Referencia a entidades de seguridad
Se aplica a: ✅Microsoft Fabric✅Azure Data Explorer
El modelo de autorización permite el uso de identidades de usuario y aplicación de Microsoft Entra y cuentas microsoft (MSA) como entidades de seguridad. En este artículo se proporciona información general sobre los tipos de entidad de seguridad admitidos tanto para el identificador de Microsoft Entra como para las MSA, y se muestra cómo hacer referencia correctamente a estas entidades de seguridad al asignar roles de seguridad mediante comandos de administración.
Microsoft Entra ID
La forma recomendada de acceder a su entorno es mediante la autenticación en el servicio Microsoft Entra. Microsoft Entra ID es un proveedor de identidades capaz de autenticar entidades de seguridad y coordinarse con otros proveedores de identidades, como Active Directory de Microsoft.
Microsoft Entra ID admite los siguientes escenarios de autenticación:
- Autenticación de usuario (inicio de sesión interactivo): se usa para autenticar entidades de seguridad humanas.
- Autenticación de aplicaciones (inicio de sesión no interactivo): se usa para autenticar servicios y aplicaciones que tienen que ejecutarse o autenticarse sin interacción del usuario.
Nota:
- Microsoft Entra ID no permite la autenticación de cuentas de servicio que son por definición entidades de AD locales. El equivalente de Microsoft Entra de una cuenta de servicio de AD es la aplicación Microsoft Entra.
- Solo admite entidades de seguridad de grupo de seguridad (SG) y no se admiten entidades de seguridad de grupo de distribución (DG). Un intento de configurar el acceso para una DG producirá un error.
Hacer referencia a entidades de seguridad y grupos de Microsoft Entra
La sintaxis para hacer referencia a las entidades de seguridad y grupos de aplicaciones y usuarios de Microsoft Entra se describe en la tabla siguiente.
Si usa un nombre principal de usuario (UPN) para hacer referencia a una entidad de seguridad de usuario y se intentará deducir el inquilino del nombre de dominio e intente encontrar la entidad de seguridad. Si no se encuentra la entidad de seguridad, especifique explícitamente el identificador de inquilino o el nombre además del UPN o el identificador de objeto del usuario.
Del mismo modo, puede hacer referencia a un grupo de seguridad con la dirección de correo electrónico del grupo en formato UPN y se intentará deducir el inquilino del nombre de dominio. Si no se encuentra el grupo, especifique explícitamente el identificador de inquilino o el nombre además del nombre para mostrar del grupo o el identificador de objeto.
| Tipo de entidad | Inquilino de Microsoft Entra | Sintaxis |
|---|---|---|
| Usuario | Implícita | aaduser=UPN |
| Usuario | Explicit (ID) | aaduser=UPN;TenantIdo aaduser=ObjectID;TenantId |
| Usuario | Explícito (nombre) | aaduser=UPN;TenantNameo aaduser=ObjectID;TenantName |
| Grupo | Implícita | aadgroup=GroupEmailAddress |
| Grupo | Explicit (ID) | aadgroup=GroupDisplayName;TenantIdo aadgroup=GroupObjectId;TenantId |
| Grupo | Explícito (nombre) | aadgroup=GroupDisplayName;TenantNameo aadgroup=GroupObjectId;TenantName |
| Aplicación | Explicit (ID) | aadapp=ApplicationDisplayName;TenantIdo aadapp=ApplicationId;TenantId |
| Aplicación | Explícito (nombre) | aadapp=ApplicationDisplayName;TenantNameo aadapp=ApplicationId;TenantName |
Nota:
Use el formato "App" para hacer referencia a identidades administradas, en las que ApplicationId es el identificador de objeto de identidad administrada o el identificador de cliente de identidad administrada (aplicación).
Ejemplos
En el ejemplo siguiente se usa el UPN de usuario para definir una entidad de seguridad del rol de usuario en la Test base de datos. No se especifica la información del inquilino, por lo que el clúster intentará resolver el inquilino de Microsoft Entra mediante el UPN.
.add database Test users ('aaduser=imikeoein@fabrikam.com') 'Test user (AAD)'
En el ejemplo siguiente se usa un nombre de grupo y un nombre de inquilino para asignar el grupo al rol de usuario en la Test base de datos.
.add database Test users ('aadgroup=SGDisplayName;fabrikam.com') 'Test group @fabrikam.com (AAD)'
En el ejemplo siguiente se usa un identificador de aplicación y un nombre de inquilino para asignar a la aplicación el rol de usuario en la Test base de datos.
.add database Test users ('aadapp=4c7e82bd-6adb-46c3-b413-fdd44834c69b;fabrikam.com') 'Test app @fabrikam.com (AAD)'
Microsoft Accounts (MSAs)
Se admite la autenticación de usuario para cuentas Microsoft (MSA). Las MSA son todas las cuentas de usuario no organizativas administradas por Microsoft. Por ejemplo: hotmail.com, live.com y outlook.com.
Hacer referencia a ENTIDADES de seguridad de MSA
| IdP | Tipo | Sintaxis |
|---|---|---|
| Live.com | Usuario | msauser=UPN |
Ejemplo
En el ejemplo siguiente se asigna un usuario de MSA al rol de usuario de la Test base de datos.
.add database Test users ('msauser=abbiatkins@live.com') 'Test user (live.com)'
para administrar directivas de creación de particiones de datos para tablas
Lea la introducción a la autenticación.
Aprenda a usar Azure Portal para administrar entidades de seguridad y roles de base de datos