Panoramica del controllo di accesso

  • Articolo

Azure Esplora dati il controllo di accesso si basa sull'autenticazione e l'autorizzazione. Ogni query e comando in una risorsa di Azure Esplora dati, ad esempio un cluster o un database, deve superare sia i controlli di autenticazione che di autorizzazione.

  • Autenticazione: convalida l'identità dell'entità di sicurezza che effettua una richiesta
  • Autorizzazione: convalida che l'entità di sicurezza che effettua una richiesta è autorizzata a effettuare tale richiesta nella risorsa di destinazione

Authentication

Per eseguire l'autenticazione a livello di codice con il cluster, un client deve comunicare con Microsoft Entra ID e richiedere un token di accesso specifico per Azure Esplora dati. Il client può quindi usare il token di accesso acquisito come prova dell'identità durante l'invio di richieste al cluster.

Gli scenari di autenticazione principali sono i seguenti:

Nota

Per l'autenticazione di utenti e applicazioni, è consigliabile usare le librerie client Kusto. Se è necessaria l'autenticazione ON-behalf-of (OBO) o Single-Page Application (SPA), è necessario usare DIRETTAMENTE MSAL perché questi flussi non sono supportati dalle librerie client. Per altre informazioni, vedere Eseguire l'autenticazione con Microsoft Authentication Library (MSAL).

Autenticazione utente

L'autenticazione utente viene eseguita quando un utente presenta le credenziali per Microsoft Entra ID o un provider di identità federato con Microsoft Entra ID, ad esempio Active Directory Federation Services. L'utente ottiene un token di sicurezza che può essere presentato al servizio azure Esplora dati. Azure Esplora dati determina se il token è valido, se il token viene emesso da un'autorità emittente attendibile e quali attestazioni di sicurezza contiene il token.

Azure Esplora dati supporta i metodi di autenticazione utente seguenti, incluse le librerie client Kusto:

  • Autenticazione utente interattiva con accesso tramite l'interfaccia utente.
  • Autenticazione utente con un token di Microsoft Entra rilasciato per Azure Esplora dati.
  • Autenticazione utente con un token di Microsoft Entra rilasciato per un'altra risorsa che può essere scambiata per un token di azure Esplora dati usando l'autenticazione OBO (On-behalf-of).

Autenticazione applicazione

L'autenticazione dell'applicazione è necessaria quando le richieste non sono associate a un utente specifico o quando nessun utente è disponibile per fornire le credenziali. In questo caso, l'applicazione esegue l'autenticazione per Microsoft Entra ID o il provider di identità federato presentando informazioni segrete.

Azure Esplora dati supporta i metodi di autenticazione dell'applicazione seguenti, incluse le librerie client Kusto:

  • Autenticazione dell'applicazione con un'identità gestita di Azure.
  • Autenticazione dell'applicazione con un certificato X.509v2 installato localmente.
  • Autenticazione dell'applicazione con un certificato X.509v2 assegnato alla libreria client come flusso di byte.
  • Autenticazione dell'applicazione con un ID applicazione Microsoft Entra e una chiave applicazione Microsoft Entra. L'ID applicazione e la chiave dell'applicazione sono simili a nome utente e password.
  • Autenticazione dell'applicazione con un token di Microsoft Entra valido ottenuto in precedenza, rilasciato ad Azure Esplora dati.
  • Autenticazione dell'applicazione con un token Microsoft Entra rilasciato per un'altra risorsa che può essere scambiata per un token di Azure Esplora dati usando l'autenticazione OBO (On-behalf-of).

Autorizzazione

Prima di eseguire un'azione su una risorsa di Azure Esplora dati, tutti gli utenti autenticati devono superare un controllo di autorizzazione. Azure Esplora dati usa il modello di controllo degli accessi in base al ruolo Kusto, in cui le entità sono attribuite a uno o più ruoli di sicurezza. L'autorizzazione viene concessa purché uno dei ruoli assegnati all'utente consenta loro di eseguire l'azione specificata. Ad esempio, il ruolo Utente database concede alle entità di sicurezza il diritto di leggere i dati di un database specifico, creare tabelle nel database e altro ancora.

L'associazione delle entità di sicurezza ai ruoli di sicurezza può essere definita singolarmente o usando i gruppi di sicurezza definiti in Microsoft Entra ID. Per altre informazioni su come assegnare ruoli di sicurezza, vedere Panoramica dei ruoli di sicurezza.

Autorizzazione di gruppo

È possibile concedere l'autorizzazione a Microsoft Entra ID gruppi assegnando uno o più ruoli al gruppo.

Quando viene verificata l'autorizzazione di un utente o di un'entità applicazione, il sistema verifica innanzitutto la presenza di un'assegnazione di ruolo esplicita che consenta l'azione specifica. Se tale assegnazione di ruolo non esiste, il sistema analizza l'appartenenza dell'entità a tutti i gruppi che potrebbero potenzialmente autorizzare l'azione. Se l'entità viene confermata come membro di uno di questi gruppi, l'azione richiesta è autorizzata. In caso contrario, se l'entità non è membro di tali gruppi, l'azione non supera il controllo dell'autorizzazione e l'azione non è consentita.

Nota

Il controllo delle appartenenze ai gruppi può richiedere un utilizzo intensivo delle risorse. Poiché le appartenenze ai gruppi non cambiano di frequente, i risultati dei controlli di appartenenza vengono memorizzati nella cache. La durata della memorizzazione nella cache varia ed è influenzata da fattori quali il risultato dell'appartenenza (se l'entità è un membro o meno), il tipo di entità (utente o applicazione), tra gli altri. La durata massima della memorizzazione nella cache può estendersi fino a tre ore, mentre la durata minima è di 30 minuti.

Contenuti correlati