Ověřování koncových uživatelů pomocí Azure Data Lake Storage Gen1 s využitím rozhraní REST API

  • Článek

V tomto článku se dozvíte, jak pomocí rozhraní REST API provádět ověřování koncových uživatelů pomocí Azure Data Lake Storage Gen1. Informace o ověřování mezi službami s Data Lake Storage Gen1 pomocí rozhraní REST API najdete v tématu Ověřování mezi službami pomocí Data Lake Storage Gen1 pomocí rozhraní REST API.

Požadavky

Ověřování koncových uživatelů

Ověřování koncových uživatelů je doporučený postup, pokud chcete, aby se uživatel přihlásil k vaší aplikaci pomocí Microsoft Entra ID. Vaše aplikace má přístup k prostředkům Azure se stejnou úrovní přístupu jako přihlášený uživatel. Aby si aplikace zachovala přístup, musí uživatel pravidelně zadávat své přihlašovací údaje.

Výsledkem přihlášení koncového uživatele je, že vaší aplikaci je přidělen přístupový token a obnovovací token. Přístupový token se připojí ke každému požadavku Data Lake Storage Gen1 nebo Data Lake Analytics a ve výchozím nastavení je platný jednu hodinu. Obnovovací token je možné použít k získání nového přístupového tokenu, který je ve výchozím nastavení platný až dva týdny, pokud se používá pravidelně. Pro přihlášení koncového uživatele můžete použít dva různé přístupy.

V tomto scénáři aplikace vyzve uživatele k přihlášení a všechny operace se provádějí v kontextu uživatele. Proveďte tyto kroky:

  1. Prostřednictvím aplikace přesměrujte uživatele na tuto adresu URL:

    https://login.microsoftonline.com/<TENANT-ID>/oauth2/authorize?client_id=<APPLICATION-ID>&response_type=code&redirect_uri=<REDIRECT-URI>

    Poznámka

    <Pro použití v adrese URL musí být zakódovaný identifikátor REDIRECT-URI> . Takže pro https://localhostpoužijte https%3A%2F%2Flocalhost)

    Pro účely tohoto kurzu můžete ve výše zobrazené adrese URL nahradit zástupné hodnoty a vložit ji do adresního řádku webového prohlížeče. Budete přesměrováni na ověření pomocí přihlášení Azure. Po úspěšném přihlášení se zobrazí v adresním řádku prohlížeče odpověď. Odpověď bude mít tento formát:

    http://localhost/?code=<AUTHORIZATION-CODE>&session_state=<GUID>

  2. Zaznamenejte autorizační kód z odpovědi. V tomto kurzu můžete zkopírovat autorizační kód z adresního řádku webového prohlížeče a předat ho v požadavku POST koncovému bodu tokenu, jak je znázorněno v následujícím fragmentu kódu:

    curl -X POST https://login.microsoftonline.com/<TENANT-ID>/oauth2/token \
-F redirect_uri=<REDIRECT-URI> \
-F grant_type=authorization_code \
-F resource=https://management.core.windows.net/ \
-F client_id=<APPLICATION-ID> \
-F code=<AUTHORIZATION-CODE>

    Poznámka

    V tomto případě <nemusí být identifikátor REDIRECT-URI> zakódován.

  3. Odpověď je objekt JSON, který obsahuje přístupový token (například "access_token": "<ACCESS_TOKEN>") a obnovovací token (například "refresh_token": "<REFRESH_TOKEN>"). Vaše aplikace používá přístupový token při přístupu k Azure Data Lake Storage Gen1 a obnovovací token k získání dalšího přístupového tokenu, když platnost přístupového tokenu vyprší.

    {"token_type":"Bearer","scope":"user_impersonation","expires_in":"3599","expires_on":"1461865782","not_before":    "1461861882","resource":"https://management.core.windows.net/","access_token":"<REDACTED>","refresh_token":"<REDACTED>","id_token":"<REDACTED>"}

  4. Po vypršení platnosti přístupového tokenu můžete požádat o nový přístupový token pomocí obnovovacího tokenu, jak je znázorněno v následujícím fragmentu kódu:

    curl -X POST https://login.microsoftonline.com/<TENANT-ID>/oauth2/token  \
     -F grant_type=refresh_token \
     -F resource=https://management.core.windows.net/ \
     -F client_id=<APPLICATION-ID> \
     -F refresh_token=<REFRESH-TOKEN>

Další informace o interaktivním ověřování uživatelů najdete v tématu Tok poskytování autorizačních kódů.

Další kroky

V tomto článku jste zjistili, jak používat ověřování mezi službami k ověřování pomocí Azure Data Lake Storage Gen1 pomocí rozhraní REST API. Teď se můžete podívat na následující články, které popisují, jak používat rozhraní REST API k práci s Azure Data Lake Storage Gen1.