Riferimento alle entità di sicurezza
Il modello di autorizzazione di Azure Esplora dati consente l'uso di identità utente e applicazioni Microsoft Entra e account Microsoft (MSA) come entità di sicurezza. Questo articolo fornisce una panoramica dei tipi di entità supportati per Microsoft Entra ID e MSA e illustra come fare riferimento correttamente a queste entità quando si assegnano ruoli di sicurezza usando i comandi di gestione.
Microsoft Entra ID
Il modo consigliato per accedere al cluster consiste nell'autenticare il servizio Microsoft Entra. Microsoft Entra ID è un provider di identità in grado di autenticare le entità di sicurezza e di coordinare con altri provider di identità, ad esempio Active Directory di Microsoft.
Microsoft Entra ID supporta gli scenari di autenticazione seguenti:
- Autenticazione utente (accesso interattivo): usata per autenticare le entità umane.
- Autenticazione dell'applicazione (accesso non interattivo): usata per autenticare servizi e applicazioni che devono eseguire o autenticare senza interazione utente.
Nota
- Microsoft Entra ID non consente l'autenticazione degli account di servizio che sono in base alla definizione di entità AD locali. L'equivalente Microsoft Entra di un account del servizio ACTIVE è l'applicazione Microsoft Entra.
- Sono supportate solo le entità gruppo di sicurezza (SG) e non le entità gruppo di distribuzione (DG). Un tentativo di configurare l'accesso per una DG nel cluster genera un errore.
Riferimento a Microsoft Entra entità e gruppi
La sintassi per fare riferimento Microsoft Entra entità utente e applicazioni e gruppi è descritta nella tabella seguente.
Se si usa un nome entità utente (UPN) per fare riferimento a un'entità utente e verrà eseguito un tentativo di dedurre il tenant dal nome di dominio e provare a trovare l'entità. Se l'entità non viene trovata, specificare in modo esplicito l'ID tenant o il nome oltre all'ID UPN o all'ID oggetto dell'utente.
Analogamente, è possibile fare riferimento a un gruppo di sicurezza con l'indirizzo di posta elettronica del gruppo in formato UPN e verrà eseguito un tentativo di dedurre il tenant dal nome di dominio. Se il gruppo non viene trovato, specificare in modo esplicito l'ID tenant o il nome oltre al nome visualizzato del gruppo o all'ID oggetto.
| Tipo di entità | Microsoft Entra tenant | Sintassi |
|---|---|---|
| Utente | Implicita | aaduser=UPN |
| Utente | Esplicito (ID) | aaduser=UPN; TenantIdoppure aaduser=ObjectID; TenantId |
| Utente | Esplicito (nome) | aaduser=UPN; TenantNameoppure aaduser=ObjectID; TenantName |
| Raggruppare | Implicita | aadgroup=GroupEmailAddress |
| Raggruppare | Esplicito (ID) | aadgroup=GroupDisplayName; TenantIdoppure aadgroup=GroupObjectId; TenantId |
| Raggruppare | Esplicito (nome) | aadgroup=GroupDisplayName; TenantNameoppure aadgroup=GroupObjectId; TenantName |
| App | Esplicito (ID) | aadapp=ApplicationDisplayName; TenantIdoppure aadapp=ApplicationId; TenantId |
| App | Esplicito (nome) | aadapp=ApplicationDisplayName; TenantNameoppure aadapp=ApplicationId; TenantName |
Nota
Usare il formato "App" per fare riferimento alle identità gestite, in cui ApplicationId è l'ID oggetto identity gestito o l'ID client di identità gestita (applicazione).
Esempio
Nell'esempio seguente viene usato l'UPN utente per definire un'entità ruolo utente nel Test database. Le informazioni sul tenant non sono specificate, quindi il cluster tenterà di risolvere il tenant Microsoft Entra usando l'UPN.
.add database Test users ('aaduser=imikeoein@fabrikam.com') 'Test user (AAD)'
Nell'esempio seguente viene usato un nome di gruppo e un nome tenant per assegnare il gruppo al ruolo utente nel Test database.
.add database Test users ('aadgroup=SGDisplayName;fabrikam.com') 'Test group @fabrikam.com (AAD)'
Nell'esempio seguente viene usato un ID app e un nome tenant per assegnare all'app il ruolo utente nel Test database.
.add database Test users ('aadapp=4c7e82bd-6adb-46c3-b413-fdd44834c69b;fabrikam.com') 'Test app @fabrikam.com (AAD)'
Account Microsoft
L'autenticazione utente per gli account Microsoft (MSAs) è supportata. Gli account utente non aziendali gestiti da Microsoft sono tutti gli account utente gestiti da Microsoft. Ad esempio hotmail.com, live.com, outlook.com.
Riferimento alle entità MSA
| IdP | Tipo | Sintassi |
|---|---|---|
| Live.com | Utente | msauser=UPN |
Esempio
Nell'esempio seguente viene assegnato un utente MSA al ruolo utente nel Test database.
.add database Test users ('msauser=abbiatkins@live.com') 'Test user (live.com)'
per gestire i criteri di partizionamento dei dati per le tabelle
- Leggere la panoramica dell'autenticazione
- Informazioni su come usare i comandi di gestione per assegnare ruoli di sicurezza
- Informazioni su come usare il portale di Azure per gestire entità e ruoli del database
- current_principal_details()
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per