PATCH https://management.azure.com/subscriptions/12345678-1234-1234-1234-123456789098/resourceGroups/kustorgtest/providers/Microsoft.Kusto/clusters/kustoclustertest?api-version=2020-09-18

Ajouter des principaux

Après avoir mis à jour la trustedExternalTenants propriété, vous pouvez accorder l’accès aux principaux des locataires approuvés. Utilisez le Portail Azure pour accorder à un cluster principal des autorisations ou des autorisationsde base de données. Vous pouvez également utiliser des commandes de gestion pour donner accès à une base de données, à une table, à une fonction ou à un niveau d’affichage matérialisé.

Limites

La configuration de cette fonctionnalité s’applique uniquement aux identités Microsoft Entra (utilisateurs, applications, groupes) qui tentent de se connecter à Azure Data Explorer. Elle n’a aucun impact sur l’ingestion Microsoft Entra croisée.