Odkazování na objekty zabezpečení
Platí pro: ✅Microsoft Fabric✅Azure Data Explorer
Autorizační model umožňuje používat identity uživatelů a aplikací Microsoft Entra a účty Microsoft (MSA) jako objekty zabezpečení. Tento článek obsahuje přehled podporovaných typů objektů zabezpečení pro ID Microsoft Entra i MSA a ukazuje, jak správně odkazovat na tyto objekty zabezpečení při přiřazování rolí zabezpečení pomocí příkazů pro správu.
Microsoft Entra ID
Doporučeným způsobem přístupu k prostředí je ověření ve službě Microsoft Entra. Microsoft Entra ID je zprostředkovatel identity schopný ověřovat objekty zabezpečení a koordinovat s jinými zprostředkovateli identity, jako je Active Directory Microsoftu.
ID Microsoft Entra podporuje následující scénáře ověřování:
- Ověřování uživatelů (interaktivní přihlášení): Slouží k ověřování lidských objektů zabezpečení.
- Ověřování aplikací (neinteraktivní přihlašování): Používá se k ověřování služeb a aplikací, které musí běžet nebo ověřovat bez zásahu uživatele.
Poznámka:
- ID Microsoft Entra neumožňuje ověřování účtů služeb, které jsou podle definice místních entit AD. Ekvivalentem Microsoft Entra účtu služby AD je aplikace Microsoft Entra.
- Podporují se pouze objekty zabezpečení (SG) a ne objekty zabezpečení (DG). Výsledkem pokusu o nastavení přístupu pro DG bude chyba.
Odkazování na objekty zabezpečení a skupiny Microsoft Entra
Syntaxe pro odkazování na objekty uživatele a skupiny Microsoft Entra je popsána v následující tabulce.
Pokud k odkazování na objekt zabezpečení uživatele použijete hlavní název uživatele (UPN) a provede se pokus o odvození tenanta z názvu domény a pokusu o vyhledání objektu zabezpečení. Pokud se objekt zabezpečení nenajde, explicitně zadejte ID nebo název tenanta kromě hlavního názvu uživatele (UPN) nebo ID objektu.
Podobně můžete na skupinu zabezpečení odkazovat s e-mailovou adresou skupiny ve formátu hlavního názvu uživatele (UPN) a provést pokus o odvození tenanta z názvu domény. Pokud se skupina nenajde, explicitně zadejte ID nebo název tenanta vedle zobrazovaného názvu skupiny nebo ID objektu.
| Typ entity | Tenant Microsoft Entra | Syntaxe |
|---|---|---|
| Uživatelská | Implicitní | aaduser=Hlavní názvu uživatele (UPN) |
| Uživatelská | Explicit (ID) | aaduser=hlavního názvu uživatele (UPN)Id tenantanebo aaduser=ObjectID;Id tenanta |
| Uživatelská | Explicit (název) | aaduser=hlavního názvu uživatele (UPN)Název tenantanebo aaduser=ObjectID;Název tenanta |
| Seskupit | Implicitní | aadgroup=GroupEmailAddress |
| Seskupit | Explicit (ID) | aadgroup=GroupDisplayName;Id tenantanebo aadgroup=GroupObjectId;Id tenanta |
| Seskupit | Explicit (název) | aadgroup=GroupDisplayName;Název tenantanebo aadgroup=GroupObjectId;Název tenanta |
| Aplikace | Explicit (ID) | aadapp=ApplicationDisplayName;Id tenantanebo aadapp=ApplicationId;Id tenanta |
| Aplikace | Explicit (název) | aadapp=ApplicationDisplayName;Název tenantanebo aadapp=ApplicationId;Název tenanta |
Poznámka:
K odkazování na spravované identity použijte formát "App", ve kterém je ID objektu spravované identity nebo ID klienta spravované identity (aplikace).
Příklady
Následující příklad používá hlavní název uživatele (UPN) k definování role uživatele v Test databázi. Informace o tenantovi nejsou zadané, takže se váš cluster pokusí vyřešit tenanta Microsoft Entra pomocí hlavního názvu uživatele (UPN).
.add database Test users ('aaduser=imikeoein@fabrikam.com') 'Test user (AAD)'
Následující příklad používá název skupiny a název tenanta k přiřazení skupiny k roli uživatele v Test databázi.
.add database Test users ('aadgroup=SGDisplayName;fabrikam.com') 'Test group @fabrikam.com (AAD)'
Následující příklad používá ID aplikace a název tenanta k přiřazení role uživatele v Test databázi.
.add database Test users ('aadapp=4c7e82bd-6adb-46c3-b413-fdd44834c69b;fabrikam.com') 'Test app @fabrikam.com (AAD)'
Účty Microsoft (MSA)
Podporuje se ověřování uživatelů pro účty Microsoft (MSA). Účty spravované microsoftem jsou všechny uživatelské účty spravované společností Microsoft, které nejsou v organizaci. Například , hotmail.com, live.comoutlook.com.
Odkazování na objekty zabezpečení MSA
| Federační | Typ | Syntaxe |
|---|---|---|
| Live.com | Uživatelská | msauser=Hlavní názvu uživatele (UPN) |
Příklad
Následující příklad přiřadí uživateli MSA roli uživatele v Test databázi.
.add database Test users ('msauser=abbiatkins@live.com') 'Test user (live.com)'
správa zásad dělení dat pro tabulky
Naučte se používat Azure Portal ke správě objektů zabezpečení a rolí databáze.
Naučte se používat příkazy pro správu k přiřazování rolí zabezpečení.