Referera till säkerhetsobjekt
Azure Data Explorer-auktoriseringsmodellen tillåter användning av Microsoft Entra användar- och programidentiteter och Microsoft-konton (MSA) som säkerhetsobjekt. Den här artikeln innehåller en översikt över de huvudnamnstyper som stöds för både Microsoft Entra-ID och MSA och visar hur du korrekt refererar till dessa huvudkonton när du tilldelar säkerhetsroller med hjälp av hanteringskommandon.
Microsoft Entra ID
Det rekommenderade sättet att komma åt klustret är genom att autentisera till Microsoft Entra-tjänsten. Microsoft Entra ID är en identitetsprovider som kan autentisera säkerhetsobjekt och samordna med andra identitetsprovidrar, till exempel Microsofts Active Directory.
Microsoft Entra ID stöder följande autentiseringsscenarier:
- Användarautentisering (interaktiv inloggning): Används för att autentisera huvudkonton för människor.
- Programautentisering (icke-interaktiv inloggning): Används för att autentisera tjänster och program som måste köras eller autentiseras utan användarinteraktion.
Anteckning
- Microsoft Entra ID tillåter inte autentisering av tjänstkonton som per definition är lokala AD-entiteter. Den Microsoft Entra motsvarigheten till ett AD-tjänstkonto är det Microsoft Entra programmet.
- Endast stöd för säkerhetsgruppshuvudkonton (SG) och inte distributionsgruppshuvudkonton (DG) stöds. Ett försök att konfigurera åtkomst för ett GD i klustret resulterar i ett fel.
Referera till Microsoft Entra huvudkonton och grupper
Syntaxen för att referera till Microsoft Entra användar- och programhuvudkonton och -grupper beskrivs i följande tabell.
Om du använder ett UPN (User Principal Name) för att referera till ett användarhuvudnamn görs ett försök att härleda klientorganisationen från domännamnet och försöka hitta huvudnamnet. Om huvudkontot inte hittas anger du uttryckligen klientorganisations-ID:t eller namnet utöver användarens UPN eller objekt-ID.
På samma sätt kan du referera till en säkerhetsgrupp med gruppens e-postadress i UPN-format och ett försök görs att härleda klientorganisationen från domännamnet. Om gruppen inte hittas anger du uttryckligen klientorganisations-ID eller namn utöver gruppens visningsnamn eller objekt-ID.
| Typ av entitet | Microsoft Entra klientorganisation | Syntax |
|---|---|---|
| Användare | Implicit | aaduser=UPN |
| Användare | Explicit (ID) | aaduser=UPN; TenantIdeller aaduser=ObjectID; TenantId |
| Användare | Explicit (namn) | aaduser=UPN; TenantNameeller aaduser=ObjectID; TenantName |
| Group | Implicit | aadgroup=GroupEmailAddress |
| Group | Explicit (ID) | aadgroup=GroupDisplayName; TenantIdeller aadgroup=GroupObjectId; TenantId |
| Group | Explicit (namn) | aadgroup=GroupDisplayName; TenantNameeller aadgroup=GroupObjectId; TenantName |
| App | Explicit (ID) | aadapp=ApplicationDisplayName; TenantIdeller aadapp=ApplicationId; TenantId |
| App | Explicit (namn) | aadapp=ApplicationDisplayName; TenantNameeller aadapp=ApplicationId; TenantName |
Anteckning
Använd formatet "App" för att referera till hanterade identiteter, där ApplicationId är objekt-ID för hanterad identitet eller klient-ID för hanterad identitet (program).
Exempel
I följande exempel används upn-användaren för att definiera ett huvudnamn för användarrollen i Test databasen. Klientinformationen har inte angetts, så klustret försöker lösa Microsoft Entra klientorganisation med hjälp av UPN.
.add database Test users ('aaduser=imikeoein@fabrikam.com') 'Test user (AAD)'
I följande exempel används ett gruppnamn och klientnamn för att tilldela gruppen till användarrollen i Test databasen.
.add database Test users ('aadgroup=SGDisplayName;fabrikam.com') 'Test group @fabrikam.com (AAD)'
I följande exempel används ett app-ID och klientnamn för att tilldela appen användarrollen i Test databasen.
.add database Test users ('aadapp=4c7e82bd-6adb-46c3-b413-fdd44834c69b;fabrikam.com') 'Test app @fabrikam.com (AAD)'
Microsoft-konton (MSA)
Användarautentisering för Microsoft-konton (MSA) stöds. MSA:erna är alla Microsoft-hanterade icke-organisationsanvändarkonton. Till exempel hotmail.com, live.com, outlook.com.
Referera till MSA-huvudkonton
| IdP | Typ | Syntax |
|---|---|---|
| Live.com | Användare | msauser=UPN |
Exempel
I följande exempel tilldelas en MSA-användare till användarrollen i Test databasen.
.add database Test users ('msauser=abbiatkins@live.com') 'Test user (live.com)'
för att hantera principer för datapartitionering för tabeller
- Läs autentiseringsöversikten
- Lär dig hur du använder hanteringskommandon för att tilldela säkerhetsroller
- Lär dig hur du använder Azure Portal för att hantera databashuvudkonton och roller
- current_principal_details()
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för