Zugriff auf Azure-Dateifreigaben per SMB mit verwalteten Identitäten über Microsoft Entra ID (Vorschau)

Gilt für: ✔️ SMB Azure-Dateifreigaben

In diesem Artikel wird erläutert, wie Sie verwaltete Identitäten verwenden können, um virtuellen Windows- und Linux-Computern (VMs) den Zugriff auf SMB Azure-Dateifreigaben mithilfe der identitätsbasierten Authentifizierung mit Microsoft Entra ID (Vorschau) zu ermöglichen.

Eine verwaltete Identität ist eine Identität in microsoft Entra-ID, die automatisch von Azure verwaltet wird. Bei der Entwicklung von Cloudanwendungen verwenden Sie in der Regel verwaltete Identitäten, um die Anmeldeinformationen für die Authentifizierung bei Azure-Diensten zu verwalten.

Am Ende dieses Leitfadens haben Sie ein Speicherkonto bereit, auf das Sie mit einer verwalteten Identität zugreifen können. Außerdem wissen Sie, wie Sie eine verwaltete Identität für einen virtuellen Computer erstellen und ein OAuth-Token dafür generieren. Dann stellen Sie eine Dateifreigabe mit verwalteter, identitätsbasierter Authentifizierung und Autorisierung bereit, sodass kein Speicherkontoschlüssel verwendet werden muss.

Gründe für die Authentifizierung mithilfe einer verwalteten Identität?

Aus Sicherheitsgründen wird die Verwendung von Speicherkontoschlüsseln für den Zugriff auf eine Dateifreigabe nicht empfohlen. Wenn Sie einer VM eine verwaltete Identität zuweisen oder eine Anwendungsidentität verwenden, können Sie diese Identität verwenden, um sich bei Azure Files zu authentifizieren.

Dies hat unter anderem folgende Vorteile:

• Erweiterte Sicherheit: Keine Abhängigkeit von Speicherkontoschlüsseln zum Verwalten oder Verfügbarmachen

• Vereinfachte Verwaltung: Keine Schlüsseldrehung erforderlich

• Feinkornierte Zugriffssteuerung: Rollenbasierter Zugriff auf Identitätsebene

• Automatisierungsfreundlich: Einfache Integration in CI/CD-Pipelines, Azure Kubernetes Service (AKS)-Workloads und Kundenanwendungen

• Kostengünstige: Verwaltete Identitäten können ohne zusätzliche Speicherkosten verwendet werden

Vom System zugewiesene und vom Benutzer zugewiesene verwaltete Identitäten

Es gibt zwei Arten von verwalteten Identitäten in Azure: system assigned and user assigned.

Eine vom System zugewiesene verwaltete Identität ist auf eine pro Ressource beschränkt und an den Lebenszyklus dieser Ressource gebunden. Sie können der verwalteten Identität mithilfe der rollenbasierten Zugriffssteuerung von Azure (Azure RBAC) Berechtigungen erteilen. Die verwaltete Identität wird mit Microsoft Entra ID authentifiziert, sodass Sie keine Anmeldeinformationen im Code speichern müssen. Vom System zugewiesene verwaltete Identitäten werden auf Linux-VMs nicht unterstützt.

Mit vom Benutzer zugewiesenen verwalteten Identitäten können Azure-Ressourcen sich bei Clouddiensten authentifizieren, ohne Anmeldeinformationen im Code zu speichern. Diese Art von verwalteten Identitäten wird als eigenständige Azure-Ressource erstellt und verfügt über einen eigenen Lebenszyklus. Eine einzelne Ressource, z. B. eine VM, kann mehrere vom Benutzer zugewiesene verwaltete Identitäten verwenden. Ebenso kann eine einzelne vom Benutzer zugewiesene verwaltete Identität über mehrere virtuelle Computer hinweg freigegeben werden.

Windows-VMs können sowohl vom Benutzer zugewiesene als auch vom System zugewiesene verwaltete Identitäten konfiguriert haben.

Voraussetzungen

In diesem Artikel wird davon ausgegangen, dass Sie über ein Azure-Abonnement mit den erforderlichen Berechtigungen zum Erstellen von Speicherkonten und Zuweisen von Azure-RBAC-Rollen (Role-Based Access Control) verfügen. Zum Zuweisen von Rollen müssen Sie über die Berechtigung zum Schreiben von Rollenzuweisungen (Microsoft.Authorization/roleAssignments/write) im Bereich verfügen, in dem Sie die Rolle zuweisen möchten.

Darüber hinaus sollten die Clients, die sich mit einer verwalteten Identität authentifizieren müssen, keiner Domäne beigetreten sein.

Vorbereiten der PowerShell-Umgebung

Öffnen Sie PowerShell als Administrator, und führen Sie den folgenden Befehl aus, um die PowerShell-Ausführungsrichtlinie festzulegen:

Set-ExecutionPolicy Unrestricted -Scope CurrentUser 

Stellen Sie sicher, dass Sie über das neueste PowerShellGet verfügen:

Install-Module PowerShellGet -Force -AllowClobber 

Installieren Sie das Az-Modul, wenn es noch nicht installiert ist:

Install-Module -Name Az -Repository PSGallery -Force 
Import-Module Az 

Melden Sie sich bei Azure an:

Connect-AzAccount

Wählen Sie Ihr Abonnement aus, indem Sie Ihre Abonnement-ID angeben (empfohlen):

Set-AzContext -SubscriptionId "<subscription-ID>" 

Sie können Ihr Abonnement auch auswählen, indem Sie Ihren Abonnementnamen angeben:

Set-AzContext -Subscription "<subscription-name>" 

Konfigurieren Sie die Eigenschaft für den verwalteten Identitätszugriff in dem Speicherkonto

Um eine verwaltete Identität zu authentifizieren, müssen Sie eine Eigenschaft namens SMBOAuth für das Speicherkonto aktivieren, das die Azure-Dateifreigabe enthält, auf die Sie zugreifen möchten. Es wird empfohlen, für diesen Zweck ein neues Speicherkonto zu erstellen. Sie können ein vorhandenes Speicherkonto nur verwenden, wenn es keine andere Identitätsquelle konfiguriert hat.

Um ein neues Speicherkonto mit aktivierter SMBOAuth zu erstellen, führen Sie den folgenden PowerShell-Befehl als Administrator aus. Ersetzen Sie <resource-group>, <storage-account-name> und <region> durch Ihre eigenen Werte. Sie können bei Bedarf eine andere SKU angeben.

New-AzStorageAccount -ResourceGroupName <resource-group> -Name <storage-account-name> -SkuName Standard_LRS -Location <region> -EnableSmbOAuth $true

Um SMBOAuth für ein vorhandenes Speicherkonto zu aktivieren, führen Sie den folgenden PowerShell-Befehl aus. Ersetzen Sie <resource-group> und <storage-account-name> durch Ihre eigenen Werte.

Set-AzStorageAccount -ResourceGroupName <resource-group> -Name <storage-account-name> -EnableSmbOAuth $true

Wenn Fehler angezeigt werden, dass die Ressource durch die Richtlinie nicht zugelassen ist, könnte auf Ihrem Abonnement möglicherweise eine Richtlinie eingerichtet sein, die Set-AzStorageAccount verhindert. Um zu umgehen, versuchen Sie es mit dem folgenden Befehl:

Set-AzStorageAccount -ResourceGroupName <resource-group> -Name <storage-account-name> -EnableSmbOAuth $true -AllowBlobPublicAccess $false

Erstellen Sie als Nächstes eine SMB-Dateifreigabe für das Speicherkonto. Ersetzen Sie <resource-group>, <storage-account-name> und <file-share-name> durch Ihre eigenen Werte.

$storageAccount = Get-AzStorageAccount -ResourceGroupName <resource-group> -Name <storage-account-name>
New-AzStorageShare -Name <file-share-name> -Context $storageAccount.Context

Sie sollten jetzt über ein Speicherkonto und eine Dateifreigabe für die SMB OAuth-Authentifizierung verfügen. Überprüfen Sie im Azure-Portal, ob Ihr Speicherkonto und die Dateifreigabe erstellt wurden.

Konfigurieren einer verwalteten Identität

Sie können verwaltete Identitäten mit Windows oder Linux verwenden. Wählen Sie die entsprechende Registerkarte aus, und folgen Sie den Anweisungen für Ihr Betriebssystem.

Windows

Die hier beschriebenen Aktivierungsschritte gelten für Azure-VMs. Wenn Sie eine verwaltete Identität auf Nicht-Azure-Windows-Computern (lokal oder in einer anderen Cloud) aktivieren möchten, müssen Sie sie in Azure Arc integrieren und eine verwaltete Identität zuweisen. Sie können sich auch mithilfe einer Anwendungsidentität authentifizieren, anstatt eine verwaltete Identität auf einem virtuellen Computer oder Windows-Gerät zu verwenden.

Aktivieren der verwalteten Identität auf einem virtuellen Azure-Computer

Führen Sie die folgenden Schritte aus, um eine verwaltete Identität auf einem virtuellen Azure-Computer zu aktivieren.

1. Melden Sie sich beim Azure-Portal an, und erstellen Sie eine Windows-VM. Ihre VM muss Windows Server 2019 oder höher für Server-SKUs oder eine beliebige Windows-Client-SKU ausführen. Siehe Erstellen eines virtuellen Windows-Computers im Azure-Portal.

2. Aktivieren Sie eine verwaltete Identität auf dem virtuellen Computer. Sie kann entweder vom System zugewiesen oder vom Benutzer zugewiesen werden. Wenn dem virtuellen Computer sowohl systemzugewiesene als auch benutzerzugewiesene Identitäten zugewiesen sind, verwendet Azure standardmäßig die systemzugewiesene Identität. Weisen Sie nur eins zu, um optimale Ergebnisse zu erzielen. Sie können eine vom System zugewiesene verwaltete Identität während der VM-Erstellung auf der Registerkarte " Verwaltung " aktivieren.

   

Zuweisen einer integrierten RBAC-Rolle zur verwalteten Identität oder Anwendungsidentität

Sobald eine verwaltete Identität aktiviert ist, können Sie alle erforderlichen Berechtigungen über Azure RBAC erteilen. Um Rollen zuzuweisen, müssen Sie als Benutzer angemeldet sein, der über Berechtigungen zum Schreiben von Rollenzuweisungen in dem Bereich verfügt, in dem Sie die Rolle zuweisen möchten.

Führen Sie die folgenden Schritte aus, um die eingebaute Azure-RBAC-Rolle Speicherdateien-SMB-MI-Administrator zuzuweisen, die den administrativen Zugriff auf verwaltete Identitäten für Dateien und Verzeichnisse in Azure Files ermöglicht.

1. Gehen Sie zu dem Speicherkonto, das die Dateifreigabe enthält, die Sie mithilfe einer verwalteten Identität einbinden möchten. Wählen Sie im Menü "Service " die Zugriffssteuerung (IAM) aus.

2. Unter Zugriff Zugriff auf diese Ressource gewähren wählen Sie Rollenzuweisung hinzufügen.

3. Suchen Sie auf der Registerkarte "Rolle" unter "Aufgabenrollen" nach "Speicherdatei-Daten-SMB MI-Admin", und wählen Sie dann Weiter aus.

4. Wählen Sie auf der Registerkarte " Mitglieder " unter " Zugriff zuweisen" die Option "Verwaltete Identität " für VM- oder Azure Arc-Identitäten aus. Wählen Sie für Anwendungsidentitäten "Benutzer", "Gruppe" oder "Dienstprinzipal" aus.

5. Klicken Sie unter "Mitglieder" auf "+Mitglieder auswählen".

6. Wählen Sie für Azure-VMs oder Azure Arc-Identitäten die verwaltete Identität für Ihren virtuellen Computer oder Ihr Windows-Gerät aus. Suchen Sie die Anwendungsidentität und wählen Sie sie aus. Klicke auf Auswählen.

7. Nun sollte die verwaltete Identität oder Anwendungsidentität unter "Mitglieder" aufgeführt sein. Wählen Sie Weiteraus.

8. Wählen Sie "Überprüfen" und "Zuweisen " aus, um dem Speicherkonto die Rollenzuweisung hinzuzufügen.

Linux

Führen Sie die folgenden Schritte aus, um eine verwaltete Identität auf einer linux-VM zu konfigurieren, die in Azure ausgeführt wird. Ihre VM muss Azure Linux 3.0, Ubuntu 22.04 oder Ubuntu 24.04 ausführen.

Hinweis

Vom System zugewiesene verwaltete Identitäten werden auf Linux-VMs nicht unterstützt. Sie müssen eine vom Benutzer zugewiesene verwaltete Identität erstellen.

1. Melden Sie sich beim Azure-Portal an, und erstellen Sie eine vom Benutzer zugewiesene verwaltete Identität.

2. Navigieren Sie zu der verwalteten Identität, die Sie soeben erstellt haben, und kopieren Sie die Client-ID. Diesen benötigen Sie später.

3. Navigieren Sie zu dem Speicherkonto, das die Dateifreigabe enthält, die Sie mit einer verwalteten Identität einbinden möchten. Wählen Sie im Menü "Service " die Zugriffssteuerung (IAM) aus.

4. Unter Zugriff Zugriff auf diese Ressource gewähren wählen Sie Rollenzuweisung hinzufügen.

5. Suchen Sie auf der Registerkarte Rolle unter Berufsfunktion Rollen nach Storage File Data SMB MI Admin, und wählen Sie dann Weiter aus.

6. Wählen Sie auf der Registerkarte Mitglieder unter Zugriff zuweisen zu die Option Verwaltete Identität.

7. Klicken Sie unter "Mitglieder" auf "+Mitglieder auswählen". Der Bereich verwaltete Identitäten auswählen wird angezeigt.

8. Wählen Sie unter "Verwaltete Identität" die von Ihnen erstellte verwaltete Identität des Benutzers aus, und klicken Sie dann auf "Auswählen".

9. Nun sollte die verwaltete Identität unter "Mitglieder" aufgeführt sein. Wählen Sie Weiteraus.

10. Wählen Sie "Überprüfen" und "Zuweisen " aus, um dem Speicherkonto die Rollenzuweisung hinzuzufügen.

11. Navigieren Sie zu Ihrem virtuellen Computer. Wählen Sie im Menü "Dienst" unter "Sicherheit" die Option "Identität" aus.

12. Wählen Sie die Registerkarte "Benutzer zugewiesen " und dann " Benutzer zugewiesene verwaltete Identität hinzufügen" aus. Wählen Sie die von Ihnen erstellte verwaltete Identität des Benutzers und dann "Hinzufügen" aus.

Vorbereiten des Clients für die Authentifizierung mithilfe einer verwalteten Identität

Führen Sie die folgenden Schritte aus, um das System vorzubereiten, damit die Dateifreigabe mithilfe der Authentifizierung über eine verwaltete Identität eingebunden werden kann. Die Schritte unterscheiden sich für Windows- und Linux-Clients. Clients sollten nicht einer Domäne beigetreten sein.

Windows

Führen Sie die folgenden Schritte aus, um Ihre Client-VM oder Ihr Windows-Gerät für die Authentifizierung mithilfe einer verwalteten Identität vorzubereiten.

1. Melden Sie sich bei Ihrem virtuellen Computer oder Gerät an, dem die verwaltete Identität zugewiesen ist, und öffnen Sie ein PowerShell-Fenster als Administrator. Sie benötigen entweder PowerShell 5.1+ oder PowerShell 7+.

2. Installieren Sie das Azure Files SMB Managed Identity Client PowerShell-Modul, und importieren Sie es:

   Install-Module AzFilesSMBMIClient 
   Import-Module AzFilesSMBMIClient 
   

3. Überprüfen Sie Ihre aktuelle PowerShell-Ausführungsrichtlinie, indem Sie den folgenden Befehl ausführen:

   Get-ExecutionPolicy -List 
   

   Wenn die Ausführungsrichtlinie für CurrentUser eingeschränkt oder nicht definiert ist, ändern Sie sie in "RemoteSigned". Wenn die Ausführungsrichtlinie "RemoteSigned", "Default", "AllSigned", "Bypass" oder "Unrestricted" lautet, können Sie diesen Schritt überspringen.

   Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser 
   

Aktualisieren Sie die Authentifizierungsanmeldeinformationen

Bevor Sie die Dateifreigabe mithilfe der verwalteten Identität einbinden können, müssen Sie die Authentifizierungsdaten aktualisieren und Ihren Speicherkontoendpunkt angeben. Um Ihren Speicherkonto-URI zu kopieren, navigieren Sie zum Speicherkonto im Azure-Portal, und wählen Sie dann im Menü "Dienste" die Option "Endpunkte"> aus. Achten Sie darauf, den gesamten URI einschließlich des nachgestellten Schrägstrichs zu kopieren: https://<storage-account-name>.file.core.windows.net/

AzFilesSMBMIClient.exe refresh --uri https://<storage-account-name>.file.core.windows.net/

Dadurch wird ein OAuth-Token abgerufen und im Kerberos-Cache eingefügt, und das Token wird automatisch aktualisiert, wenn das Token nah am Ablauf ist. Sie können refresh optional weglassen.

Wenn Ihre Windows-VM sowohl vom Benutzer als auch vom System verwaltete Identitäten konfiguriert hat, können Sie den folgenden Befehl verwenden, um die vom Benutzer zugewiesene verwaltete Identität anzugeben. Ersetzen Sie <client-id> durch die Client-ID der verwalteten Identität.

AzFilesSmbMIClient.exe refresh --uri https://<storage-account-name>.file.core.windows.net/ --clientId <client-id> 

Tipp

Führen Sie die ausführbare Datei ohne Parameter aus, um vollständige Nutzungsinformationen und Beispiele anzuzeigen: AzFilesSmbMIClient.exe

Linux

Führen Sie die folgenden Schritte aus, um Ihre Linux-VM für die Authentifizierung mithilfe einer verwalteten Identität vorzubereiten.

Herunterladen und Installieren der Authentifizierungspakete

Der Paketspeicherort und die Installationsschritte unterscheiden sich je nach Linux-Distribution.

Azure Linux 3.0

Führen Sie die folgenden Befehle aus, um sie unter Azure Linux 3.0 zu installieren azfilesauth :

tdnf update 
tdnf install azfilesauth

Ubuntu 22.04

Führen Sie die folgenden Befehle aus, um auf Ubuntu 22.04 zu installieren azfilesauth :

curl -sSL -O https://packages.microsoft.com/config/ubuntu/22.04/packages-microsoft-prod.deb
sudo dpkg -i packages-microsoft-prod.deb rm packages-microsoft-prod.deb
# the above steps update the sources.list
sudo apt-get update sudo apt-get install azfilesauth

Ubuntu 24.04

Führen Sie die folgenden Befehle aus, um auf Ubuntu 24.04 zu installieren azfilesauth :

curl -SSL -O https://packages.microsoft.com/config/ubuntu/24.04/packages-microsoft-prod.deb
sudo dpkg -i packages-microsoft-prod.deb rm packages-microsoft-prod.deb
# the above steps update the sources.list
sudo apt-get update sudo apt-get install azfilesauth

Konfigurieren der Authentifizierung

Sie haben zwei Optionen zum Konfigurieren der Authentifizierung unter Linux:

• Verwenden einer verwalteten VM-Identität: Wählen Sie diese Option aus, wenn Ihrem virtuellen Computer eine vom Benutzer zugewiesene verwaltete Identität zugewiesen ist.
• Geben Sie das OAuth-Token direkt an: Wählen Sie diese Option aus, wenn Sie OAuth-Token selbst verwalten.

Option 1: Verwenden einer verwalteten VM-Identität

Wenn Ihre VM über eine vom Benutzer zugewiesene verwaltete Identität verfügt, führen Sie die folgenden Befehle aus. Ersetzen Sie unbedingt <client-id> durch die Client-ID Ihrer verwalteten Identität. Wenn Sie nicht über die Client-ID verfügen, navigieren Sie zur verwalteten Identität, und kopieren Sie die Client-ID.

# Get a token from the Azure Instance Metadata Service (IMDS) and store it automatically
sudo azfilesauthmanager set https://<storage_account>.file.core.windows.net --imds-client-id <client-id>
# Verify the ticket was created properly
sudo azfilesauthmanager list

Option 2: Direktes Bereitstellen des OAuth-Tokens

Wenn Sie Token selbst verwalten, geben Sie das OAuth-Token direkt an. Der aud (Zielgruppen)-Wert für das Token muss https://storage.azure.com (kein nachgestellter Schrägstrich) sein und darf nicht https://storage.azure.com/ sein, um die Dateifreigabe bereitzustellen.

Führen Sie die folgenden Befehle aus, und ersetzen Sie <storage-account-name> und <access-token> durch Ihre Werte.

# Insert the token into your credential cache
sudo azfilesauthmanager set https://<storage-account-name>.file.core.windows.net <access-token> 
# Verify the ticket is properly stored
sudo azfilesauthmanager list

Einbinden der Dateifreigabe

Sie sollten jetzt in der Lage sein, die Dateifreigabe unter Windows oder Linux ohne Verwendung eines Speicherkontoschlüssels zu mounten.

Windows

Auf Windows-Clients können Sie mithilfe des UNC-Pfads direkt auf Ihre Azure-Dateifreigabe zugreifen, indem Sie Folgendes in den Windows-Datei-Explorer eingeben. Stellen Sie sicher, dass Sie <storage-account-name> durch den Namen Ihres Speicherkontos und <file-share-name> durch den Namen Ihrer Dateifreigabe ersetzen:

\\<storage-account-name>.file.core.windows.net\<file-share-name>

Weitere Informationen finden Sie unter Bereitstellen der SMB Azure-Dateifreigabe unter Windows.

Linux

Führen Sie den folgenden Befehl aus, um die Dateifreigabe mit den empfohlenen Mount-Optionen bereitzustellen. Achten Sie darauf, <storage-account-name> durch den Namen Ihres Speicherkontos und <file-share-name> durch den Namen Ihres Dateispeichers zu ersetzen. Sie finden Ihre Anmeldeinformations-ID in der folgenden Konfigurationsdatei: cat /etc/azfilesauth/config.yaml

sudo mount -t cifs //<storage-account-name>.file.core.windows.net/<file-share-name> /mnt/smb -o sec=krb5,cruid=<credential-id>,dir_mode=0755,file_mode=0755,serverino,nosharesock,mfsymlinks,actimeo=30

Überprüfen Sie, ob die Montierung erfolgreich war:

ls -la /mnt/smb

Weitere Informationen finden Sie unter Mount SMB Azure-Dateifreigaben auf Linux-Clients.

Aktualisieren Ihrer Anmeldeinformationen

Nachdem Sie die Dateifreigabe zum ersten Mal bereitgestellt haben, starten Sie den Aktualisierungsdienst, um Anmeldeinformationen auf dem neuesten Stand zu halten. Sie können Anmeldeinformationen nur aktualisieren, wenn Ihrem virtuellen Computer eine vom Benutzer zugewiesene verwaltete Identität zugewiesen ist. Wenn Sie das OAuth-Token direkt bereitstellen, funktioniert die Aktualisierung nicht.

sudo systemctl start azfilesauth

Sie sollten Ihre Anmeldeinformationen regelmäßig aktualisieren, um Zugriffsunterbrechungen zu vermeiden. Sie können Anmeldeinformationen manuell mithilfe des azfilesauthmanager set Befehls aktualisieren, wie unter "Authentifizierung konfigurieren" beschrieben, oder Sie können die Aktualisierung mithilfe der freigegebenen Bibliotheks-APIs automatisieren.

Problembehandlung

Die Schritte zur Problembehandlung unterscheiden sich für Windows- und Linux-Clients.

Windows

Wenn beim Einbinden der Dateifreigabe unter Windows Probleme auftreten, führen Sie die folgenden Schritte aus, um ausführliche Protokollierung zu aktivieren und Diagnoseinformationen zu sammeln.

1. Verwenden Sie auf Windows-Clients den Registrierungs-Editor, um die Datenebene für die Ausführlichkeit auf 0x00000004 (4) festzulegen Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Azure\Storage\Files\SmbAuth.

2. Versuchen Sie, die Freigabe erneut zu mounten, und reproduzieren Sie den Fehler.

3. Sie sollten jetzt über eine Datei mit dem Namen AzFilesSmbMILog.logverfügen. Senden Sie die Protokolldatei an azurefilespm@microsoft.com, um Unterstützung zu erhalten.

Linux

Wenn beim Einbinden der Dateifreigabe unter Linux Probleme auftreten sollten, führen Sie bitte die folgenden SMB-Diagnoseschritte aus.

Installations- und Integrationsoptionen für Clientbibliotheken

Die folgenden Informationen sind für Entwickler vorgesehen, die verwaltete Identitäten in ihre Anwendungen integrieren müssen.

Windows

Entwickler, die verwaltete Identitäten in ihre Windows-Anwendungen integrieren müssen, stehen je nach Anwendungsarchitektur und -anforderungen mehrere Implementierungsansätze zur Verfügung.

Integration verwalteter Assemblys: NuGet-Paket

Für .NET-Anwendungen enthält das Microsoft.Azure.AzFilesSmbMI NuGet-Paket eine verwaltete Assembly (Microsoft.Azure.AzFilesSmbMI.dll), die direkten Zugriff auf die SMB OAuth-Authentifizierungsfunktionalität bietet. Dieser Ansatz wird für C# und andere .NET-basierte Anwendungen empfohlen.

Installation: Install-Package Microsoft.Azure.AzFilesSmbMI -version 1.2.3168.94

Native DLL-Integration

Für systemeigene Anwendungen, die direkten API-Zugriff erfordern, ist AzFilesSmbMIClient als systemeigene DLL verfügbar. Dies ist besonders nützlich für C/C++-Anwendungen oder Systeme, die eine Integration auf niedrigerer Ebene erfordern. Siehe Windows-Implementierungs - und API-Referenz (systemeigene Headerdatei).

Systemeigene API-Methoden

Die systemeigene DLL exportiert die folgenden Kernmethoden für die Verwaltung von Anmeldeinformationen:

extern "C" AZFILESSMBMI_API HRESULT SmbSetCredential( 
    _In_  PCWSTR pwszFileEndpointUri, 
    _In_  PCWSTR pwszOauthToken, 
    _In_  PCWSTR pwszClientID, 
    _Out_ PDWORD pdwCredentialExpiresInSeconds 
); 
extern "C" AZFILESSMBMI_API HRESULT SmbRefreshCredential( 
    _In_ PCWSTR pwszFileEndpointUri, 
    _In_ PCWSTR pwszClientID 
); 
extern "C" AZFILESSMBMI_API HRESULT SmbClearCredential( 
    _In_ PCWSTR pwszFileEndpointUri 
); 

Linux

Linux-Entwickler können die freigegebene Bibliothek verwenden, die automatisch mit dem Azfilesauth-Paket installiert wird. Sie können eine Verknüpfung mit der Bibliothek in Ihren C/C++-Anwendungen für direkten API-Zugriff herstellen.

Achten Sie darauf, die öffentliche Kopfzeile einzuschließen.

Weitere Informationen finden Sie im AzFilesAuthenticator-Projekt.

Methoden der geteilten Bibliotheks-API

Die gemeinsame Bibliothek exportiert die folgenden Kernmethoden für die Verwaltung von Anmeldeinformationen:

#ifdef __cplusplus
extern "C" {
#endif

int extern_smb_set_credential_oauth_token(char* file_endpoint_uri,
                                                char* auth_token,
                                                unsigned int* credential_expires_in_seconds);

int extern_smb_clear_credential(char* file_endpoint_uri);

int extern_smb_list_credential(bool is_json);

const char* extern_smb_version();

#ifdef __cplusplus
}
#endif

API-Beschreibung

In der folgenden Tabelle sind die API-Befehle und deren Verwendung aufgeführt. Zurückgegebene Werte folgen den Standard-C-Konventionen (0 für Erfolg, nicht null für Fehler).

Befehl	Beschreibung
extern_smb_set_credential_oauth_token()	Legt OAuth-Tokenanmeldeinformationen für einen bestimmten Speicherendpunkt fest
extern_smb_clear_credential()	Entfernt gespeicherte Anmeldeinformationen für einen Speicherendpunkt.
extern_smb_list_credential()	Listet alle gespeicherten Anmeldeinformationen auf.
extern_smb_version()	Gibt die Versionszeichenfolge der Azfilesauth-Bibliothek zurück.

Siehe auch

• Übersicht über die identitätsbasierte Azure Files-Authentifizierung für den SMB-Zugriff
• Übersicht über die Azure Files-Autorisierung und Zugriffssteuerung