Panoramica del controllo di accesso
Si applica a: ✅Microsoft Fabric✅Esplora dati di Azure
Il controllo di accesso si basa sull'autenticazione e l'autorizzazione. Ogni query e comando in una risorsa di Esplora dati di Azure, ad esempio un cluster o un database, deve superare sia i controlli di autenticazione che di autorizzazione.
Il controllo di accesso si basa sull'autenticazione e l'autorizzazione. Ogni query e comando su una risorsa di Fabric, ad esempio un database, deve superare sia i controlli di autenticazione che di autorizzazione.
- autenticazione: convalida l'identità dell'entità di sicurezza che effettua una richiesta
- autorizzazione: convalida che l'entità di sicurezza che effettua una richiesta sia autorizzata a effettuare tale richiesta nella risorsa di destinazione
Autenticazione
Per eseguire l'autenticazione a livello di codice, un client deve comunicare con ID Entra Microsoft e richiedere un token di accesso specifico per il servizio Kusto. Il client può quindi usare il token di accesso acquisito come prova di identità quando si emettono richieste al database.
I principali scenari di autenticazione sono i seguenti:
- autenticazione utente: usato per verificare l'identità degli utenti umani.
- 'autenticazione dell'applicazione: usato per verificare l'identità di un'applicazione che deve accedere alle risorse senza l'intervento dell'utente usando le credenziali configurate.
- 'autenticazione OBO (On-behalf-of): consente a un'applicazione di scambiare un token per tale applicazione con un token per accedere a un servizio Kusto. Questo flusso deve essere implementato con MSAL.
- 'autenticazione a pagina singola (SPA): consente alle applicazioni Web SPA lato client di accedere agli utenti e ottenere token per accedere al database. Questo flusso deve essere implementato con MSAL.
Nota
Per l'autenticazione dell'utente e dell'applicazione, è consigliabile usare le librerie client kusto . Se è necessaria l'autenticazione OBO (On-behalf-of) o Single-Page Application (SPA), è necessario usare MSAL direttamente perché le librerie client non supportano questi flussi. Per altre informazioni, vedere Eseguire l'autenticazione con Microsoft Authentication Library (MSAL).
Autenticazione utente
L'autenticazione utente si verifica quando un utente presenta le credenziali all'ID Microsoft Entra o a un provider di identità federato con Microsoft Entra ID, ad esempio Active Directory Federation Services. L'utente recupera un token di sicurezza che può essere presentato al servizio Esplora dati di Azure. Esplora dati di Azure determina se il token è valido, se il token viene emesso da un'autorità emittente attendibile e quali attestazioni di sicurezza contengono il token.
Esplora dati di Azure supporta i metodi di autenticazione utente seguenti, incluse le librerie client kusto :
- Autenticazione utente interattiva con accesso tramite l'interfaccia utente.
- Autenticazione utente con un token Microsoft Entra rilasciato per Esplora dati di Azure.
- Autenticazione utente con un token Microsoft Entra rilasciato per un'altra risorsa che può essere scambiata per un token di Esplora dati di Azure usando l'autenticazione OBO (On-behalf-of).
Autenticazione dell'applicazione
L'autenticazione dell'applicazione è necessaria quando le richieste non sono associate a un utente specifico o quando nessun utente è disponibile per fornire le credenziali. In questo caso, l'applicazione esegue l'autenticazione all'ID Microsoft Entra o al provider di identità federato presentando informazioni segrete.
Esplora dati di Azure supporta i metodi di autenticazione dell'applicazione seguenti, incluse le librerie client Kusto :
- Autenticazione dell'applicazione con un'identità gestita di Azure.
- Autenticazione dell'applicazione con un certificato X.509v2 installato in locale.
- Autenticazione dell'applicazione con un certificato X.509v2 assegnato alla libreria client come flusso di byte.
- Autenticazione dell'applicazione con un ID applicazione Microsoft Entra e una chiave dell'applicazione Microsoft Entra. L'ID applicazione e la chiave dell'applicazione sono simili a nome utente e password.
- Autenticazione dell'applicazione con un token Microsoft Entra valido ottenuto in precedenza, rilasciato in Esplora dati di Azure.
- Autenticazione dell'applicazione con un token Microsoft Entra rilasciato per un'altra risorsa che può essere scambiata per un token di Esplora dati di Azure usando l'autenticazione OBO (On-behalf-of).
Autorizzazione
Prima di eseguire un'azione su una risorsa, tutti gli utenti autenticati devono superare un controllo di autorizzazione. Viene usato modello di controllo degli accessi in base al ruolo kusto, in cui le entità sono attribuite a uno o più ruoli di sicurezza. L'autorizzazione viene concessa purché uno dei ruoli assegnati all'utente consenta di eseguire l'azione specificata. Ad esempio, il ruolo Utente database concede alle entità di sicurezza il diritto di leggere i dati di un determinato database, creare tabelle nel database e altro ancora.
L'associazione delle entità di sicurezza ai ruoli di sicurezza può essere definita singolarmente o usando i gruppi di sicurezza definiti in Microsoft Entra ID. Per altre informazioni su come assegnare ruoli di sicurezza, vedere panoramica dei ruoli di sicurezza .
Autorizzazione del gruppo
L'autorizzazione può essere concessa ai gruppi di ID Entra Di Microsoft assegnando uno o più ruoli al gruppo.
Quando si verifica l'autorizzazione per un utente o un'entità applicazione, il sistema cerca innanzitutto un'assegnazione di ruolo esplicita che consenta l'azione specifica. Se l'assegnazione di ruolo non esiste, il sistema controlla l'appartenenza dell'entità a tutti i gruppi che potrebbero autorizzare l'azione.
Se l'entità è membro di un gruppo con autorizzazioni appropriate, l'azione richiesta è autorizzata. In caso contrario, l'azione non supera il controllo dell'autorizzazione e non è consentita.
Nota
Il controllo delle appartenenze ai gruppi può richiedere un uso intensivo delle risorse. Poiché le appartenenze ai gruppi non cambiano di frequente, i risultati del controllo dell'appartenenza vengono memorizzati nella cache. La durata della memorizzazione nella cache varia e determina la velocità di aggiornamento delle modifiche alle appartenenze ai gruppi. L'aggiunta di un utente a un gruppo può richiedere fino a 30 minuti per propagarsi. La rimozione di un utente da un gruppo può richiedere fino a tre ore.
Forzare l'aggiornamento dell'appartenenza al gruppo
Le entità possono forzare un aggiornamento delle informazioni sull'appartenenza al gruppo. Questa funzionalità è utile negli scenari in cui i servizi di accesso con privilegi JIT (JIT), ad esempio Microsoft Entra Privileged Identity Management (PIM), vengono usati per ottenere privilegi più elevati su una risorsa.
Aggiornamento per un gruppo specifico
Le entità possono forzare un aggiornamento del di appartenenza al gruppo per un gruppo specifico. Tuttavia, si applicano le restrizioni seguenti:
- È possibile richiedere un aggiornamento fino a 10 volte all'ora per ogni entità.
- L'entità richiedente deve essere membro del gruppo al momento della richiesta.
La richiesta genera un errore se una di queste condizioni non viene soddisfatta.
Per rivalutare l'appartenenza dell'entità corrente di un gruppo, eseguire il comando seguente:
Nell'esempio seguente sostituire
<GroupFQN>con valori personalizzati, ad esempiogroup='aadGroup=MyGroup@MyOrg.com'.
.clear cluster cache groupmembership with (group='<GroupFQN>')
Usare il nome completo (FQN) del gruppo. Per altre informazioni, vedere Riferimento a entità e gruppi di Microsoft Entra.
Aggiornamento per altre entità
Un'entità con privilegi può richiedere un aggiornamento per altre entità. L'entità richiedente deve avere l'accesso a AllDatabaseMonitor per il servizio di destinazione. Le entità con privilegi possono anche eseguire il comando precedente senza restrizioni.
Per aggiornare l'appartenenza al gruppo di un'altra entità, eseguire il comando seguente:
Nel comando seguente sostituire
<PrincipalFQN>con il nome completo dell'entità (FQN) e<GroupFQN>con il nome completo del gruppo, ad esempioprincipal='aadUser=UserUpn@MyOrg.com', group='aadGroup=MyGroup@MyOrg.com'. Per altre informazioni, vedere Riferimento a entità e gruppi di Microsoft Entra.
.clear cluster cache groupmembership with (principal='<PrincipalFQN>', group='<GroupFQN>')
Contenuto correlato
- Comprendere controllo degli accessi in base al ruolo kusto.
- Per l'autenticazione dell'utente o dell'applicazione, usare le librerie client Kusto .
- Per l'autenticazione OBO o SPA, vedere Come eseguire l'autenticazione con Microsoft Authentication Library (MSAL).
- Per fare riferimento a entità e gruppi, vedere Riferimento a entità e gruppi Di Microsoft Entra.