Verweisen auf Sicherheitsprinzipale
Gilt für: ✅Microsoft Fabric✅Azure Data Explorer
Das Autorisierungsmodell ermöglicht die Verwendung von Microsoft Entra-Benutzer- und Anwendungsidentitäten und Microsoft-Konten (MSAs) als Sicherheitsprinzipale. Dieser Artikel enthält eine Übersicht über die unterstützten Prinzipaltypen für Microsoft Entra ID und MSAs und veranschaulicht, wie Sie beim Zuweisen von Sicherheitsrollen mithilfe von Verwaltungsbefehlen ordnungsgemäß auf diese Prinzipale verweisen.
Microsoft Entra ID
Die empfohlene Methode für den Zugriff auf Ihre Umgebung ist die Authentifizierung für den Microsoft Entra-Dienst. Microsoft Entra ID ist ein Identitätsanbieter, der Sicherheitsprinzipale authentifizieren und mit anderen Identitätsanbietern, z. B. Dem Active Directory von Microsoft, koordinieren kann.
Die Microsoft Entra-ID unterstützt die folgenden Authentifizierungsszenarien:
- Benutzerauthentifizierung (interaktive Anmeldung): Wird verwendet, um menschliche Prinzipale zu authentifizieren.
- Anwendungsauthentifizierung (nicht interaktive Anmeldung): Wird verwendet, um Dienste und Anwendungen zu authentifizieren, die ohne Benutzerinteraktion ausgeführt oder authentifiziert werden müssen.
Hinweis
- Die Microsoft Entra-ID lässt keine Authentifizierung von Dienstkonten zu, die standardmäßig lokale AD-Entitäten sind. Das Microsoft Entra-Äquivalent eines AD-Dienstkontos ist die Microsoft Entra-Anwendung.
- Unterstützt nur Die Prinzipale der Sicherheitsgruppe (SG) und nicht die Prinzipale der Verteilergruppe (DG). Ein Versuch, den Zugriff für eine GD einzurichten, führt zu einem Fehler.
Verweisen auf Microsoft Entra-Prinzipale und -Gruppen
Die Syntax für den Verweis auf Microsoft Entra-Benutzer- und Anwendungsprinzipale und -gruppen wird in der folgenden Tabelle beschrieben.
Wenn Sie einen Benutzerprinzipalnamen (User Principal Name, UPN) verwenden, um auf einen Benutzerprinzipal zu verweisen, und es wird versucht, den Mandanten vom Domänennamen abzuleiten und den Prinzipal zu finden. Wenn der Prinzipal nicht gefunden wird, geben Sie die Mandanten-ID oder den Namen zusätzlich zur UPN- oder Objekt-ID des Benutzers explizit an.
Ebenso können Sie auf eine Sicherheitsgruppe mit der Gruppen-E-Mail-Adresse im UPN-Format verweisen, und es wird versucht, den Mandanten vom Domänennamen abzuleiten. Wenn die Gruppe nicht gefunden wird, geben Sie zusätzlich zum Anzeigenamen oder der Objekt-ID der Gruppe explizit die Mandanten-ID oder den Namen an.
| Entitätstyp | Microsoft Entra-Mandant | Syntax |
|---|---|---|
| Benutzer | Implizit | aaduser=UPN |
| Benutzer | Explizit (ID) | aaduser=UPN;TenantIdor aaduser=ObjectID;TenantId |
| Benutzer | Explizit (Name) | aaduser=UPN;TenantNameor aaduser=ObjectID;TenantName |
| Group | Implizit | aadgroup=GroupEmailAddress |
| Group | Explizit (ID) | aadgroup=GroupDisplayName;TenantIdor aadgroup=GroupObjectId;TenantId |
| Group | Explizit (Name) | aadgroup=GroupDisplayName;TenantNameor aadgroup=GroupObjectId;TenantName |
| App | Explizit (ID) | aadapp=ApplicationDisplayName;TenantIdor aadapp=ApplicationId;TenantId |
| App | Explizit (Name) | aadapp=ApplicationDisplayName;TenantNameor aadapp=ApplicationId;TenantName |
Hinweis
Verwenden Sie das Format "App", um auf verwaltete Identitäten zu verweisen, in denen die ApplicationId die ID des verwalteten Identitätsobjekts oder die ID des verwalteten Identitätsclients (Anwendungs-ID) ist.
Beispiele
Im folgenden Beispiel wird der Benutzer-UPN verwendet, um einen Prinzipal der Benutzerrolle in der Test Datenbank zu definieren. Die Mandanteninformationen werden nicht angegeben, sodass Ihr Cluster versucht, den Microsoft Entra-Mandanten mithilfe des UPN aufzulösen.
.add database Test users ('aaduser=imikeoein@fabrikam.com') 'Test user (AAD)'
Im folgenden Beispiel wird ein Gruppenname und ein Mandantname verwendet, um die Gruppe der Benutzerrolle in der Test Datenbank zuzuweisen.
.add database Test users ('aadgroup=SGDisplayName;fabrikam.com') 'Test group @fabrikam.com (AAD)'
Im folgenden Beispiel wird eine App-ID und ein Mandantname verwendet, um der App die Benutzerrolle in der Test Datenbank zuzuweisen.
.add database Test users ('aadapp=4c7e82bd-6adb-46c3-b413-fdd44834c69b;fabrikam.com') 'Test app @fabrikam.com (AAD)'
Microsoft-Konto (MSAs)
Die Benutzerauthentifizierung für Microsoft-Konten (MSAs) wird unterstützt. MSAs sind alle von Microsoft verwalteten, nicht organisationsfremden Benutzerkonten. Beispiel: hotmail.com, live.com, outlook.com.
Verweisen auf MSA-Prinzipale
| IdP | type | Syntax |
|---|---|---|
| Live.com | Benutzer | msauser=UPN |
Beispiel
Im folgenden Beispiel wird der Benutzerrolle in der Test Datenbank ein MSA-Benutzer zugewiesen.
.add database Test users ('msauser=abbiatkins@live.com') 'Test user (live.com)'
Zum Verwalten von Datenpartitionierungsrichtlinien für Tabellen
Lesen der Authentifizierungsübersicht
Erfahren Sie, wie Sie die Azure-Portal zum Verwalten von Datenbankprinzipalen und Rollen verwenden.
Erfahren Sie, wie Sie Verwaltungsbefehle zum Zuweisen von Sicherheitsrollen verwenden .