Delen via

Overzicht van toegangsbeheer

  • Artikel

Van toepassing op: ✅Microsoft FabricAzure Data Explorer-

Toegangsbeheer is gebaseerd op verificatie en autorisatie. Elke query en opdracht in een Azure Data Explorer-resource, zoals een cluster of database, moeten zowel verificatie- als autorisatiecontroles doorgeven.

Toegangsbeheer is gebaseerd op verificatie en autorisatie. Elke query en opdracht op een Fabric-resource, zoals een database, moeten zowel verificatie- als autorisatiecontroles doorgeven.

  • verificatie: valideert de identiteit van de beveiligingsprincipaal die een aanvraag indient
  • autorisatie: valideert de beveiligingsprincipaal die een aanvraag indient, die aanvraag mag indienen op de doelresource

Authenticatie

Om programmatisch te verifiëren, moet een client communiceren met Microsoft Entra ID en een toegangstoken aanvragen dat specifiek is voor de Kusto-service. Vervolgens kan de client het verkregen toegangstoken gebruiken als bewijs van identiteit bij het uitgeven van aanvragen aan uw database.

De belangrijkste verificatiescenario's zijn als volgt:

  • gebruikersverificatie: wordt gebruikt om de identiteit van menselijke gebruikers te verifiëren.
  • toepassingsverificatie: wordt gebruikt om de identiteit te verifiëren van een toepassing die toegang nodig heeft tot resources zonder menselijke tussenkomst met behulp van geconfigureerde referenties.
  • Namens (OBO)-verificatie: hiermee kan een toepassing een token uitwisselen voor een genoemde toepassing met een token om toegang te krijgen tot een Kusto-service. Deze stroom moet worden geïmplementeerd met MSAL.
  • SPA-verificatie (Single Page Application): hiermee kunnen webtoepassingen aan de clientzijde beveiligd-WACHTWOORDVERIFICATIE gebruikers aanmelden en tokens verkrijgen voor toegang tot uw database. Deze stroom moet worden geïmplementeerd met MSAL.

Notitie

Voor gebruikers- en toepassingsverificatie raden we u aan de Kusto-clientbibliotheken te gebruiken. Als u verificatie namens (OBO) of Single-Page Application (SPA) vereist, moet u MSAL rechtstreeks gebruiken omdat de clientbibliotheken deze stromen niet ondersteunen. Zie Verifiëren met MSAL -(Microsoft Authentication Library) voor meer informatie.

Gebruikersverificatie

Gebruikersverificatie vindt plaats wanneer een gebruiker referenties presenteert aan Microsoft Entra ID of een id-provider die federatief is met Microsoft Entra-id, zoals Active Directory Federation Services. De gebruiker krijgt een beveiligingstoken terug dat kan worden gepresenteerd aan de Azure Data Explorer-service. Azure Data Explorer bepaalt of het token geldig is, of het token wordt uitgegeven door een vertrouwde verlener en welke beveiligingsclaims het token bevat.

Azure Data Explorer ondersteunt de volgende methoden voor gebruikersverificatie, waaronder via de Kusto-clientbibliotheken:

  • Interactieve gebruikersverificatie met aanmelding via de gebruikersinterface.
  • Gebruikersverificatie met een Microsoft Entra-token dat is uitgegeven voor Azure Data Explorer.
  • Gebruikersverificatie met een Microsoft Entra-token dat is uitgegeven voor een andere resource die kan worden uitgewisseld voor een Azure Data Explorer-token met behulp van verificatie namens (OBO).

Toepassingsverificatie

Toepassingsverificatie is nodig wanneer aanvragen niet zijn gekoppeld aan een specifieke gebruiker of wanneer er geen gebruiker beschikbaar is om referenties op te geven. In dit geval wordt de toepassing geverifieerd bij Microsoft Entra ID of de federatieve IdP door geheime informatie te presenteren.

Azure Data Explorer ondersteunt de volgende methoden voor toepassingsverificatie, waaronder via de Kusto-clientbibliotheken:

  • Toepassingsverificatie met een door Azure beheerde identiteit.
  • Toepassingsverificatie met een X.509v2-certificaat dat lokaal is geïnstalleerd.
  • Toepassingsverificatie met een X.509v2-certificaat dat aan de clientbibliotheek is gegeven als een bytestream.
  • Toepassingsverificatie met een Microsoft Entra-toepassings-id en een Microsoft Entra-toepassingssleutel. De toepassings-id en toepassingssleutel lijken op een gebruikersnaam en wachtwoord.
  • Toepassingsverificatie met een eerder verkregen geldig Microsoft Entra-token, uitgegeven aan Azure Data Explorer.
  • Toepassingsverificatie met een Microsoft Entra-token dat is uitgegeven voor een andere resource die kan worden uitgewisseld voor een Azure Data Explorer-token met behulp van verificatie namens (OBO).

Machtiging

Voordat een actie op een resource wordt uitgevoerd, moeten alle geverifieerde gebruikers een autorisatiecontrole doorgeven. Het op rollen gebaseerd toegangsbeheer van Kusto model wordt gebruikt, waarbij principals zijn toegewezen aan een of meer beveiligingsrollen. Autorisatie wordt verleend zolang een van de rollen die aan de gebruiker zijn toegewezen, de opgegeven actie kan uitvoeren. De rol Databasegebruiker verleent bijvoorbeeld beveiligingsprinciplen het recht om de gegevens van een bepaalde database te lezen, tabellen in de database te maken en meer.

De koppeling van beveiligingsprinciplen aan beveiligingsrollen kan afzonderlijk worden gedefinieerd of met behulp van beveiligingsgroepen die zijn gedefinieerd in Microsoft Entra-id. Zie Overzicht van beveiligingsrollenvoor meer informatie over het toewijzen van beveiligingsrollen.

Groepsautorisatie

Autorisatie kan worden verleend aan Microsoft Entra-id-groepen door een of meer rollen toe te wijzen aan de groep.

Bij het controleren van autorisatie voor een gebruiker of toepassingsprincipaal zoekt het systeem eerst naar een expliciete roltoewijzing die de specifieke actie toestaat. Als de roltoewijzing niet bestaat, controleert het systeem het lidmaatschap van de principal in alle groepen die de actie kunnen autoriseren.

Als de principal lid is van een groep met de juiste machtigingen, wordt de aangevraagde actie geautoriseerd. Anders wordt de autorisatiecontrole niet door de actie doorgegeven en is deze niet toegestaan.

Notitie

Het controleren van groepslidmaatschappen kan resource-intensief zijn. Omdat groepslidmaatschappen niet vaak veranderen, worden de resultaten van de lidmaatschapscontrole in de cache opgeslagen. De cacheduur varieert en bepaalt hoe snel wijzigingen in groepslidmaatschappen worden bijgewerkt. Het kan tot 30 minuten duren voordat een gebruiker aan een groep wordt toegevoegd. Het verwijderen van een gebruiker uit een groep kan tot drie uur duren.

Groepslidmaatschap vernieuwen afdwingen

Principals kunnen het vernieuwen van groepslidmaatschapsgegevens afdwingen. Deze mogelijkheid is handig in scenario's waarin Just-In-Time (JIT) bevoegde toegangsservices, zoals Microsoft Entra Privileged Identity Management (PIM), worden gebruikt om hogere bevoegdheden voor een resource te verkrijgen.

Vernieuwen voor een specifieke groep

Principals kunnen het vernieuwen van groepslidmaatschap afdwingen voor een specifieke groep. De volgende beperkingen zijn echter van toepassing:

  • Een vernieuwing kan maximaal 10 keer per uur per principal worden aangevraagd.
  • De aanvragende principal moet lid zijn van de groep op het moment van de aanvraag.

De aanvraag resulteert in een fout als aan een van deze voorwaarden niet wordt voldaan.

Voer de volgende opdracht uit om het lidmaatschap van de huidige principal van een groep opnieuw te beoordelen:

.clear cluster cache groupmembership with (group='<GroupFQN>')

Gebruik de FQN (Fully Qualified Name) van de groep. Zie Verwijzen naar Microsoft Entra-principals en -groepenvoor meer informatie.

Vernieuwen voor andere principals

Een bevoegde principal kan een vernieuwings-aanvragen voor andere principals. De aanvraagprincipaal moet AllDatabaseMonitor toegang hebben voor de doelservice. Bevoegde principals kunnen ook de vorige opdracht zonder beperkingen uitvoeren.

Voer de volgende opdracht uit om het groepslidmaatschap van een andere principal te vernieuwen:

Vervang in de volgende opdracht <PrincipalFQN> door uw eigen FQN (Fully Qualified Name) en <GroupFQN> door uw eigen groeps-FQN. Zie Verwijzen naar Microsoft Entra-principals en -groepenvoor meer informatie.

.clear cluster cache groupmembership with (principal='<PrincipalFQN>', group='<GroupFQN>')

Verwante inhoud