Güvenlik sorumlularına başvurma
Şunlar için geçerlidir: ✅Microsoft Fabric✅Azure Veri Gezgini
Yetkilendirme modeli, Microsoft Entra kullanıcı ve uygulama kimliklerinin ve Microsoft Hesaplarının (MSA) güvenlik sorumlusu olarak kullanılmasına olanak tanır. Bu makalede hem Microsoft Entra Kimliği hem de MSA'lar için desteklenen sorumlu türlerine genel bir bakış sağlanır ve yönetim komutlarını kullanarak güvenlik rollerini atarken bu sorumlulara nasıl düzgün başvurulduğunu gösterir.
Microsoft Entra Kimlik
Ortamınıza erişmenin önerilen yolu, Microsoft Entra hizmetinde kimlik doğrulaması yapmaktır. Microsoft Entra Id, güvenlik sorumlularının kimliğini doğrulayabilen ve Microsoft'un Active Directory'si gibi diğer kimlik sağlayıcılarıyla işbirliği yapabilen bir kimlik sağlayıcısıdır.
Microsoft Entra ID aşağıdaki kimlik doğrulama senaryolarını destekler:
- Kullanıcı kimlik doğrulaması (etkileşimli oturum açma): İnsan sorumlularının kimliğini doğrulamak için kullanılır.
- Uygulama kimlik doğrulaması (etkileşimli olmayan oturum açma): Kullanıcı etkileşimi olmadan çalışması veya kimlik doğrulaması yapmak zorunda olan hizmetlerin ve uygulamaların kimliğini doğrulamak için kullanılır.
Not
- Microsoft Entra Id, şirket içi AD varlıkları tanımına göre hizmet hesaplarının kimlik doğrulamasına izin vermez. AD hizmet hesabının Microsoft Entra eşdeğeri, Microsoft Entra uygulamasıdır.
- Yalnızca Güvenlik Grubu (SG) sorumlularını destekler ve Dağıtım Grubu (DG) sorumluları desteklenmez. DG için erişimi ayarlama girişimi hataya neden olur.
Microsoft Entra sorumlularına ve gruplarına başvurma
Microsoft Entra kullanıcı ve uygulama sorumlularına ve gruplarına başvurma söz dizimi aşağıdaki tabloda özetlenmiştir.
Kullanıcı sorumlusuna başvurmak için Kullanıcı Asıl Adı (UPN) kullanırsanız ve kiracıyı etki alanı adından çıkararak sorumluyu bulmaya çalışırsanız. Sorumlu bulunamazsa, kullanıcının UPN veya nesne kimliğine ek olarak kiracı kimliğini veya adını açıkça belirtin.
Benzer şekilde, UPN biçiminde grup e-posta adresi olan bir güvenlik grubuna başvurabilirsiniz ve kiracıyı etki alanı adından çıkarılmaya çalışılır. Grup bulunamazsa, grup görünen adına veya nesne kimliğine ek olarak kiracı kimliğini veya adını açıkça belirtin.
| Varlık Türü | Microsoft Entra kiracısı | Sözdizimi |
|---|---|---|
| User | Örtük | aaduser=UPN |
| User | Açık (Kimlik) | aaduser=UPN;Kiracı Kimliğiveya aaduser=ObjectID;Kiracı Kimliği |
| User | Açık (Ad) | aaduser=UPN;Kiracı Adıveya aaduser=ObjectID;Kiracı Adı |
| Gruplandırma | Örtük | aadgroup=GroupEmailAddress |
| Gruplandırma | Açık (Kimlik) | aadgroup=GroupDisplayName;Kiracı Kimliğiveya aadgroup=GroupObjectId;Kiracı Kimliği |
| Gruplandırma | Açık (Ad) | aadgroup=GroupDisplayName;Kiracı Adıveya aadgroup=GroupObjectId;Kiracı Adı |
| Uygulama | Açık (Kimlik) | aadapp=ApplicationDisplayName;Kiracı Kimliğiveya aadapp=ApplicationId;Kiracı Kimliği |
| Uygulama | Açık (Ad) | aadapp=ApplicationDisplayName;Kiracı Adıveya aadapp=ApplicationId;Kiracı Adı |
Not
ApplicationId'nin yönetilen kimlik nesne kimliği veya yönetilen kimlik istemcisi (uygulama) kimliği olduğu yönetilen kimliklere başvurmak için "Uygulama" biçimini kullanın.
Örnekler
Aşağıdaki örnek, veritabanında kullanıcı rolünün sorumlusunu tanımlamak için kullanıcı UPN'sini Test kullanır. Kiracı bilgileri belirtilmediğinden kümeniz UPN kullanarak Microsoft Entra kiracısını çözümlemeye çalışır.
.add database Test users ('aaduser=imikeoein@fabrikam.com') 'Test user (AAD)'
Aşağıdaki örnek, grubu veritabanındaki kullanıcı rolüne Test atamak için bir grup adı ve kiracı adı kullanır.
.add database Test users ('aadgroup=SGDisplayName;fabrikam.com') 'Test group @fabrikam.com (AAD)'
Aşağıdaki örnek, uygulamaya veritabanındaki kullanıcı rolünü Test atamak için bir uygulama kimliği ve kiracı adı kullanır.
.add database Test users ('aadapp=4c7e82bd-6adb-46c3-b413-fdd44834c69b;fabrikam.com') 'Test app @fabrikam.com (AAD)'
Microsoft Hesapları (MSA'lar)
Microsoft Hesapları (MSA) için kullanıcı kimlik doğrulaması desteklenir. MSA'lar, Microsoft tarafından yönetilen kuruluş dışı kullanıcı hesaplarının tümüdir. Örneğin, hotmail.com, live.com, outlook.com.
MSA sorumlularına başvurma
| IdP | Tür | Sözdizimi |
|---|---|---|
| Live.com | User | msauser=UPN |
Örnek
Aşağıdaki örnek, veritabanındaki kullanıcı rolüne Test bir MSA kullanıcısı atar.
.add database Test users ('msauser=abbiatkins@live.com') 'Test user (live.com)'
tablolar için veri bölümleme ilkelerini yönetmek için
Kimlik doğrulamasına genel bakış
Veritabanı sorumlularını ve rollerini yönetmek için Azure portalını kullanmayı öğrenin
Güvenlik rolleri atamak için yönetim komutlarını kullanmayı öğrenin