Référencement des principaux de sécurité
S’applique à : ✅Microsoft Fabric✅Azure Data Explorer
Le modèle d’autorisation permet l’utilisation des identités d’utilisateur et d’application Microsoft Entra et des comptes Microsoft en tant que principaux de sécurité. Cet article fournit une vue d’ensemble des types de principaux pris en charge pour microsoft Entra ID et MSA, et montre comment référencer correctement ces principaux lors de l’attribution de rôles de sécurité à l’aide de commandes de gestion.
Microsoft Entra ID
La méthode recommandée pour accéder à votre environnement consiste à s’authentifier auprès du service Microsoft Entra. Microsoft Entra ID est un fournisseur d’identité capable d’authentifier les principaux de sécurité et de coordonner avec d’autres fournisseurs d’identité, tels que Microsoft Active Directory.
Microsoft Entra ID prend en charge les scénarios d’authentification suivants :
- Authentification utilisateur (connexion interactive) : utilisée pour authentifier les principaux humains.
- Authentification d’application (connexion non interactive) : utilisée pour authentifier les services et les applications qui doivent s’exécuter ou s’authentifier sans interaction utilisateur.
Remarque
- Microsoft Entra ID n’autorise pas l’authentification des comptes de service qui sont par définition des entités AD locales. L’équivalent Microsoft Entra d’un compte de service AD est l’application Microsoft Entra.
- Seuls les principaux du groupe de sécurité (SG) et non les principaux du groupe de distribution (DG) sont pris en charge. Une tentative de configuration de l’accès pour une DG entraîne une erreur.
Référencement des principaux et groupes Microsoft Entra
La syntaxe permettant de référencer les principaux et groupes d’utilisateurs et d’applications Microsoft Entra est décrite dans le tableau suivant.
Si vous utilisez un nom d’utilisateur principal (UPN) pour référencer un principal d’utilisateur et qu’une tentative sera effectuée pour déduire le locataire à partir du nom de domaine et essayer de trouver le principal. Si le principal est introuvable, spécifiez explicitement l’ID de locataire ou le nom en plus de l’UPN ou de l’ID d’objet de l’utilisateur.
De même, vous pouvez référencer un groupe de sécurité avec l’adresse e-mail du groupe au format UPN et une tentative sera effectuée pour déduire le locataire à partir du nom de domaine. Si le groupe est introuvable, spécifiez explicitement l’ID de locataire ou le nom en plus du nom d’affichage du groupe ou de l’ID d’objet.
| Type d’entité | Client Microsoft Entra | Syntaxe |
|---|---|---|
| Utilisateur | Implicite | aaduser=UPN |
| Utilisateur | Explicite (ID) | aaduser=UPN ;TenantIdor aaduser=ObjectID ;TenantId |
| Utilisateur | Explicite (Nom) | aaduser=UPN ;TenantNameor aaduser=ObjectID ;TenantName |
| Groupe | Implicite | aadgroup=GroupEmailAddress |
| Groupe | Explicite (ID) | aadgroup=GroupDisplayName ;TenantIdor aadgroup=GroupObjectId ;TenantId |
| Groupe | Explicite (Nom) | aadgroup=GroupDisplayName ;TenantNameor aadgroup=GroupObjectId ;TenantName |
| Application | Explicite (ID) | aadapp=ApplicationDisplayName ;TenantIdor aadapp=ApplicationId ;TenantId |
| Application | Explicite (Nom) | aadapp=ApplicationDisplayName ;TenantNameor aadapp=ApplicationId ;TenantName |
Remarque
Utilisez le format « Application » pour référencer les identités managées, dans lequel l’ID d’objet d’identité managée est l’ID d’objet d’identité managée ou l’ID du client d’identité managée (application).
Exemples
L’exemple suivant utilise l’UPN utilisateur pour définir un principal le rôle d’utilisateur sur la Test base de données. Les informations du locataire ne sont pas spécifiées. Votre cluster tente donc de résoudre le locataire Microsoft Entra à l’aide de l’UPN.
.add database Test users ('aaduser=imikeoein@fabrikam.com') 'Test user (AAD)'
L’exemple suivant utilise un nom de groupe et un nom de locataire pour affecter le groupe au rôle d’utilisateur sur la Test base de données.
.add database Test users ('aadgroup=SGDisplayName;fabrikam.com') 'Test group @fabrikam.com (AAD)'
L’exemple suivant utilise un ID d’application et un nom de locataire pour affecter l’application au rôle d’utilisateur sur la Test base de données.
.add database Test users ('aadapp=4c7e82bd-6adb-46c3-b413-fdd44834c69b;fabrikam.com') 'Test app @fabrikam.com (AAD)'
Comptes Microsoft
L’authentification utilisateur pour les comptes Microsoft (MSA) est prise en charge. Les msas sont tous les comptes d’utilisateur non organisationnels gérés par Microsoft. Par exemple, hotmail.com, live.com, outlook.com.
Référencement de principaux MSA
| Fournisseur d'identité | Type | Syntaxe |
|---|---|---|
| Live.com | Utilisateur | msauser=UPN |
Exemple
L’exemple suivant affecte un utilisateur MSA au rôle d’utilisateur sur la Test base de données.
.add database Test users ('msauser=abbiatkins@live.com') 'Test user (live.com)'
pour gérer les stratégies de partitionnement des données pour les tables
Découvrez comment utiliser le Portail Azure pour gérer les principaux et rôles de base de données
Découvrez comment utiliser des commandes de gestion pour attribuer des rôles de sécurité