我正在尝试使用Azure AD设置身份验证以登录DWH。
假设我有一个名为target.onmicrosoft.com的目录
我有2位外部用户已被邀请加入此目录(user1 @ gmail.com,user2 @ gmail.com)
对于[email protected],我使用RBAC向他授予了订阅范围的所有者权限。
对于[email protected],我只使用RBAC授予读者对订阅范围的权限。
从DWH AD管理门户网站,我将user1 @gmail.com设置为admin。换句话说,DWH的Active Directory管理员是[email protected]
此外,DWH的真正管理员用户是另一个用户,我们称之为topmanager。
首先,我使用topmanager登录DWH并尝试创建AAD用户CREATE USER [[email protected]] FROM EXTERNAL PROVIDER;
但它说:只有与Active Directory帐户建立的连接才能创建其他Active Directory用户。
所以我必须使用[email protected]凭证登录(因为user1已经添加为AAD管理员)。此外,我无法使用user2凭据登录。
现在我执行了相同的查询
从外部提供商创建用户[[email protected]];
并收到错误:无法找到Principal'[email protected]'或不支持此主体类型。
我的最终目的是授予user1对用户2的DWH和基于模式的完全权限的完全权限。
在数据仓库中使用GRANT权限。这是一个很好的概述:
这个例子完全符合你的要求: