보안 주체 참조
적용 대상: ✅Microsoft Fabric✅Azure Data Explorer
권한 부여 모델을 사용하면 Microsoft Entra 사용자 및 애플리케이션 ID와 MSA(Microsoft 계정)를 보안 주체로 사용할 수 있습니다. 이 문서에서는 Microsoft Entra ID 및 MSA 모두에 대해 지원되는 보안 주체 유형에 대한 개요를 제공하고 관리 명령을 사용하여 보안 역할을 할당할 때 이러한 보안 주체를 제대로 참조하는 방법을 보여 줍니다.
Microsoft Entra ID
환경에 액세스하는 권장 방법은 Microsoft Entra 서비스에 인증하는 것입니다. Microsoft Entra ID는 보안 주체를 인증하고 Microsoft의 Active Directory와 같은 다른 ID 공급자와 조정할 수 있는 ID 공급자입니다.
Microsoft Entra ID는 다음 인증 시나리오를 지원합니다.
- 사용자 인증 (대화형 로그인): 사용자 보안 주체를 인증하는 데 사용됩니다.
- 애플리케이션 인증 (비대화형 로그인): 사용자 상호 작용 없이 실행하거나 인증해야 하는 서비스 및 애플리케이션을 인증하는 데 사용됩니다.
참고 항목
- Microsoft Entra ID는 정의 온-프레미스 AD 엔터티에 의한 서비스 계정의 인증을 허용하지 않습니다. AD 서비스 계정에 해당하는 Microsoft Entra는 Microsoft Entra 애플리케이션입니다.
- SG(보안 그룹) 보안 주체만 지원하며 DG(메일 그룹) 보안 주체는 지원되지 않습니다. DG에 대한 액세스를 설정하려고 하면 오류가 발생합니다.
Microsoft Entra 보안 주체 및 그룹 참조
Microsoft Entra 사용자 및 애플리케이션 보안 주체 및 그룹을 참조하는 구문은 다음 표에 설명되어 있습니다.
UPN(사용자 계정 이름)을 사용하여 사용자 주체를 참조하는 경우 도메인 이름에서 테넌트를 유추하고 보안 주체를 찾으려고 시도합니다. 보안 주체를 찾을 수 없는 경우 사용자의 UPN 또는 개체 ID 외에 테넌트 ID 또는 이름을 명시적으로 지정합니다.
마찬가지로 그룹 전자 메일 주소를 UPN 형식 으로 사용하여 보안 그룹을 참조할 수 있으며 도메인 이름에서 테넌트를 유추하려고 시도합니다. 그룹을 찾을 수 없는 경우 그룹 표시 이름 또는 개체 ID 외에 테넌트 ID 또는 이름을 명시적으로 지정합니다.
| 엔터티 형식 | Microsoft Entra 테넌트 | 구문 |
|---|---|---|
| 사용자 | 암시적 | aaduser=UPN |
| 사용자 | 명시적(ID) | aaduser=UPN;TenantId또는 aaduser=ObjectID;TenantId |
| 사용자 | 명시적(이름) | aaduser=UPN;TenantName또는 aaduser=ObjectID;TenantName |
| 그룹 | 암시적 | aadgroup=GroupEmailAddress |
| 그룹 | 명시적(ID) | aadgroup=GroupDisplayName;TenantId또는 aadgroup=GroupObjectId;TenantId |
| 그룹 | 명시적(이름) | aadgroup=GroupDisplayName;TenantName또는 aadgroup=GroupObjectId;TenantName |
| App | 명시적(ID) | aadapp=ApplicationDisplayName;TenantId또는 aadapp=ApplicationId;TenantId |
| App | 명시적(이름) | aadapp=ApplicationDisplayName;TenantName또는 aadapp=ApplicationId;TenantName |
참고 항목
"앱" 형식을 사용하여 ApplicationId가 관리 ID 개체 ID 또는 애플리케이션(관리 ID 클라이언트) ID인 관리 ID를 참조합니다.
예제
다음 예제에서는 사용자 UPN을 사용하여 데이터베이스에서 사용자 역할의 주체를 Test 정의합니다. 테넌트 정보가 지정되지 않았으므로 클러스터는 UPN을 사용하여 Microsoft Entra 테넌트 해결을 시도합니다.
.add database Test users ('aaduser=imikeoein@fabrikam.com') 'Test user (AAD)'
다음 예제에서는 그룹 이름 및 테넌트 이름을 사용하여 데이터베이스의 사용자 역할에 Test 그룹을 할당합니다.
.add database Test users ('aadgroup=SGDisplayName;fabrikam.com') 'Test group @fabrikam.com (AAD)'
다음 예제에서는 앱 ID 및 테넌트 이름을 사용하여 데이터베이스에서 Test 앱에 사용자 역할을 할당합니다.
.add database Test users ('aadapp=4c7e82bd-6adb-46c3-b413-fdd44834c69b;fabrikam.com') 'Test app @fabrikam.com (AAD)'
Microsoft 계정(MSA)
MSA(Microsoft 계정)에 대한 사용자 인증이 지원됩니다. MSA는 모두 Microsoft에서 관리하는 비조직 사용자 계정입니다. 예: hotmail.com, live.com, outlook.com.
MSA 보안 주체 참조
| IdP | Type | 구문 |
|---|---|---|
| Live.com | 사용자 | msauser=UPN |
예시
다음 예제에서는 데이터베이스의 사용자 역할에 MSA 사용자를 할당합니다 Test .
.add database Test users ('msauser=abbiatkins@live.com') 'Test user (live.com)'
테이블에 대한 데이터 분할 정책을 관리하려면
관리 명령을 사용하여 보안 역할을 할당하는 방법 알아보기