Ссылки на субъекты безопасности
Область применения: ✅Microsoft Fabric✅Azure Data Explorer
Модель авторизации позволяет использовать удостоверения пользователей и приложений Microsoft Entra и учетные записи Майкрософт (MSAs) в качестве субъектов безопасности. В этой статье представлен обзор поддерживаемых типов субъектов для идентификатора Microsoft Entra и MSAs, а также показано, как правильно ссылаться на эти субъекты при назначении ролей безопасности с помощью команд управления.
Microsoft Entra ID
Рекомендуемый способ доступа к вашей среде — проверка подлинности в службе Microsoft Entra. Идентификатор Microsoft Entra — это поставщик удостоверений, способный выполнять проверку подлинности субъектов безопасности и координировать работу с другими поставщиками удостоверений, такими как Microsoft Active Directory.
Идентификатор Microsoft Entra поддерживает следующие сценарии проверки подлинности:
- Проверка подлинности пользователей (интерактивный вход): используется для проверки подлинности субъектов-пользователей.
- Проверка подлинности приложений (неинтерактивный вход): используется для проверки подлинности служб и приложений, которые должны выполнять или проходить проверку подлинности без взаимодействия с пользователем.
Примечание.
- Идентификатор Microsoft Entra не разрешает проверку подлинности учетных записей служб, которые являются локальными сущностями AD. Эквивалент Microsoft Entra учетной записи службы AD — это приложение Microsoft Entra.
- Поддерживаются только субъекты группы безопасности (SG), а не субъекты группы рассылки (DG). Попытка настроить доступ для DG приведет к ошибке.
Ссылка на субъекты и группы Microsoft Entra
Синтаксис ссылки на пользователей и групп приложений Microsoft Entra описан в следующей таблице.
Если вы используете имя участника-пользователя для ссылки на участника-пользователя, и попытка вывести клиент из доменного имени и попытаться найти участника. Если субъект не найден, явно укажите идентификатор клиента или имя в дополнение к имени участника-пользователя или идентификатору объекта.
Аналогичным образом можно ссылаться на группу безопасности с адресом электронной почты группы в формате имени участника-пользователя и предпринять попытку вывода клиента из доменного имени. Если группа не найдена, явно укажите идентификатор клиента или имя в дополнение к отображаемого имени группы или идентификатору объекта.
| Тип сущности | Клиент Microsoft Entra | Синтаксис |
|---|---|---|
| User | Неявный | aaduser=Имя участника-участника |
| User | Явный (идентификатор) | aaduser=Имя участника-участника;TenantIdor aaduser=ObjectID;TenantId |
| User | Явное (имя) | aaduser=Имя участника-участника;TenantNameor aaduser=ObjectID;TenantName |
| Групповой | Неявный | aadgroup=GroupEmailAddress |
| Групповой | Явный (идентификатор) | aadgroup=GroupDisplayName;TenantIdor aadgroup=GroupObjectId;TenantId |
| Групповой | Явное (имя) | aadgroup=GroupDisplayName;TenantNameor aadgroup=GroupObjectId;TenantName |
| Приложение | Явный (идентификатор) | aadapp=ApplicationDisplayName;TenantIdor aadapp=ApplicationId;TenantId |
| Приложение | Явное (имя) | aadapp=ApplicationDisplayName;TenantNameor aadapp=ApplicationId;TenantName |
Примечание.
Используйте формат App для ссылки на управляемые удостоверения, в которых ApplicationId является идентификатором объекта управляемого удостоверения или идентификатором клиента управляемого удостоверения (приложения).
Примеры
В следующем примере имя участника-пользователя используется для определения участника-пользователя роли пользователя в Test базе данных. Сведения о клиенте не указаны, поэтому кластер попытается разрешить клиент Microsoft Entra с помощью имени участника-пользователя.
.add database Test users ('aaduser=imikeoein@fabrikam.com') 'Test user (AAD)'
В следующем примере используется имя группы и имя клиента для назначения группе роли пользователя в Test базе данных.
.add database Test users ('aadgroup=SGDisplayName;fabrikam.com') 'Test group @fabrikam.com (AAD)'
В следующем примере используется идентификатор приложения и имя клиента для назначения роли пользователя в Test базе данных.
.add database Test users ('aadapp=4c7e82bd-6adb-46c3-b413-fdd44834c69b;fabrikam.com') 'Test app @fabrikam.com (AAD)'
Учетные записи Майкрософт (MSA)
Проверка подлинности пользователей для учетных записей Майкрософт (MSAs) поддерживается. MsAs — это все учетные записи пользователей, управляемых корпорацией Майкрософт, не являющихся организацией. Например hotmail.com, live.com, outlook.com.
Ссылка на субъекты MSA
| IdP | Тип | Синтаксис |
|---|---|---|
| Live.com | User | msauser=Имя участника-участника |
Пример
В следующем примере пользователь MSA назначает роль пользователя в Test базе данных.
.add database Test users ('msauser=abbiatkins@live.com') 'Test user (live.com)'
Управление политиками секционирования данных для таблиц
Общие сведения о проверке подлинности
Узнайте, как использовать портал Azure для управления субъектами и ролями базы данных
Узнайте, как использовать команды управления для назначения ролей безопасности