Поделиться через

Обзор управления доступом

  • Статья

Применимо: ✅Microsoft FabricAzure Data Explorer

Управление доступом основано на проверке подлинности и авторизации. Каждый запрос и команда в ресурсе Azure Data Explorer, например кластер или база данных, должны проходить проверку подлинности и авторизации.

Управление доступом основано на проверке подлинности и авторизации. Каждый запрос и команда в ресурсе Fabric, например база данных, должна пройти проверку подлинности и авторизации.

  • проверки подлинности: проверяет удостоверение субъекта безопасности, выполняющего запрос.
  • авторизации. Проверяет субъект безопасности, выполняющий запрос, разрешено выполнять этот запрос в целевом ресурсе.

Аутентификация

Для программной проверки подлинности клиент должен взаимодействовать с идентификатором Microsoft Entra ID и запрашивать маркер доступа, характерный для службы Kusto. Затем клиент может использовать полученный маркер доступа в качестве подтверждения удостоверения при выдаче запросов в базу данных.

Ниже приведены основные сценарии проверки подлинности.

  • аутентификации пользователей: используется для проверки личности пользователей.
  • аутентификации приложений: используется для проверки удостоверения приложения, которому требуется доступ к ресурсам без вмешательства человека с помощью настроенных учетных данных.
  • аутентификации от имени (OBO): позволяет приложению обмениваться маркером для указанного приложения с маркером для доступа к службе Kusto. Этот поток должен быть реализован с помощью MSAL.
  • аутентификации одностраничного приложения (SPA): позволяет клиентским веб-приложениям SPA выполнять вход пользователей и получать маркеры для доступа к базе данных. Этот поток должен быть реализован с помощью MSAL.

Заметка

Для проверки подлинности пользователей и приложений рекомендуется использовать клиентские библиотеки Kusto. Если требуется проверка подлинности от имени (OBO) или Single-Page приложения (SPA), необходимо использовать MSAL непосредственно в качестве клиентских библиотек не поддерживают эти потоки. Дополнительные сведения см. в аутентификации с помощью библиотеки проверки подлинности Майкрософт (MSAL).

Проверка подлинности пользователя

Проверка подлинности пользователей происходит, когда пользователь предоставляет учетные данные идентификатору Microsoft Entra ID или поставщику удостоверений, который объединяется с идентификатором Microsoft Entra, например службами федерации Active Directory. Пользователь возвращает маркер безопасности, который может быть представлен службе Azure Data Explorer. Azure Data Explorer определяет, является ли маркер допустимым, является ли маркер выдан доверенным издателем, а также какие утверждения безопасности содержит маркер.

Azure Data Explorer поддерживает следующие методы проверки подлинности пользователей, включая клиентские библиотеки Kusto:

  • Интерактивная проверка подлинности пользователей с помощью входа через пользовательский интерфейс.
  • Проверка подлинности пользователей с помощью маркера Microsoft Entra, выданного для Azure Data Explorer.
  • Проверка подлинности пользователей с помощью маркера Microsoft Entra, выданного для другого ресурса, который можно обменять на маркер Azure Data Explorer с помощью проверки подлинности от имени (OBO).

Проверка подлинности приложения

Проверка подлинности приложения требуется, если запросы не связаны с определенным пользователем или когда пользователь недоступен для предоставления учетных данных. В этом случае приложение проходит проверку подлинности в идентификаторе Microsoft Entra или федеративном поставщике удостоверений путем представления секретных сведений.

Azure Data Explorer поддерживает следующие методы проверки подлинности приложений, включая клиентские библиотеки Kusto:

  • Проверка подлинности приложения с помощью управляемого удостоверения Azure.
  • Проверка подлинности приложения с помощью сертификата X.509v2, установленного локально.
  • Проверка подлинности приложения с сертификатом X.509v2, предоставленным клиентской библиотеке в виде потока байтов.
  • Проверка подлинности приложения с идентификатором приложения Microsoft Entra и ключом приложения Microsoft Entra. Идентификатор приложения и ключ приложения похожи на имя пользователя и пароль.
  • Проверка подлинности приложения с помощью ранее полученного маркера Microsoft Entra, выданного в Azure Data Explorer.
  • Проверка подлинности приложения с помощью маркера Microsoft Entra, выданного для другого ресурса, который можно обменять на маркер Azure Data Explorer с помощью проверки подлинности от имени (OBO).

Авторизация

Перед выполнением действия по ресурсу все прошедшие проверку подлинности пользователи должны пройти проверку авторизации. Используется модель управления доступом на основе ролей Kusto, где субъекты относятся к одной или нескольким ролям безопасности. Авторизация предоставляется до тех пор, пока одна из ролей, назначенных пользователю, позволяет им выполнять указанное действие. Например, роль пользователя базы данных предоставляет субъектам безопасности право читать данные определенной базы данных, создавать таблицы в базе данных и многое другое.

Связь субъектов безопасности с ролями безопасности можно определить по отдельности или с помощью групп безопасности, определенных в идентификаторе Microsoft Entra. Дополнительные сведения о назначении ролей безопасности см. в обзоре ролей безопасности.

Авторизация группы

Авторизацию можно предоставить группам идентификаторов Microsoft Entra, назначив одну или несколько ролей группе.

При проверке авторизации для пользователя или участника приложения система сначала ищет явное назначение ролей, разрешающее конкретное действие. Если назначение роли не существует, система проверяет членство участника во всех группах, которые могут авторизовать действие.

Если субъект является членом группы с соответствующими разрешениями, запрошенное действие авторизовано. В противном случае действие не проходит проверку авторизации и запрещается.

Заметка

Проверка членства в группах может быть ресурсоемкой. Так как членства в группах часто не изменяются, результаты проверки членства кэшируются. Длительность кэширования зависит и определяет, насколько быстро обновляются изменения членства в группах. Добавление пользователя в группу может занять до 30 минут для распространения. Удаление пользователя из группы может занять до трех часов.

Принудительное обновление членства в группах

Субъекты могут принудительно обновить сведения о членстве в группах. Эта возможность полезна в сценариях, когда для получения более высоких привилегий в ресурсе используются службы JIT, такие как Microsoft Entra Privileged Identity Management (PIM).

Обновление для определенной группы

Субъекты могут принудительно обновить членство в группах для определенной группы. Однако применяются следующие ограничения:

  • Обновление можно запрашивать до 10 раз в час на участника.
  • Запрашивающий субъект должен быть членом группы во время запроса.

Запрос приводит к ошибке, если одно из этих условий не выполнено.

Чтобы повторно оценить членство текущего участника в группе, выполните следующую команду:

.clear cluster cache groupmembership with (group='<GroupFQN>')

Используйте полное имя группы (FQN). Дополнительные сведения см. в разделе Ссылки на субъекты и группы Microsoft Entra.

Обновление для других субъектов

Привилегированный субъект может запросить обновление для других субъектов. Запрашивающий субъект должен иметь доступ AllDatabaseMonitor для целевой службы. Привилегированные субъекты также могут выполнять предыдущую команду без ограничений.

Чтобы обновить членство в группе другого участника, выполните следующую команду:

В следующей команде замените <PrincipalFQN> собственным полным именем субъекта (FQN) и <GroupFQN> на полное доменное имя группы. Дополнительные сведения см. в разделе Ссылки на субъекты и группы Microsoft Entra.

.clear cluster cache groupmembership with (principal='<PrincipalFQN>', group='<GroupFQN>')

Связанное содержимое