Odwoływanie się do podmiotów zabezpieczeń
Dotyczy: ✅Microsoft Fabric✅Azure Data Explorer
Model autoryzacji umożliwia korzystanie z tożsamości użytkowników i aplikacji firmy Microsoft oraz kont Microsoft (MSA) jako podmiotów zabezpieczeń. Ten artykuł zawiera omówienie obsługiwanych typów podmiotów zabezpieczeń dla zarówno identyfikatorów Microsoft Entra ID, jak i MSA oraz pokazuje, jak prawidłowo odwoływać się do tych podmiotów zabezpieczeń podczas przypisywania ról zabezpieczeń przy użyciu poleceń zarządzania.
Microsoft Entra ID
Zalecanym sposobem uzyskania dostępu do środowiska jest uwierzytelnianie w usłudze Microsoft Entra. Microsoft Entra ID to dostawca tożsamości, który może uwierzytelniać podmioty zabezpieczeń i koordynować z innymi dostawcami tożsamości, takimi jak usługa Active Directory firmy Microsoft.
Identyfikator Entra firmy Microsoft obsługuje następujące scenariusze uwierzytelniania:
- Uwierzytelnianie użytkownika (logowanie interakcyjne): służy do uwierzytelniania podmiotów zabezpieczeń.
- Uwierzytelnianie aplikacji (logowanie nieinterakcyjne): służy do uwierzytelniania usług i aplikacji, które muszą być uruchamiane lub uwierzytelniane bez interakcji użytkownika.
Uwaga
- Identyfikator entra firmy Microsoft nie zezwala na uwierzytelnianie kont usług, które są z definicji lokalnych jednostek usługi AD. Odpowiednik microsoft Entra konta usługi AD jest aplikacją Firmy Microsoft Entra.
- Obsługiwane są tylko podmioty zabezpieczeń grupy zabezpieczeń (SG), a nie podmioty zabezpieczeń grupy dystrybucyjnej (DG). Próba skonfigurowania dostępu dla DG spowoduje wystąpienie błędu.
Odwoływanie się do podmiotów zabezpieczeń i grup firmy Microsoft
Składnia odwołująca się do podmiotów zabezpieczeń i grup aplikacji firmy Microsoft entra została opisana w poniższej tabeli.
Jeśli używasz głównej nazwy użytkownika (UPN) do odwoływanie się do podmiotu zabezpieczeń użytkownika, a próba wywnioskowania dzierżawy z nazwy domeny i próby znalezienia podmiotu zabezpieczeń. Jeśli podmiot zabezpieczeń nie zostanie znaleziony, jawnie określ identyfikator dzierżawy lub nazwę oprócz nazwy UPN użytkownika lub identyfikatora obiektu.
Podobnie można odwołać się do grupy zabezpieczeń z adresem e-mail grupy w formacie NAZWY UPN, a próba wywnioskowania dzierżawy z nazwy domeny. Jeśli grupa nie zostanie znaleziona, jawnie określ identyfikator dzierżawy lub nazwę oprócz nazwy wyświetlanej grupy lub identyfikatora obiektu.
| Typ jednostki | Dzierżawa Microsoft Entra | Składnia |
|---|---|---|
| User | Niejawnie | aaduser=Nazwa UPN |
| User | Jawne (ID) | aaduser=NAZWA UPN;Identyfikator dzierżawylub aaduser=ObjectID;Identyfikator dzierżawy |
| User | Jawne (nazwa) | aaduser=NAZWA UPN;Nazwa dzierżawylub aaduser=ObjectID;Nazwa dzierżawy |
| Grupuj | Niejawnie | aadgroup=GroupEmailAddress |
| Grupuj | Jawne (ID) | aadgroup=GroupDisplayName;Identyfikator dzierżawylub aadgroup=GroupObjectId;Identyfikator dzierżawy |
| Grupuj | Jawne (nazwa) | aadgroup=GroupDisplayName;Nazwa dzierżawylub aadgroup=GroupObjectId;Nazwa dzierżawy |
| Aplikacja | Jawne (ID) | aadapp=ApplicationDisplayName;Identyfikator dzierżawylub aadapp=ApplicationId;Identyfikator dzierżawy |
| Aplikacja | Jawne (nazwa) | aadapp=ApplicationDisplayName;Nazwa dzierżawylub aadapp=ApplicationId;Nazwa dzierżawy |
Uwaga
Użyj formatu "Aplikacja", aby odwołać się do tożsamości zarządzanych, w których identyfikator obiektu tożsamości zarządzanej jest identyfikatorem obiektu tożsamości zarządzanej lub identyfikatorem klienta tożsamości zarządzanej (aplikacji).
Przykłady
W poniższym przykładzie użyto nazwy UPN użytkownika do zdefiniowania podmiotu zabezpieczeń roli użytkownika w Test bazie danych. Nie określono informacji o dzierżawie, więc klaster spróbuje rozpoznać dzierżawę firmy Microsoft przy użyciu nazwy UPN.
.add database Test users ('aaduser=imikeoein@fabrikam.com') 'Test user (AAD)'
W poniższym przykładzie użyto nazwy grupy i nazwy dzierżawy, aby przypisać grupę do roli użytkownika w Test bazie danych.
.add database Test users ('aadgroup=SGDisplayName;fabrikam.com') 'Test group @fabrikam.com (AAD)'
W poniższym przykładzie użyto identyfikatora aplikacji i nazwy dzierżawy w celu przypisania aplikacji roli użytkownika w Test bazie danych.
.add database Test users ('aadapp=4c7e82bd-6adb-46c3-b413-fdd44834c69b;fabrikam.com') 'Test app @fabrikam.com (AAD)'
Konta Microsoft (MSAs)
Obsługiwane jest uwierzytelnianie użytkowników dla kont Microsoft (MSA). Konta MSA są kontami użytkowników niezarządzanych przez firmę Microsoft. Na przykład , hotmail.com, live.com, outlook.com.
Odwoływanie się do podmiotów zabezpieczeń msa
| Dostawca tożsamości | Typ | Składnia |
|---|---|---|
| Live.com | User | msauser=Nazwa UPN |
Przykład
W poniższym przykładzie przypisano użytkownika MSA do roli użytkownika w Test bazie danych.
.add database Test users ('msauser=abbiatkins@live.com') 'Test user (live.com)'
zarządzanie zasadami partycjonowania danych dla tabel
Dowiedz się, jak zarządzać jednostkami i rolami bazy danych przy użyciu witryny Azure Portal
Dowiedz się, jak przypisywać role zabezpieczeń za pomocą poleceń zarządzania