Partilhar via

Visão geral do controle de acesso

  • Artigo

Aplica-se a: ✅Microsoft FabricAzure Data Explorer

O controle de acesso é baseado em autenticação e autorização. Cada consulta e comando em um recurso do Azure Data Explorer, como um cluster ou banco de dados, deve passar pelas verificações de autenticação e autorização.

O controle de acesso é baseado em autenticação e autorização. Cada consulta e comando em um recurso de malha, como um banco de dados, deve passar pelas verificações de autenticação e autorização.

  • Authentication: valida a identidade da entidade de segurança que faz uma solicitação
  • Authorization: Valida a entidade de segurança que faz uma solicitação tem permissão para fazer essa solicitação no recurso de destino

Autenticação

Para autenticar programaticamente, um cliente deve se comunicar com de ID do Microsoft Entra e solicitar um token de acesso específico para o serviço Kusto. Em seguida, o cliente pode usar o token de acesso adquirido como prova de identidade ao emitir solicitações para seu banco de dados.

Os principais cenários de autenticação são os seguintes:

  • de autenticação do usuário: Usado para verificar a identidade de usuários humanos.
  • de autenticação de aplicativos: usado para verificar a identidade de um aplicativo que precisa acessar recursos sem intervenção humana usando credenciais configuradas.
  • de autenticação em nome de (OBO): Permite que um aplicativo troque um token por esse aplicativo por um token para acessar um serviço Kusto. Este fluxo deve ser implementado com a MSAL.
  • de autenticação de aplicativo de página única (SPA): Permite que aplicativos Web SPA do lado do cliente entrem em usuários e obtenham tokens para acessar seu banco de dados. Este fluxo deve ser implementado com a MSAL.

Observação

Para autenticação de usuários e aplicativos, recomendamos o uso das bibliotecas de cliente Kusto. Se você precisar de autenticação On-behalf-of (OBO) ou Single-Page Application (SPA), deverá usar o MSAL diretamente, pois as bibliotecas de cliente não oferecem suporte a esses fluxos. Para obter mais informações, consulte autenticar com a biblioteca de autenticação da Microsoft (MSAL).

Autenticação do usuário

A autenticação de usuário acontece quando um usuário apresenta credenciais para o Microsoft Entra ID ou um provedor de identidade que se federa com o Microsoft Entra ID, como os Serviços de Federação do Ative Directory. O usuário recebe de volta um token de segurança que pode ser apresentado ao serviço Azure Data Explorer. O Azure Data Explorer determina se o token é válido, se o token é emitido por um emissor confiável e quais declarações de segurança o token contém.

O Azure Data Explorer dá suporte aos seguintes métodos de autenticação de usuário, inclusive por meio das bibliotecas de cliente Kusto:

  • Autenticação interativa do usuário com login através da interface do usuário.
  • Autenticação de usuário com um token Microsoft Entra emitido para o Azure Data Explorer.
  • Autenticação de usuário com um token do Microsoft Entra emitido para outro recurso que pode ser trocado por um token do Azure Data Explorer usando a autenticação On-behalf-of (OBO).

Autenticação de aplicativos

A autenticação de aplicativos é necessária quando as solicitações não estão associadas a um usuário específico ou quando nenhum usuário está disponível para fornecer credenciais. Nesse caso, o aplicativo se autentica no Microsoft Entra ID ou no IdP federado apresentando informações secretas.

O Azure Data Explorer dá suporte aos seguintes métodos de autenticação de aplicativos, inclusive por meio das bibliotecas de cliente Kusto:

  • Autenticação de aplicativo com uma identidade gerenciada do Azure.
  • Autenticação de aplicativo com um certificado X.509v2 instalado localmente.
  • Autenticação de aplicativo com um certificado X.509v2 fornecido à biblioteca do cliente como um fluxo de bytes.
  • Autenticação de aplicativo com uma ID de aplicativo Microsoft Entra e uma chave de aplicativo Microsoft Entra. O ID do aplicativo e a chave do aplicativo são como um nome de usuário e senha.
  • Autenticação de aplicativo com um token válido do Microsoft Entra obtido anteriormente, emitido para o Azure Data Explorer.
  • Autenticação de aplicativo com um token Microsoft Entra emitido para outro recurso que pode ser trocado por um token do Azure Data Explorer usando a autenticação On-behalf-of (OBO).

Autorização

Antes de executar uma ação em um recurso, todos os usuários autenticados devem passar por uma verificação de autorização. O modelo de controle de acesso baseado em função Kusto é usado, onde os principais são atribuídos a uma ou mais funções de segurança. A autorização é concedida desde que uma das funções atribuídas ao usuário permita que ele execute a ação especificada. Por exemplo, a função Usuário do Banco de Dados concede às entidades de segurança o direito de ler os dados de um determinado banco de dados, criar tabelas no banco de dados e muito mais.

A associação de entidades de segurança a funções de segurança pode ser definida individualmente ou usando grupos de segurança definidos na ID do Microsoft Entra. Para obter mais informações sobre como atribuir funções de segurança, consulte Visão geral das funções de segurança.

Autorização de grupo

A autorização pode ser concedida a grupos de ID do Microsoft Entra atribuindo uma ou mais funções ao grupo.

Ao verificar a autorização para um usuário ou entidade de aplicativo, o sistema primeiro procura uma atribuição de função explícita que permita a ação específica. Se a atribuição de função não existir, o sistema verificará a associação da entidade de segurança em todos os grupos que poderiam autorizar a ação.

Se o principal for membro de um grupo com permissões apropriadas, a ação solicitada será autorizada. Caso contrário, a ação não passa na verificação de autorização e não é permitida.

Observação

A verificação de associações a grupos pode exigir muitos recursos. Como as associações de grupo não mudam com frequência, os resultados da verificação de associação são armazenados em cache. A duração do cache varia e determina a rapidez com que as alterações nas associações de grupo são atualizadas. Adicionar um usuário a um grupo pode levar até 30 minutos para se propagar. Remover um usuário de um grupo pode levar até três horas.

Forçar a atualização da associação ao grupo

As entidades de segurança podem forçar uma atualização das informações de associação ao grupo. Esse recurso é útil em cenários em que serviços de acesso privilegiado just-in-time (JIT), como o Microsoft Entra Privileged Identity Management (PIM), são usados para obter privilégios mais altos em um recurso.

Atualizar para um grupo específico

Os diretores podem forçar uma atualização do de associação ao grupo para um grupo específico. No entanto, aplicam-se as seguintes restrições:

  • Uma atualização pode ser solicitada até 10 vezes por hora, por entidade principal.
  • O responsável principal requerente deve ser membro do grupo no momento do pedido.

A solicitação resulta em um erro se qualquer uma dessas condições não for atendida.

Para reavaliar a associação da entidade de segurança atual a um grupo, execute o seguinte comando:

.clear cluster cache groupmembership with (group='<GroupFQN>')

Use o nome totalmente qualificado (FQN) do grupo. Para obter mais informações, consulte Fazendo referência a entidades e grupos do Microsoft Entra.

Atualizar para outras entidades

Uma entidade de segurança privilegiada pode solicitar um de atualização para outras entidades. A entidade solicitante deve ter acesso AllDatabaseMonitor para o serviço de destino. As entidades privilegiadas também podem executar o comando anterior sem restrições.

Para atualizar a associação ao grupo de outra entidade de segurança, execute o seguinte comando:

No comando a seguir, substitua <PrincipalFQN> pelo seu próprio FQN (nome totalmente qualificado) principal e <GroupFQN> pelo seu próprio FQN de grupo. Para obter mais informações, consulte Fazendo referência a entidades e grupos do Microsoft Entra.

.clear cluster cache groupmembership with (principal='<PrincipalFQN>', group='<GroupFQN>')

Conteúdo relacionado