參考安全性主體
適用於: ✅Microsoft網狀架構✅Azure 數據總管
授權模型允許使用 Microsoft Entra 使用者和應用程式身分識別,以及Microsoft帳戶 (MSA) 作為安全性主體。 本文提供Microsoft Entra ID 和 MSA 支援的主體類型概觀,並示範如何使用管理命令指派安全性角色時正確參考這些主體。
Microsoft Entra ID
存取您環境的建議方式是向 Microsoft Entra 服務進行驗證。 Microsoft Entra ID 是識別提供者,能夠驗證安全性主體,並與其他識別提供者協調,例如Microsoft的 Active Directory。
Microsoft Entra ID 支援下列驗證案例:
- 用戶驗證 (互動式登入):用來驗證人類主體。
- 應用程式驗證 (非互動式登入):用來驗證必須執行或驗證而不需使用者互動的服務與應用程式。
注意
- Microsoft Entra ID 不允許驗證定義內部部署 AD 實體的服務帳戶。 AD 服務帳戶的 Microsoft Entra 對等專案是 Microsoft Entra 應用程式。
- 僅支援安全組 (SG) 主體,不支援通訊群組 (DG) 主體。 嘗試設定 DG 的存取權會導致錯誤。
參考Microsoft Entra 主體和群組
下表概述參考Microsoft Entra 使用者和應用程式主體和群組的語法。
如果您使用 用戶主體名稱 (UPN) 參考用戶主體,則會嘗試從功能變數名稱推斷租使用者,並嘗試尋找主體。 如果找不到主體,除了使用者的UPN或物件標識碼之外,還明確指定租使用者標識碼或名稱。
同樣地,您可以使用UPN格式的群組電子郵件地址來參考安全組,並嘗試從功能變數名稱推斷租使用者。 如果找不到群組,除了群組顯示名稱或物件標識符之外,還明確指定租使用者標識碼或名稱。
| 實體類型 | Microsoft Entra 租使用者 | 語法 |
|---|---|---|
| User | 隱含 | aaduser=UPN |
| User | 明確 (識別元) | aaduser=UPN;TenantId或 aaduser=ObjectID;TenantId |
| User | 明確 (名稱) | aaduser=UPN;TenantName或 aaduser=ObjectID;TenantName |
| 群組 | 隱含 | aadgroup=GroupEmailAddress |
| 群組 | 明確 (識別元) | aadgroup=GroupDisplayName;TenantId或 aadgroup=GroupObjectId;TenantId |
| 群組 | 明確 (名稱) | aadgroup=GroupDisplayName;TenantName或 aadgroup=GroupObjectId;TenantName |
| App | 明確 (識別元) | aadapp=ApplicationDisplayName;TenantId或 aadapp=ApplicationId;TenantId |
| App | 明確 (名稱) | aadapp=ApplicationDisplayName;TenantName或 aadapp=ApplicationId;TenantName |
注意
使用「應用程式」格式來參考 受控識別,其中 ApplicationId 是受控識別物件識別碼或受控識別用戶端(應用程式)標識符。
範例
下列範例會使用使用者UPN來定義資料庫上使用者角色的 Test 主體。 未指定租用戶資訊,因此您的叢集會嘗試使用 UPN 解析Microsoft Entra 租使用者。
.add database Test users ('aaduser=imikeoein@fabrikam.com') 'Test user (AAD)'
下列範例會使用組名和租用戶名稱,將群組指派給資料庫上的 Test 使用者角色。
.add database Test users ('aadgroup=SGDisplayName;fabrikam.com') 'Test group @fabrikam.com (AAD)'
下列範例會使用應用程式識別碼和租用戶名稱,將應用程式指派給資料庫上的 Test 使用者角色。
.add database Test users ('aadapp=4c7e82bd-6adb-46c3-b413-fdd44834c69b;fabrikam.com') 'Test app @fabrikam.com (AAD)'
Microsoft 帳戶 (MSA)
支援Microsoft帳戶的用戶驗證(MSA)。 MSA 都是Microsoft管理的非組織用戶帳戶。 例如,hotmail.com、live.com、outlook.com。
參考 MSA 主體
| IdP | 類型 | 語法 |
|---|---|---|
| Live.com | User | msauser=UPN |
範例
下列範例會將 MSA 使用者指派給資料庫上的 Test 使用者角色。
.add database Test users ('msauser=abbiatkins@live.com') 'Test user (live.com)'
管理數據表的數據分割原則