Översikt över hanterade identiteter

Med en hanterad identitet från Microsoft Entra-ID kan klustret komma åt andra Microsoft Entra skyddade resurser, till exempel Azure Storage. Identiteten hanteras av Azure-plattformen och du behöver inte etablera eller rotera några hemligheter.

Typer av hanterade identiteter

Ditt Azure Data Explorer-kluster kan beviljas två typer av identiteter:

  • Systemtilldelad identitet: Knuten till klustret och borttagen om resursen tas bort. Ett kluster kan bara ha en systemtilldelad identitet.

  • Användartilldelad identitet: En fristående Azure-resurs som kan tilldelas till klustret. Ett kluster kan ha flera användartilldelade identiteter.

Autentisera med hanterade identiteter

En klientorganisation Microsoft Entra resurser kan bara använda hanterade identiteter för att kommunicera med resurser i samma klientorganisation. Den här begränsningen begränsar användningen av hanterade identiteter i vissa autentiseringsscenarier. Du kan till exempel inte använda en Azure-Data Explorer hanterad identitet för att få åtkomst till en händelsehubb som finns i en annan klientorganisation. I sådana fall använder du kontonyckelbaserad autentisering.

Azure Data Explorer är kompatibelt med flera klientorganisationer, vilket innebär att du kan ge åtkomst till hanterade identiteter från olika klientorganisationer. Det gör du genom att tilldela relevanta säkerhetsroller. När du tilldelar rollerna ska du referera till den hanterade identiteten enligt beskrivningen i Referera till säkerhetsobjekt.

Följ dessa steg för att autentisera med hanterade identiteter:

  1. Konfigurera en hanterad identitet för klustret
  2. Konfigurera principen för hanterad identitet
  3. Använda hanterad identitet i arbetsflöden som stöds

Konfigurera en hanterad identitet för klustret

Klustret behöver behörighet att agera för den hanterade identiteten. Den här tilldelningen kan ges för både systemtilldelade och användartilldelade hanterade identiteter. Anvisningar finns i Konfigurera hanterade identiteter för ditt Azure Data Explorer-kluster.

Konfigurera principen för hanterad identitet

Om du vill använda den hanterade identiteten måste du konfigurera principen för hanterad identitet för att tillåta den här identiteten. Anvisningar finns i Hanterad identitetsprincip.

Hanteringskommandona för hanterade identitetsprinciper är:

Använda den hanterade identiteten i arbetsflöden som stöds

När du har tilldelat den hanterade identiteten till klustret och konfigurerat relevant användning av hanterade identitetsprinciper kan du börja använda hanterad identitetsautentisering i följande arbetsflöden:

  • Externa tabeller: Skapa en extern tabell med hanterad identitetsautentisering. Autentiseringen anges som en del av anslutningssträng. Exempel finns i lagring anslutningssträng. Anvisningar för hur du använder externa tabeller med hanterad identitetsautentisering finns i Autentisera externa tabeller med hanterade identiteter.

  • Kontinuerlig export: Kör en kontinuerlig export för en hanterad identitet. En hanterad identitet krävs om den externa tabellen använder personifieringsautentisering eller om exportfrågan refererar till tabeller i andra databaser. Om du vill använda en hanterad identitet lägger du till den hanterade identitetsidentifieraren i de valfria parametrarna som anges i create-or-alter kommandot . En stegvis guide finns i Autentisera med hanterad identitet för kontinuerlig export.

  • Intern inmatning av händelsehubbar: Använd en hanterad identitet med intern inmatning av händelsehubben. Mer information finns i Mata in data från händelsehubben till Azure Data Explorer.

  • Python-plugin-program: Använd en hanterad identitet för att autentisera till lagringskonton för externa artefakter som används i python-plugin-programmet. Observera att SandboxArtifacts användningen måste definieras för den hanterade identitetsprincipen på klusternivå. Mer information finns i Python-plugin-programmet.

  • SDK-baserad inmatning: När du köar blobar för inmatning från dina egna lagringskonton kan du använda hanterade identiteter som ett alternativ till SAS-token (signatur för delad åtkomst) och autentiseringsmetoder för delade nycklar. Mer information finns i Köblobar för inmatning med hjälp av hanterad identitetsautentisering.

  • Mata in från lagring: Mata in data från filer som finns i molnlagringar till en måltabell med hjälp av hanterad identitetsautentisering. Mer information finns i Mata in från lagring.