Megosztás a következőn keresztül:

Hozzáférés-vezérlés áttekintése

  • Cikk

A következőkre vonatkozik: ✅Microsoft FabricAzure Data Explorer

A hozzáférés-vezérlés a hitelesítésen és az engedélyezésen alapul. Az Azure Data Explorer-erőforrás minden lekérdezésének és parancsának, például egy fürtnek vagy adatbázisnak át kell adnia a hitelesítést és az engedélyezést is.

A hozzáférés-vezérlés a hitelesítésen és az engedélyezésen alapul. A Fabric-erőforrás minden lekérdezésének és parancsának( például egy adatbázisnak) hitelesítési és engedélyezési ellenőrzéseket kell végrehajtania.

  • Hitelesítési: Ellenőrzi a kérést küldő biztonsági tag identitását
  • Engedélyezési: Ellenőrzi, hogy a kérést küldő biztonsági tag jogosult-e a kérést a célerőforrásra

Hitelesítés

A programozott hitelesítéshez az ügyfélnek kommunikálnia kell Microsoft Entra-azonosítóval, és le kell kérnie a Kusto szolgáltatásra vonatkozó hozzáférési jogkivonatot. Ezután az ügyfél használhatja a beszerzett hozzáférési jogkivonatot az identitás igazolására az adatbázisra irányuló kérések kiadásakor.

A fő hitelesítési forgatókönyvek a következők:

  • felhasználói hitelesítés: Az emberi felhasználók személyazonosságának ellenőrzésére szolgál.
  • alkalmazáshitelesítési: Egy olyan alkalmazás identitásának ellenőrzésére szolgál, amely emberi beavatkozás nélkül, konfigurált hitelesítő adatokkal fér hozzá az erőforrásokhoz.
  • Helyszíni (OBO) hitelesítés: Lehetővé teszi, hogy az alkalmazás jogkivonatot cseréljen az említett alkalmazásra egy jogkivonattal egy Kusto-szolgáltatás eléréséhez. Ezt a folyamatot az MSAL használatával kell megvalósítani.
  • egyoldalas (SPA) hitelesítési: Lehetővé teszi, hogy az ügyféloldali SPA-webalkalmazások bejelentkezhessenek a felhasználókba, és jogkivonatokat szerezzenek az adatbázis eléréséhez. Ezt a folyamatot az MSAL használatával kell megvalósítani.

Jegyzet

A felhasználó- és alkalmazáshitelesítéshez javasoljuk a Kusto-ügyfélkódtárakhasználatát. Ha az OBO vagy Single-Page alkalmazás (SPA) hitelesítésére van szüksége, akkor közvetlenül az MSAL-t kell használnia, mivel az ügyfélkódtárak nem támogatják ezeket a folyamatokat. További információ: Hitelesítés a Microsoft Authentication Library (MSAL).

Felhasználói hitelesítés

A felhasználói hitelesítés akkor történik, ha egy felhasználó hitelesítő adatokat ad meg a Microsoft Entra-azonosítónak vagy egy Olyan identitásszolgáltatónak, amely a Microsoft Entra-azonosítóval van összevonva, például az Active Directory összevonási szolgáltatásokhoz. A felhasználó egy biztonsági jogkivonatot kap vissza, amely bemutatható az Azure Data Explorer szolgáltatásban. Az Azure Data Explorer meghatározza, hogy a jogkivonat érvényes-e, hogy a jogkivonatot megbízható kiállító adta-e ki, és hogy a jogkivonat milyen biztonsági jogcímeket tartalmaz.

Az Azure Data Explorer a következő felhasználói hitelesítési módszereket támogatja, többek között a Kusto-ügyfélkódtárakon keresztül:

  • Interaktív felhasználói hitelesítés bejelentkezéssel a felhasználói felületen keresztül.
  • Felhasználói hitelesítés az Azure Data Explorerhez kiadott Microsoft Entra-jogkivonattal.
  • Felhasználóhitelesítés egy másik erőforráshoz kiadott Microsoft Entra-jogkivonattal, amely az Azure Data Explorer-jogkivonatra cserélhető az OBO-hitelesítés használatával.

Alkalmazáshitelesítés

Alkalmazáshitelesítésre akkor van szükség, ha a kérések nincsenek hozzárendelve egy adott felhasználóhoz, vagy ha nem áll rendelkezésre felhasználó a hitelesítő adatok megadásához. Ebben az esetben az alkalmazás titkos adatok bemutatásával hitelesíti a Microsoft Entra-azonosítót vagy az összevont identitásszolgáltatót.

Az Azure Data Explorer az alábbi alkalmazáshitelesítési módszereket támogatja, többek között a Kusto-ügyfélkódtárakon keresztül:

  • Alkalmazáshitelesítés azure-beli felügyelt identitással.
  • Alkalmazáshitelesítés helyileg telepített X.509v2 tanúsítvánnyal.
  • Alkalmazáshitelesítés egy X.509v2-tanúsítvánnyal, amelyet az ügyfélkódtár bájtfolyamként kap.
  • Alkalmazáshitelesítés Microsoft Entra-alkalmazásazonosítóval és Microsoft Entra alkalmazáskulcsmal. Az alkalmazásazonosító és az alkalmazáskulcs olyan, mint a felhasználónév és a jelszó.
  • Alkalmazáshitelesítés egy korábban beszerzett érvényes Microsoft Entra-jogkivonattal, amelyet az Azure Data Explorernek adtak ki.
  • Alkalmazáshitelesítés egy másik erőforráshoz kiadott Microsoft Entra-jogkivonattal, amely egy Azure Data Explorer-jogkivonatra cserélhető az OBO-hitelesítés használatával.

Felhatalmazás

Mielőtt műveletet hajtanak végre egy erőforráson, minden hitelesített felhasználónak át kell adnia egy engedélyezési ellenőrzést. A rendszer a Kusto szerepköralapú hozzáférés-vezérlési modellt használja, ahol a rendszer egy vagy több biztonsági szerepkörhöz írja le a tagokat. Az engedélyezés mindaddig meg van adva, amíg a felhasználóhoz rendelt szerepkörök egyike lehetővé teszi számukra a megadott művelet végrehajtását. Az Adatbázis-felhasználó szerepkör például jogot biztosít a biztonsági tagoknak egy adott adatbázis adatainak olvasására, táblák létrehozására az adatbázisban stb.

A biztonsági tagok biztonsági szerepkörökhöz való társítása külön-külön vagy a Microsoft Entra-azonosítóban meghatározott biztonsági csoportok használatával határozható meg. További információ a biztonsági szerepkörök hozzárendeléséről: Biztonsági szerepkörök áttekintése.

Csoportengedélyezési lehetőség

Az engedélyezés a Microsoft Entra-azonosító csoportok számára egy vagy több szerepkör csoporthoz való hozzárendelésével adható meg.

Egy felhasználó vagy alkalmazásnév engedélyezésének ellenőrzésekor a rendszer először egy explicit szerepkör-hozzárendelést keres, amely engedélyezi az adott műveletet. Ha a szerepkör-hozzárendelés nem létezik, akkor a rendszer ellenőrzi az ügyfél tagságát az összes olyan csoportban, amely engedélyezheti a műveletet.

Ha az egyszerű tag egy megfelelő engedélyekkel rendelkező csoport tagja, a kért művelet engedélyezett. Ellenkező esetben a művelet nem felel meg az engedélyezési ellenőrzésnek, és nincs engedélyezve.

Jegyzet

A csoporttagságok ellenőrzése erőforrás-igényes lehet. Mivel a csoporttagságok nem változnak gyakran, a rendszer gyorsítótárazza a tagság-ellenőrzési eredményeket. A gyorsítótárazás időtartama változó, és meghatározza, hogy milyen gyorsan frissülnek a csoporttagságok módosításai. Egy felhasználó csoporthoz való hozzáadása akár 30 percet is igénybe vehet a propagáláshoz. Egy felhasználó csoportból való eltávolítása akár három órát is igénybe vehet.

Csoporttagság frissítésének kényszerítése

A tagok kényszeríthetik a csoporttagság adatainak frissítését. Ez a képesség olyan helyzetekben hasznos, amikor az igény szerinti (JIT) jogosultsági hozzáférési szolgáltatásokat, például a Microsoft Entra Privileged Identity Managementet (PIM) használják az erőforrások magasabb szintű jogosultságainak beszerzésére.

Adott csoport frissítése

Az egyszerű tagok kényszeríthetik a csoporttagság frissítését egy adott csoport. A következő korlátozások azonban érvényesek:

  • A frissítés akár óránként 10 alkalommal is kérhető tagonként.
  • A kérelmező tagnak a kérelem időpontjában a csoport tagjának kell lennie.

A kérés hibát eredményez, ha valamelyik feltétel nem teljesül.

Az aktuális tag csoporttagságának újraértékeléséhez futtassa a következő parancsot:

.clear cluster cache groupmembership with (group='<GroupFQN>')

Használja a csoport teljes nevét (FQN). További információ: Microsoft Entra-tagok és -csoportok hivatkozása.

Frissítés más tagok számára

A kiemelt tagok kérhetik a frissítési más tagok. A kérelmezőnek AllDatabaseMonitor hozzáféréssel kell rendelkeznie a célszolgáltatáshoz. A kiemelt tagok korlátozás nélkül is futtathatják az előző parancsot.

Egy másik tag csoporttagságának frissítéséhez futtassa a következő parancsot:

Az alábbi parancsban cserélje le a <PrincipalFQN> saját teljes névre (FQN), és <GroupFQN> a saját csoport teljes tartománynevére. További információ: Microsoft Entra-tagok és -csoportok hivatkozása.

.clear cluster cache groupmembership with (principal='<PrincipalFQN>', group='<GroupFQN>')

Kapcsolódó tartalom