Referenciando entidades de segurança
Aplica-se a: ✅Microsoft Fabric✅Azure Data Explorer
O modelo de autorização permite o uso de identidades de usuário e aplicativo do Microsoft Entra e MSAs (Contas da Microsoft) como entidades de segurança. Este artigo fornece uma visão geral dos tipos de entidade com suporte para Microsoft Entra ID e MSAs e demonstra como referenciar corretamente essas entidades ao atribuir direitos de acesso usando comandos de gerenciamento.
ID do Microsoft Entra
A maneira recomendada de acessar seu ambiente é autenticando-se no serviço Microsoft Entra. O Microsoft Entra ID é um provedor de identidade capaz de autenticar entidades de segurança e coordenar com outros provedores de identidade, como o Active Directory da Microsoft.
O Microsoft Entra ID dá suporte aos seguintes cenários de autenticação:
- Autenticação do usuário (entrada interativa): usada para autenticar entidades humanas.
- Autenticação de aplicativo (entrada não interativa): usada para autenticar serviços e aplicativos que precisam ser executados ou autenticados sem interação do usuário.
Observação
- A ID do Microsoft Entra não permite a autenticação de contas de serviço que são, por definição, entidades locais do AD. O equivalente do Microsoft Entra a uma conta de serviço do AD é o aplicativo Microsoft Entra.
- Há suporte apenas para entidades de segurança do SG (grupo de segurança) e não para entidades do DG (Grupo de Distribuição). Uma tentativa de configurar o acesso para um DG resultará em um erro.
Referenciando entidades e grupos do Microsoft Entra
A sintaxe para referenciar entidades e grupos de usuários e aplicativos do Microsoft Entra é descrita na tabela a seguir.
Se você usar um Nome UPN (Nome Principal de Usuário) para fazer referência a um usuário principal, será feita uma tentativa de inferir o locatário do nome de domínio e tentar localizar a entidade de segurança. Se a entidade de segurança não for encontrada, especifique explicitamente a ID ou o nome do locatário, além do UPN ou da ID do objeto do usuário.
Da mesma forma, você pode fazer referência a um grupo de segurança com o endereço de email do grupo no formato UPN e será feita uma tentativa de inferir o locatário do nome de domínio. Se o grupo não for encontrado, especifique explicitamente a ID ou o nome do locatário, além do nome de exibição do grupo ou da ID do objeto.
| Tipo de Entidade | Locatário do Microsoft Entra | Sintaxe |
|---|---|---|
| Usuário | Implícita | aaduser=UPN |
| Usuário | Explícito (ID) | aaduser=UPN;ID do inquilinoou aaduser=ID do objeto;ID do inquilino |
| Usuário | Explícito (nome) | aaduser=UPN;Nome do inquilinoou aaduser=ID do objeto;Nome do inquilino |
| Grupo | Implícita | aadgroup=EndereçoDeE-mail do Grupo |
| Grupo | Explícito (ID) | aadgroup=GroupDisplayName;ID do inquilinoou aadgroup=Identificação do Objeto do Grupo;ID do inquilino |
| Grupo | Explícito (nome) | aadgroup=GroupDisplayName;Nome do inquilinoou aadgroup=Identificação do Objeto do Grupo;Nome do inquilino |
| Aplicativo | Explícito (ID) | aadapp=ApplicationDisplayName;ID do inquilinoou aadapp=ApplicationId;ID do inquilino |
| Aplicativo | Explícito (nome) | aadapp=ApplicationDisplayName;Nome do inquilinoou aadapp=ApplicationId;Nome do inquilino |
Observação
Use o formato "App" para fazer referência a identidades gerenciadas, nas quais o ApplicationId é a ID do objeto de identidade gerenciada ou a ID do cliente de identidade gerenciada (aplicativo).
Exemplos
O exemplo a seguir usa o UPN do usuário para definir uma entidade de segurança a função de usuário no Test banco de dados. As informações do locatário não são especificadas, portanto, o cluster tentará resolver o locatário do Microsoft Entra usando o UPN.
.add database Test users ('aaduser=imikeoein@fabrikam.com') 'Test user (AAD)'
O exemplo a seguir usa um nome de grupo e um nome de locatário para atribuir o grupo à função de usuário no Test banco de dados.
.add database Test users ('aadgroup=SGDisplayName;fabrikam.com') 'Test group @fabrikam.com (AAD)'
O exemplo a seguir usa uma ID do aplicativo e um nome de locatário para atribuir ao aplicativo a função de usuário no Test banco de dados.
.add database Test users ('aadapp=4c7e82bd-6adb-46c3-b413-fdd44834c69b;fabrikam.com') 'Test app @fabrikam.com (AAD)'
MSAs (Contas Microsoft)
Há suporte para a autenticação de usuário para contas da Microsoft (MSAs). MSAs são todas as contas de usuário não organizacionais gerenciadas pela Microsoft. Por exemplo, hotmail.com, live.com, outlook.com.
Referenciando entidades principais da MSA
| IdP | Tipo | Sintaxe |
|---|---|---|
| Live.com | Usuário | msauser=UPN |
Exemplo
O exemplo a seguir atribui um usuário MSA à função de usuário no Test banco de dados.
.add database Test users ('msauser=abbiatkins@live.com') 'Test user (live.com)'
Para gerenciar políticas de particionamento de dados para tabelas
Leia a visão geral da autenticação
Saiba como usar o portal do Azure para gerenciar entidades e funções de banco de dados