مصادقة التحليلات على نطاق السحابة في Azure
المصادقة هي عملية التحقق من هوية المستخدم أو التطبيق. يفضل موفر هوية مصدر واحد، والذي يتعامل مع إدارة الهوية والمصادقة. يعرف هذا الموفر باسم خدمة الدليل. يوفر أساليب لتخزين بيانات الدليل وإتاحة هذه البيانات لمستخدمي الشبكة والمسؤولين.
يجب أن يستخدم أي حل مستودع بيانات ويدمج مع خدمة الدليل المستخدمة بالفعل. بالنسبة لمعظم المؤسسات، Active Directory هي خدمة الدليل لجميع الخدمات المتعلقة بالهوية. إنها قاعدة البيانات الأساسية والمركزية لجميع حسابات الخدمة والمستخدمين.
في السحابة، Azure Active Directory (Azure AD) هو موفر هوية مركزي والمصدر المفضل لإدارة الهوية. يؤدي تفويض المصادقة والتخويل إلى Azure AD إلى تمكين سيناريوهات مثل نهج الوصول المشروط التي تتطلب من المستخدم أن يكون في موقع معين. وهو يدعم المصادقة متعددة العوامل لزيادة مستوى أمان الوصول. تكوين خدمات مخزن بيانات مستودع البيانات مع تكامل Azure AD عندما يكون ذلك ممكنا.
بالنسبة لخدمات البيانات التي لا تدعم Azure AD، استخدم مفتاح الوصول أو الرمز المميز للمصادقة. يجب على العميل تخزين مفتاح الوصول في مخزن إدارة المفاتيح مثل Azure Key Vault.
سيناريوهات المصادقة للتحليات على نطاق السحابة هي:
- مصادقة المستخدم
- مصادقة التطبيق والخدمة إلى الخدمة
مصادقة المستخدم
يجب على المستخدمين الذين يتصلون بخدمة بيانات أو مورد تقديم بيانات اعتماد. تثبت بيانات الاعتماد هذه أن المستخدمين هم الذين يدعونهم. ثم يمكنهم الوصول إلى الخدمة أو المورد. تسمح المصادقة أيضا للخدمة بمعرفة هوية المستخدمين. تقرر الخدمة ما يمكن للمستخدم رؤيته والقيام به بعد التحقق من الهوية.
تدعم Azure Data Lake Storage Gen2 وقاعدة بيانات Azure SQL وAzure Synapse تكامل Azure AD. يتطلب وضع مصادقة المستخدم التفاعلي من المستخدمين توفير بيانات الاعتماد في مربع حوار.
هام
لا تقم بإدخال بيانات اعتماد مستخدم تعليمات برمجية مضمنة في تطبيق لغرض المصادقة.
مصادقة التطبيق والخدمة إلى الخدمة
هذه الطلبات غير مقترنة بمستخدم معين أو لا يوجد مستخدم متاح لإدخال بيانات الاعتماد.
مصادقة من خدمة إلى خدمة
حتى إذا كانت الخدمة تصل إلى خدمة أخرى دون تفاعلات بشرية، يجب أن تقدم الخدمة هوية صالحة. تثبت هذه الهوية أن الخدمة حقيقية. يمكن للخدمة التي تم الوصول إليها استخدام الهوية لتحديد ما يمكن للخدمة القيام به.
بالنسبة للمصادقة من خدمة إلى خدمة، فإن الطريقة المفضلة لمصادقة خدمات Azure هي الهويات المدارة. تسمح الهويات المدارة لموارد Azure بالمصادقة على أي خدمة تدعم مصادقة Azure AD دون أي بيانات اعتماد صريحة. لمزيد من المعلومات، راجع ما هي الهويات المدارة لموارد Azure.
الهويات المدارة هي أساسيات الخدمة، والتي يمكن استخدامها فقط مع موارد Azure. على سبيل المثال، يمكن إنشاء هوية مدارة مباشرة لمثيل Azure Data Factory. هذه الهوية المدارة هي كائن مسجل في Azure AD. يمثل مثيل Data Factory هذا. يمكن بعد ذلك استخدام هذه الهوية للمصادقة على أي خدمة، مثل Data Lake Storage، دون أي بيانات اعتماد في التعليمات البرمجية. يهتم Azure ببيانات الاعتماد التي يستخدمها مثيل الخدمة. يمكن للهوية منح التخويل لموارد خدمة Azure، مثل مجلد في Azure Data Lake Storage. عند حذف مثيل Data Factory هذا، يقوم Azure بتنظيف الهوية في Azure AD.
مزايا استخدام الهويات المُدارة
يجب استخدام الهويات المدارة لمصادقة خدمة Azure إلى خدمة أو مورد Azure آخر. وهي توفر المزايا التالية:
- تمثل الهوية المدارة الخدمة التي تم إنشاؤها من أجلها. لا يمثل مستخدما تفاعليا.
- يتم الاحتفاظ ببيانات اعتماد الهوية المدارة وإدارتها وتخزينها في Azure AD. لا توجد كلمة مرور للمستخدم للاحتفاظ بها.
- مع الهويات المدارة، لا تستخدم خدمات العميل كلمات المرور.
- يتم حذف الهوية المدارة المعينة من قبل النظام عند حذف مثيل الخدمة.
تعني هذه الفوائد أن بيانات الاعتماد محمية بشكل أفضل وأن اختراق الأمان أقل احتمالا.
مصادقة من تطبيق إلى خدمة
سيناريو وصول آخر هو تطبيق، مثل تطبيق ويب للأجهزة المحمولة، والوصول إلى خدمة Azure. أيا كان من يصل إلى خدمة Azure، يجب أن يوفر الملحق هويته ويجب التحقق من هذه الهوية.
كيان خدمة Azure هو البديل للتطبيقات والخدمات التي لا تدعم الهويات المدارة للمصادقة على موارد Azure. إن كيان الخدمة في Azure هوية يتم إنشاؤها لتُستخدم مع التطبيقات والخدمات المستضافة والأدوات التلقائية للوصول إلى موارد Azure. يتم تقييد هذا الوصول بواسطة الأدوار المعينة إلى كيان الخدمة. لأسباب أمنية، نوصي باستخدام كيانات الخدمة مع أدوات أو تطبيقات تلقائية بدلا من السماح لهم بتسجيل الدخول باستخدام هوية المستخدم. لمزيد من المعلومات، راجع عناصر التطبيق وكيان الخدمة في Azure Active Directory.
ملاحظة
يتم إنشاء كل من الهويات المدارة وكيانات الخدمة وصيانتها فقط في Azure AD.
الفرق بين الهوية المدارة ومدير الخدمة
| كيان الخدمة | الهوية المُدارة |
|---|---|
| هوية أمان تم إنشاؤها يدويا في Azure AD لاستخدامها من قبل التطبيقات والخدمات والأدوات للوصول إلى موارد Azure محددة. | نوع خاص من كيان الخدمة. إنها هوية تلقائية يتم إنشاؤها عند إنشاء خدمة Azure. |
| يمكن استخدامها من قبل أي تطبيق أو خدمة. لا يرتبط بخدمة Azure محددة. | يمثل مثيل خدمة Azure نفسه. لا يمكن استخدامه لتمثيل خدمات Azure الأخرى. |
| لديه دورة حياة مستقلة. يجب حذفه بشكل صريح. | يتم حذف تلقائيا عند حذف مثيل خدمة Azure. |
| المصادقة المستندة إلى كلمة المرور أو المستندة إلى الشهادة. | لا توجد كلمة مرور صريحة ليتم توفيرها للمصادقة. |
مصادقة قاعدة البيانات والأذونات
ربما تحتوي التحليلات على نطاق السحابة على تخزين متعدد اللغات. تتضمن الأمثلة PostgreSQL وMySQL وقاعدة بيانات Azure SQL ومثيل SQL المدار وAzure Synapse Analytics.
- استخدام Microsoft Azure Active Directory للمصادقة مع PostgreSQL
- استخدام مصادقة Azure Active Directory مع قاعدة بيانات Azure SQL ومثيل SQL المدار وتحليلات Azure Synapse
- استخدام Microsoft Azure Active Directory للمصادقة مع MySQL
نوصي باستخدام مجموعات Azure AD لتأمين كائنات قاعدة البيانات بدلا من حسابات المستخدمين Azure AD الفردية. استخدم مجموعات Azure AD هذه لمصادقة المستخدمين وحماية عناصر قاعدة البيانات. على غرار نمط مستودع البيانات، يمكنك استخدام إعداد تطبيق البيانات لإنشاء هذه المجموعات.
ملاحظة
يمكن لتطبيقات البيانات تخزين منتجات البيانات الحساسة في قاعدة بيانات Azure SQL أو مثيل SQL المدار أو تجمعات Azure Synapse Analytics. لمزيد من المعلومات، راجع البيانات الحساسة.
أمان Azure Data Lake في التحليلات على نطاق السحابة
للتحكم في الوصول إلى البيانات في مستودع البيانات، نوصي باستخدام قائمة التحكم في الوصول (ACL) على مستوى الملفات والمجلدات. تعتمد Azure Data Lake أيضا نموذج قائمة التحكم في الوصول يشبه POSIX. POSIX (واجهة نظام التشغيل المحمولة) هي مجموعة من المعايير لأنظمة التشغيل. يحدد أحد المعايير بنية أذونات بسيطة ولكنها قوية للوصول إلى الملفات والمجلدات. تم اعتماد POSIX على نطاق واسع لمشاركات ملفات الشبكة وأجهزة كمبيوتر Unix.
على غرار الممارسات العامة ل Azure RBAC، يجب تطبيق القواعد التالية على قائمة التحكم بالوصول:
إدارة الوصول باستخدام المجموعات. تعيين الوصول إلى مجموعات Azure AD وإدارة عضوية المجموعات لإدارة الوصول المستمر. راجع التحكم في الوصول وتكوينات مستودع البيانات في Azure Data Lake Storage.
أقل امتيازًا. في معظم الحالات، يجب أن يكون لدى المستخدمين إذن قراءة فقط للمجلدات والملفات التي يحتاجونها في مستودع البيانات. الهوية المدارة أو كيان الخدمة، مثل الهوية التي يستخدمها Azure Data Factory، لديها أذونات القراءة والكتابة والتنفيذ. يجب ألا يكون لدى مستخدمي البيانات حق الوصول إلى حاوية حساب التخزين.
محاذاة مع نظام تقسيم البيانات. يجب محاذاة قائمة التحكم بالوصول وتصميم قسم البيانات لضمان التحكم بالوصول الفعال إلى البيانات. لمزيد من المعلومات، راجع [تقسيم مستودع البيانات].
الخطوات التالية
إدارة البيانات والتحكم في الوصول استنادا إلى الدور للتحليات على نطاق السحابة في Azure