我正在尝试使用Azure AD设置身份验证以登录到DWH。
假设我有一个名为target.onmicrosoft.com的目录
我有2位已经受邀访问此目录的外部用户(user1 @ gmail.com,user2 @ gmail.com)
对于user1@gmail.com,我使用RBAC授予了他对订阅范围的所有者权限。
对于user2@gmail.com,我仅使用RBAC授予读者对订阅范围的许可。
从DWH AD管理门户中,我将user1@gmail.com设置为admin。换句话说,DWH的Active Directory管理员为user1@gmail.com
另外,DWH的真正管理员用户是另一个用户,我们称其为 topmanager 。
首先,我使用topmanager登录到DWH并尝试创建AAD用户 从外部提供商创建用户[user2@gmail.com];
但是它说:只有与Active Directory帐户建立的连接才能创建其他Active Directory用户。
因此,我不得不使用user1@gmail.com凭据登录(因为user1已经添加为AAD管理员)。另外,我无法使用user2凭据登录。
现在我执行了相同的查询
从外部提供者创建用户[user1@gmail.com];
出现错误: 找不到主体'user1@gmail.com'或不支持此主体类型。
我的最终意图是为用户1授予DWH的完全权限,并为用户2提供基于架构的完全权限。
答案 0 :(得分:0)
在数据仓库内使用GRANT权限。这是一个很好的概述:
此示例完全符合您的要求: