Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Aplica-se a: ✅Microsoft Fabric✅ do Azure Data Explorer
O controle de acesso é baseado em autenticação e autorização. Cada consulta e comando em um recurso do Azure Data Explorer, como um cluster ou banco de dados, deve passar por verificações de autenticação e autorização.
O controle de acesso é baseado em autenticação e autorização. Cada consulta e comando em um recurso do Fabric, como um banco de dados, deve passar por verificações de autenticação e autorização.
- de Autenticação: valida a identidade da entidade de segurança que está fazendo uma solicitação
- de Autorização: valida que a entidade de segurança que está fazendo uma solicitação tem permissão para fazer essa solicitação no recurso de destino
Autenticação
Para autenticar programaticamente, um cliente deve se comunicar com microsoft entra ID e solicitar um token de acesso específico para o serviço Kusto. Em seguida, o cliente pode usar o token de acesso adquirido como prova de identidade ao emitir solicitações para seu banco de dados.
Os principais cenários de autenticação são os seguintes:
- de autenticação de usuário: usado para verificar a identidade dos usuários humanos.
- autenticação de aplicativo: usado para verificar a identidade de um aplicativo que precisa acessar recursos sem intervenção humana usando credenciais configuradas.
- autenticação em nome de (OBO): permite que um aplicativo troque um token por esse aplicativo com um token para acessar um serviço Kusto. Esse fluxo deve ser implementado com MSAL.
- de autenticação spa (aplicativo de página única): permite que aplicativos Web SPA do lado do cliente conectem usuários e obtenham tokens para acessar seu banco de dados. Esse fluxo deve ser implementado com MSAL.
Nota
Para autenticação de usuário e aplicativo, recomendamos usar as bibliotecas de clientes do Kusto. Se você precisar da autenticação OBO (On-behalf-of) ou Single-Page Application (SPA), deverá usar a MSAL diretamente, pois as bibliotecas de cliente não dão suporte a esses fluxos. Para obter mais informações, consulte Autenticar com a MSAL (Biblioteca de Autenticação da Microsoft).
Autenticação do usuário
A autenticação do usuário ocorre quando um usuário apresenta credenciais para a ID do Microsoft Entra ou um provedor de identidade que federa com a ID do Microsoft Entra, como os Serviços de Federação do Active Directory. O usuário recebe de volta um token de segurança que pode ser apresentado ao serviço do Azure Data Explorer. O Azure Data Explorer determina se o token é válido, se o token é emitido por um emissor confiável e quais declarações de segurança o token contém.
O Azure Data Explorer dá suporte aos seguintes métodos de autenticação de usuário, inclusive por meio das bibliotecas de clientes do Kusto:
- Autenticação interativa do usuário com entrada por meio da interface do usuário.
- Autenticação do usuário com um token do Microsoft Entra emitido para o Azure Data Explorer.
- Autenticação de usuário com um token do Microsoft Entra emitido para outro recurso que pode ser trocado por um token do Azure Data Explorer usando a autenticação OBO (em nome de).
Autenticação de aplicativo
A autenticação de aplicativo é necessária quando as solicitações não são associadas a um usuário específico ou quando nenhum usuário está disponível para fornecer credenciais. Nesse caso, o aplicativo é autenticado na ID do Microsoft Entra ou no IdP federado apresentando informações secretas.
O Azure Data Explorer dá suporte aos seguintes métodos de autenticação de aplicativo, inclusive por meio das bibliotecas de clientes do Kusto:
- Autenticação de aplicativo com uma identidade gerenciada do Azure.
- Autenticação de aplicativo com um certificado X.509v2 instalado localmente.
- Autenticação de aplicativo com um certificado X.509v2 fornecido à biblioteca de clientes como um fluxo de bytes.
- Autenticação de aplicativo com uma ID de aplicativo do Microsoft Entra e uma chave de aplicativo do Microsoft Entra. A ID do aplicativo e a chave do aplicativo são como um nome de usuário e senha.
- Autenticação de aplicativo com um token válido do Microsoft Entra obtido anteriormente, emitido para o Azure Data Explorer.
- Autenticação de aplicativo com um token do Microsoft Entra emitido para outro recurso que pode ser trocado por um token do Azure Data Explorer usando autenticação OBO (em nome de).
Autorização
Antes de executar uma ação em um recurso, todos os usuários autenticados devem passar por uma verificação de autorização. O modelo de de controle de acesso baseado em função do Kusto é usado, em que as entidades de segurança são atribuídas a uma ou mais funções de segurança. A autorização é concedida desde que uma das funções atribuídas ao usuário permita que ele execute a ação especificada. Por exemplo, a função Usuário de Banco de Dados concede às entidades de segurança o direito de ler os dados de um banco de dados específico, criar tabelas no banco de dados e muito mais.
A associação de entidades de segurança a funções de segurança pode ser definida individualmente ou usando grupos de segurança definidos na ID do Microsoft Entra. Para obter mais informações sobre como atribuir funções de segurança, consulte Visão geral das funções de segurança.
Autorização de grupo
A autorização pode ser concedida a grupos de ID do Microsoft Entra atribuindo uma ou mais funções ao grupo.
Ao verificar a autorização de um usuário ou entidade de aplicativo, o sistema primeiro procura uma atribuição de função explícita que permita a ação específica. Se a atribuição de função não existir, o sistema verificará a associação da entidade de segurança em todos os grupos que podem autorizar a ação.
Se a entidade de segurança for membro de um grupo com permissões apropriadas, a ação solicitada será autorizada. Caso contrário, a ação não passará na verificação de autorização e não será permitida.
Nota
Verificar associações de grupo pode ter uso intensivo de recursos. Como as associações de grupo não são alteradas com frequência, os resultados da verificação de associação são armazenados em cache. A duração do cache varia e determina a rapidez com que as alterações nas associações de grupo são atualizadas. Adicionar um usuário a um grupo pode levar até 30 minutos para ser propagado. Remover um usuário de um grupo pode levar até três horas.
Forçar atualização de associação de grupo
As entidades de segurança podem forçar uma atualização das informações de associação de grupo. Essa funcionalidade é útil em cenários em que serviços de acesso privilegiado JIT (just-in-time), como o PIM (Microsoft Entra Privileged Identity Management), são usados para obter privilégios mais altos em um recurso.
Atualizar para um grupo específico
As entidades de segurança podem forçar uma atualização do de associação de grupo para um grupo específico. No entanto, as seguintes restrições se aplicam:
- Uma atualização pode ser solicitada até 10 vezes por hora por entidade de segurança.
- A entidade de segurança solicitante deve ser um membro do grupo no momento da solicitação.
A solicitação resultará em um erro se qualquer uma dessas condições não for atendida.
Para reavaliar a associação da entidade de segurança atual a um grupo, execute o seguinte comando:
No exemplo a seguir, substitua
<GroupFQN>por seus próprios valores, comogroup='aadGroup=MyGroup@MyOrg.com'.
.clear cluster cache groupmembership with (group='<GroupFQN>')
Use o FQN (nome totalmente qualificado) do grupo. Para obter mais informações, consulte Referenciando entidades e grupos do Microsoft Entra.
Atualizar para outras entidades de segurança
Uma entidade de segurança com privilégios pode solicitar uma de atualização para outras entidades de segurança. A entidade de segurança solicitante deve ter acesso AllDatabaseMonitor para o serviço de destino. Entidades de segurança com privilégios também podem executar o comando anterior sem restrições.
Para atualizar a associação de grupo de outra entidade de segurança, execute o seguinte comando:
No comando a seguir, substitua
<PrincipalFQN>por seu próprio FQN (nome totalmente qualificado) e<GroupFQN>por seu próprio FQN de grupo, comoprincipal='aadUser=UserUpn@MyOrg.com', group='aadGroup=MyGroup@MyOrg.com'. Para obter mais informações, consulte Referenciando entidades e grupos do Microsoft Entra.
.clear cluster cache groupmembership with (principal='<PrincipalFQN>', group='<GroupFQN>')
Conteúdo relacionado
- Entenda de controle de acesso baseado em função do Kusto.
- Para autenticação de usuário ou aplicativo, use as bibliotecas de cliente do Kusto.
- Para autenticação OBO ou SPA, consulte Como autenticar com a MSAL (Biblioteca de Autenticação da Microsoft).
- Para fazer referência a entidades de segurança e grupos, consulte Referenciando entidades e grupos do Microsoft Entra.