Я пытаюсь настроить аутентификацию с помощью Azure AD для входа в DWH.
Допустим, у меня есть каталог с именем target.onmicrosoft.com
У меня есть 2 внешних пользователя, которыебыл уже приглашен в этот каталог (user1@gmail.com, user2@gmail.com)
Для user1@gmail.com я дал ему право владельца на область подписки с использованием RBAC.
Дляuser2@gmail.com, я только дал разрешение Reader на область подписки с использованием RBAC.
На портале администрирования DWH AD я установил user1@gmail.com в качестве администратора.Другими словами, администратором Active Directory для DWH является user1@gmail.com
Кроме того, настоящим администратором пользователя DWH является другой пользователь, назовем его topmanager .
Прежде всего, я захожу в DWH с помощью topmanager и пытаюсь создать пользователя AAD CREATE USER [user2@gmail.com] ИЗ ВНЕШНЕГО ПРОВАЙДЕРА;
Но там говорится: только соединения, установленные с ActiveУчетные записи каталогов могут создавать других пользователей Active Directory.
Поэтому мне пришлось войти в систему, используя учетные данные user1@gmail.com (поскольку user1 уже добавлен в качестве администратора AAD).Также я не смог войти с учетными данными user2.
Теперь я выполнил тот же запрос
СОЗДАТЬ ПОЛЬЗОВАТЕЛЯ [user1@gmail.com] ИЗ ВНЕШНЕГО ПРОВАЙДЕРА;
И получил ошибку: Принципал 'user1@gmail.com' не найден или этот тип принципала не поддерживается.
Мое окончательное намерение - предоставить пользователю user1 полное разрешение на DWH и полное разрешение на основе схемы для user2.