Endbenutzerauthentifizierung mit Azure Data Lake Storage Gen1 mit Azure Active Directory

Azure Data Lake Storage Gen1 verwendet Azure Active Directory für die Authentifizierung. Vor dem Erstellen einer Anwendung, die mit Azure Data Lake Storage Gen1 oder Azure Data Lake Analytics funktioniert, müssen Sie entscheiden, wie Sie Ihre Anwendung bei Azure Active Directory (Azure AD) authentifizieren. Sie haben zwei Möglichkeiten:

  • Endbenutzerauthentifizierung (dieser Artikel)
  • Authentifizierung zwischen Diensten (wählen Sie diese Option aus der obigen Dropdownliste)

Bei beiden Optionen erhält Ihre Anwendung ein OAuth 2.0-Token, das an jede an Data Lake Storage Gen1 oder Azure Data Lake Analytics gestellte Anforderung angefügt wird.

Dieser Artikel erläutert, wie Sie eine native Azure AD-Anwendung für die Authentifizierung von Endbenutzern erstellen. Anweisungen zur Konfiguration von Azure AD-Anwendungen für die Dienst-zu-Dienst-Authentifizierung finden Sie unter Dienst-zu-Dienst-Authentifizierung mit Data Lake Storage Gen1 mithilfe von Azure Active Directory.

Voraussetzungen

  • Ein Azure-Abonnement. Siehe Kostenlose Azure-Testversion.

  • Ihre Abonnement-ID. Sie können sie über das Azure-Portal abrufen. Sie ist beispielsweise auf dem Blatt „Data Lake Storage Gen1“ des Kontos verfügbar.

    Abrufen der Abonnement-ID

  • Der Name Ihrer Azure AD-Domäne. Diese können Sie abrufen, indem Sie den Mauszeiger über den rechten oberen Bereich im Azure-Portal bewegen. Im Screenshot unten lautet der Domänenname contoso.onmicrosoft.com, und die GUID in Klammern stellt die Mandanten-ID dar.

    Abrufen der AAD-Domäne

  • Ihre Azure-Mandanten-ID. Informationen zum Abrufen der Mandanten-ID finden Sie unter Abrufen der Mandanten-ID.

Authentifizierung von Endbenutzern

Dieser Authentifizierungsmechanismus wird empfohlen, wenn sich ein Endbenutzer über Azure AD bei Ihrer Anwendung anmelden soll. Die Anwendung kann dann mit der gleichen Zugriffsstufe wie der angemeldete Endbenutzer auf Azure-Ressourcen zugreifen. Ihre Endbenutzer müssen ihre Anmeldeinformationen in regelmäßigen Abständen eingeben, um weiter Zugriff zu haben.

Das Ergebnis der Endbenutzeranmeldung ist, dass Ihre Anwendung über ein Zugriffs- und ein Aktualisierungstoken verfügt. Das Zugriffstoken wird an jede an Data Lake Storage Gen1 oder Data Lake Analytics gestellte Anforderung angefügt und ist standardmäßig eine Stunde gültig. Mithilfe des Aktualisierungstokens kann ein neues Zugriffstoken abgerufen werden, das standardmäßig bis zu zwei Wochen gültig ist. Es gibt zwei Ansätze für die Anmeldung von Endbenutzern.

Verwenden des OAuth 2.0-Popupfensters

Ihre Anwendung kann das Einblenden eines OAuth 2.0-Autorisierungsfensters auslösen, in das Endbenutzer ihre Anmeldeinformationen eingeben können. Dieses Popupfenster funktioniert auch mit dem zweistufigen Authentifizierungsprozess von Azure AD.

Hinweis

Von der Azure AD Authentication Library (ADAL) für Python oder Java wird diese Methode noch nicht unterstützt.

Direktes Übergeben von Benutzeranmeldeinformationen

Ihre Anwendung kann Azure AD Benutzeranmeldeinformationen direkt bereitstellen. Diese Methode funktioniert nur mit Benutzerkonten mit Organisations-ID. Sie ist nicht kompatibel mit persönlichen bzw. Live ID-Benutzerkonten, die beispielsweise auf @outlook.com oder @live.com enden. Darüber hinaus ist diese Methode nicht kompatibel mit Benutzerkonten, die die zweistufige Authentifizierung von Azure AD benötigen.

Was brauche ich für diesen Ansatz?

  • Name Ihrer Azure AD-Domäne Diese Anforderung ist bereits in den in diesem Artikel angegebenen Voraussetzungen aufgeführt.
  • Azure AD-Mandanten-ID; Diese Anforderung ist bereits in den in diesem Artikel angegebenen Voraussetzungen aufgeführt.
  • Native Azure AD-Anwendung
  • Anwendungs-ID für die native Azure AD-Anwendung
  • Umleitungs-URI für die native Azure AD-Anwendung
  • Festlegen der delegierten Berechtigungen

Schritt 1: Erstellen einer nativen Active Directory-Anwendung

Erstellen und Konfigurieren Sie eine native Azure AD-Anwendung für die Authentifizierung von Endbenutzern mit Data Lake Storage Gen1 mithilfe von Azure Active Directory. Anweisungen finden Sie unter Erstellen einer Azure AD-Anwendung.

Wenn Sie die Anweisungen unter diesem Link befolgen, stellen Sie sicher, dass Sie als Typ der Anwendung Nativ auswählen, wie auf dem folgenden Screenshot gezeigt:

Erstellen einer Webanwendung

Schritt 2: Abrufen von Anwendungs-ID und Umleitungs-URI

Informationen zum Abrufen der Anwendungs-ID finden Sie unter Abrufen der Anwendungs-ID und des Authentifizierungsschlüssels.

Führen Sie folgende Schritte aus, um den Umleitungs-URI abzurufen.

  1. Wählen Sie im Azure-Portal Azure Active Directory aus, klicken Sie auf App-Registrierungen, suchen Sie die erstellte native Azure AD-Anwendung, und klicken Sie darauf.

  2. Klicken Sie auf dem Blatt Einstellungen der Anwendung auf Umleitungs-URIs.

    Abrufen des Umleitungs-URI

  3. Kopieren Sie den angezeigten Wert.

Schritt 3: Festlegen von Berechtigungen

  1. Wählen Sie im Azure-Portal Azure Active Directory aus, klicken Sie auf App-Registrierungen, suchen Sie die erstellte native Azure AD-Anwendung, und klicken Sie darauf.

  2. Klicken Sie auf dem Blatt Einstellungen der Anwendung auf Erforderliche Berechtigungen, und klicken Sie auf Hinzufügen.

    Screenshot des Blatts „Einstellungen“ mit der hervorgehobenen Umleitungs-URI-Option und dem Blatt „Umleitungs-URI“ mit der tatsächlichen URI

  3. Klicken Sie auf dem Blatt API-Zugriff hinzufügen auf Hiermit wählen Sie eine API aus, klicken Sie auf Azure Data Lake und anschließend auf Auswählen.

    Screenshot des Blatts „API-Zugriff hinzufügen“ mit der hervorgehobenen Option „API auswählen“ und dem Blatt „API auswählen“ mit der Azure Data Lake-Option und der hervorgehobenen Option „Auswählen“

  4. Klicken Sie auf dem Blatt API-Zugriff hinzufügen auf Berechtigungen auswählen, aktivieren Sie das Kontrollkästchen, um Data Lake Store vollen Zugriff zu gewähren, und klicken Sie auf Auswählen.

    Screenshot des Blatts „API-Zugriff hinzufügen“ mit der hervorgehobenen Option „Berechtigungen auswählen“ mit der Option „Vollzugriff auf den Azure Data Lake-Service“ und der hervorgehobenen Option „Auswählen“

    Klicken Sie auf Fertig.

  5. Wiederholen Sie die letzten beiden Schritte, um ebenfalls Berechtigungen für die Windows Azure-Service-Verwaltungs-API zu erteilen.

Nächste Schritte

In diesem Artikel haben Sie eine native Azure AD-Anwendung erstellt und die erforderlichen Informationen gesammelt, die für Ihre Clientanwendungen nötig sind, die Sie mithilfe von .NET SDK, Java SDK, REST-API usw. erstellen. Sie können nun mit den nachfolgend aufgeführten Artikeln fortfahren, in denen erläutert wird, wie Sie die Azure AD-Webanwendung verwenden, um sich zum ersten Mal mit Data Lake Storage Gen1 authentifizieren und anschließend andere Vorgänge im Store durchführen.