Субъекты и поставщики удостоверений

Модель авторизации Kusto поддерживает несколько поставщиков удостоверений (поставщиков удостоверений) и несколько типов субъектов. В этой статье рассматриваются поддерживаемые типы участников и демонстрируется их использование с командами назначения ролей.

Azure Active Directory

Azure Active Directory (AAD) — предпочтительная служба облачного каталога и поставщик удостоверений Azure, способная выполнять проверку подлинности субъектов безопасности или федерацию с другими поставщиками удостоверений, например с помощью Active Directory корпорации майкрософт.

AAD является предпочтительным методом проверки подлинности в Kusto. Эта служба поддерживает несколько сценариев проверки подлинности:

  • Аутентификация пользователей (интерактивный вход в систему). Используется для аутентификации субъектов, представляющих людей.
  • Проверка подлинности приложений (неинтерактивный вход в систему). Используется для проверки подлинности служб и приложений, которые должны запускаться и (или) проходить проверку подлинности без участия пользователя.

Примечание

Azure Active Directory не разрешает проверку подлинности учетных записей служб (которые определяются локальными сущностями AD). AAD аналогом учетной записи службы AD является AAD приложение.

субъекты групп AAD

Kusto поддерживает только субъекты группы безопасности (а не группы распространения). Попытка настроить доступ к группе рассылки в кластере Kusto приведет к ошибке.

клиенты AAD

если AAD клиент не указан явно, Kusto попытается разрешить его из имени участника-пользователя (универсалпринЦипалнаме, например, johndoe@fabrikam.com ), если оно предоставлено. Если участник не содержит сведений о клиенте (не в форме UPN), необходимо явно указать его, добавив идентификатор клиента или имя в дескриптор участника.

примеры для участников AAD

Клиент AAD Type Синтаксис
Implicit (UPN) Пользователь aaduser=aaduser=
Explicit (идентификатор) Пользователь aaduser=aaduser=;; или aaduser=aaduser=;;
Explicit (имя) Пользователь aaduser=aaduser=;; или aaduser=aaduser=;;
Implicit (UPN) Group aadgroup=aadgroup=
Explicit (идентификатор) Group aadgroup=aadgroup=;; или aadgroup=aadgroup=;;
Explicit (имя) Group aadgroup=aadgroup=;; или aadgroup=aadgroup=;;
Explicit (UPN) Приложение aadapp=aadapp;= клиента
Explicit (имя) Приложение aadapp=aadapp=;;
// No need to specify AAD tenant for UPN, as Kusto performs the resolution by itself
.add database Test users ('aaduser=imikeoein@fabrikam.com') 'Test user (AAD)'

// AAD SG on 'fabrikam.com' tenant
.add database Test users ('aadgroup=SGDisplayName;fabrikam.com') 'Test group @fabrikam.com (AAD)'

// AAD App on 'fabrikam.com' tenant - by tenant name
.add database Test users ('aadapp=4c7e82bd-6adb-46c3-b413-fdd44834c69b;fabrikam.com') 'Test app @fabrikam.com (AAD)'

Учетные записи Майкрософт (MSA)

Термин "Учетные записи Майкрософт (MSA)" объединяет все управляемые корпорацией Майкрософт учетные записи пользователей, не принадлежащие конкретным организациям, например hotmail.com, live.com или outlook.com. Kusto поддерживает проверку подлинности для пользователей по MSA (обратите внимание, что этом случае не используются группы безопасности), которые идентифицируются по универсальным именам участников-пользователей. Если субъект MSA настроен в ресурсе Kusto, Kusto не будет пытаться разрешить предоставленное имя участника-пользователя.

Примеры для участников MSA

IdP Type Синтаксис
Live.com Пользователь msauser=john.doe@live.com`
.add database Test users ('msauser=john.doe@live.com') 'Test user (live.com)'