Riferimento alle entità di sicurezza
Si applica a: ✅Microsoft Fabric✅Azure Esplora dati
Il modello di autorizzazione consente l'uso delle identità utente e dell'applicazione Di Microsoft Entra e degli account Microsoft (MSA) come entità di sicurezza. Questo articolo offre una panoramica dei tipi di entità supportati per Microsoft Entra ID e MSA e illustra come fare riferimento correttamente a queste entità quando si assegnano ruoli di sicurezza usando i comandi di gestione.
Microsoft Entra ID
Il modo consigliato per accedere all'ambiente consiste nell'autenticare il servizio Microsoft Entra. Microsoft Entra ID è un provider di identità in grado di autenticare le entità di sicurezza e coordinare con altri provider di identità, ad esempio Microsoft Active Directory.
Microsoft Entra ID supporta gli scenari di autenticazione seguenti:
- Autenticazione utente (accesso interattivo): usato per autenticare le entità umane.
- Autenticazione dell'applicazione (accesso non interattivo): usato per autenticare servizi e applicazioni che devono essere eseguiti o autenticati senza interazione dell'utente.
Nota
- Microsoft Entra ID non consente l'autenticazione degli account di servizio che sono per definizione entità AD locali. L'equivalente di Microsoft Entra di un account del servizio AD è l'applicazione Microsoft Entra.
- Sono supportate solo le entità gruppo di sicurezza (SG) e non le entità del gruppo di distribuzione (DG). Un tentativo di configurare l'accesso per una DG genererà un errore.
Riferimento a entità e gruppi di Microsoft Entra
La sintassi per fare riferimento alle entità utente e ai gruppi e alle entità applicazione di Microsoft Entra è descritta nella tabella seguente.
Se si usa un nome dell'entità utente (UPN) per fare riferimento a un'entità utente e verrà effettuato un tentativo di dedurre il tenant dal nome di dominio e provare a trovare l'entità. Se l'entità non viene trovata, specificare in modo esplicito l'ID tenant o il nome oltre all'UPN o all'ID oggetto dell'utente.
Analogamente, è possibile fare riferimento a un gruppo di sicurezza con l'indirizzo di posta elettronica del gruppo in formato UPN e verrà effettuato un tentativo di dedurre il tenant dal nome di dominio. Se il gruppo non viene trovato, specificare in modo esplicito l'ID tenant o il nome oltre al nome visualizzato del gruppo o all'ID oggetto.
| Tipo di entità | Tenant di Microsoft Entra | Sintassi |
|---|---|---|
| Utente | Implicito | aaduser=UPN |
| Utente | Esplicito (ID) | aaduser=UPN;TenantIdor aaduser=ObjectID;TenantId |
| Utente | Explicit (Name) | aaduser=UPN;TenantNameor aaduser=ObjectID;TenantName |
| Raggruppa | Implicito | aadgroup=GroupEmailAddress |
| Raggruppa | Esplicito (ID) | aadgroup=GroupDisplayName;TenantIdor aadgroup=GroupObjectId;TenantId |
| Raggruppa | Explicit (Name) | aadgroup=GroupDisplayName;TenantNameor aadgroup=GroupObjectId;TenantName |
| App | Esplicito (ID) | aadapp=ApplicationDisplayName;TenantIdor aadapp=ApplicationId;TenantId |
| App | Explicit (Name) | aadapp=ApplicationDisplayName;TenantNameor aadapp=ApplicationId;TenantName |
Nota
Usare il formato "App" per fare riferimento alle identità gestite, in cui ApplicationId è l'ID oggetto identità gestita o l'ID client dell'identità gestita (applicazione).
Esempi
Nell'esempio seguente viene usato l'UPN dell'utente per definire un'entità di sicurezza del ruolo utente nel Test database. Le informazioni sul tenant non sono specificate, quindi il cluster tenterà di risolvere il tenant di Microsoft Entra usando l'UPN.
.add database Test users ('aaduser=imikeoein@fabrikam.com') 'Test user (AAD)'
Nell'esempio seguente viene usato un nome di gruppo e un nome tenant per assegnare il gruppo al ruolo utente nel Test database.
.add database Test users ('aadgroup=SGDisplayName;fabrikam.com') 'Test group @fabrikam.com (AAD)'
L'esempio seguente usa un ID app e un nome tenant per assegnare all'app il ruolo utente nel Test database.
.add database Test users ('aadapp=4c7e82bd-6adb-46c3-b413-fdd44834c69b;fabrikam.com') 'Test app @fabrikam.com (AAD)'
Account Microsoft (MSA)
L'autenticazione utente per gli account Microsoft è supportata. Gli account del servizio gestito da Microsoft sono tutti gli account utente non aziendali gestiti da Microsoft. Ad esempio hotmail.com, live.com, outlook.com.
Riferimento a entità del servizio gestito
| Metadati | Tipo | Sintassi |
|---|---|---|
| Live.com | Utente | msauser=UPN |
Esempio
Nell'esempio seguente viene assegnato un utente del servizio gestito al ruolo utente nel Test database.
.add database Test users ('msauser=abbiatkins@live.com') 'Test user (live.com)'
per gestire i criteri di partizionamento dei dati per le tabelle
Informazioni su come usare il portale di Azure per gestire le entità di database e i ruoli
Informazioni su come usare i comandi di gestione per assegnare ruoli di sicurezza