Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure Data Lake Storage Gen1 verwendet Microsoft Entra ID für die Authentifizierung. Vor dem Erstellen einer Anwendung, die Data Lake Storage Gen1 verwendet, müssen Sie entscheiden, wie Sie Ihre Anwendung bei Microsoft Entra ID authentifizieren. Sie haben zwei Möglichkeiten:
- Authentifizierung von Endbenutzern
- Dienst-zu-Dienst-Authentifizierung (dieser Artikel)
Bei beiden Optionen erhält Ihre Anwendung ein OAuth 2.0-Token, das an jede an Data Lake Storage Gen1 gestellte Anforderung angefügt wird.
In diesem Artikel wird erläutert, wie Sie eine Microsoft Entra-Webanwendung für die Dienst-zu-Dienst-Authentifizierung erstellen. Anweisungen zur Microsoft Entra-Anwendungskonfiguration für die Endbenutzerauthentifizierung finden Sie unter Endbenutzerauthentifizierung mit Data Lake Storage Gen1 mit Microsoft Entra ID.
Voraussetzungen
- Ein Azure-Abonnement. Siehe "Kostenlose Azure-Testversion abrufen".
Schritt 1: Erstellen Sie eine Active Directory-Webanwendung
Erstellen und Konfigurieren einer Microsoft Entra-Webanwendung für die Dienst-zu-Dienst-Authentifizierung bei Azure Data Lake Storage Gen1 mit Microsoft Entra ID. Anweisungen finden Sie unter Erstellen einer Microsoft Entra-Anwendung.
Folgen Sie den Anweisungen auf dem vorherigen Link, stellen Sie sicher, dass Sie Web App/API für den Anwendungstyp auswählen, wie im folgenden Screenshot gezeigt:
Schritt 2: Abrufen von Anwendungs-ID, Authentifizierungsschlüssel und Mandanten-ID
Beim programmgesteuerten Anmelden benötigen Sie die ID für Ihre Anwendung. Wenn die Anwendung mit ihren eigenen Anmeldeinformationen ausgeführt wird, benötigen Sie außerdem einen Authentifizierungsschlüssel.
Anweisungen zum Abrufen der Anwendungs-ID und des Authentifizierungsschlüssels (auch als geheimer Clientschlüssel bezeichnet) für Ihre Anwendung finden Sie unter Abrufen der Anwendungs-ID und des Authentifizierungsschlüssels.
Anweisungen zum Abrufen der Mandanten-ID finden Sie unter Abrufen der Mandanten-ID.
Schritt 3: Zuweisen der Microsoft Entra-Anwendung zur Datei oder zum Ordner des Azure Data Lake Storage Gen1-Kontos
Melden Sie sich beim Azure-Portal an. Öffnen Sie das Data Lake Storage Gen1-Konto, das Sie der zuvor erstellten Microsoft Entra-Anwendung zuordnen möchten.
Klicken Sie im Bereich Ihres Data Lake Storage Gen1-Kontos auf Daten-Explorer.
Klicken Sie im Blatt "Daten-Explorer " auf die Datei oder den Ordner, für die Sie Zugriff auf die Microsoft Entra-Anwendung gewähren möchten, und klicken Sie dann auf Access. Um den Zugriff auf eine Datei zu konfigurieren, müssen Sie im Blatt "Dateivorschau" auf "Access" klicken.
Das Access-Blatt listet den Standardzugriff und den benutzerdefinierten Zugriff auf, der bereits dem Stamm zugewiesen ist. Klicken Sie auf das Symbol "Hinzufügen" , um ACLs auf benutzerdefinierter Ebene hinzuzufügen.
Klicken Sie auf das Symbol "Hinzufügen" , um das Blatt " Benutzerdefinierten Zugriff hinzufügen" zu öffnen. Klicken Sie auf diesem Blatt auf " Benutzer oder Gruppe auswählen", und suchen Sie dann im Blatt " Benutzer oder Gruppe auswählen " nach der Zuvor erstellten Microsoft Entra-Anwendung. Wenn Sie über viele Gruppen verfügen, in denen Sie suchen können, können Sie das Textfeld oben zum Filtern nach dem Gruppennamen verwenden. Klicken Sie auf die Gruppe, die Sie hinzufügen möchten, und klicken Sie dann auf "Auswählen".
Klicken Sie auf "Berechtigungen auswählen", wählen Sie die Berechtigungen aus, und wählen Sie aus, ob Sie die Berechtigungen als Standard-ACL, Zugriffszugriffs-ACL oder beides zuweisen möchten. Klicken Sie auf "OK".
Weitere Informationen zu Berechtigungen in Data Lake Storage Gen1 und Default/Access ACLs finden Sie unter Access Control in Data Lake Storage Gen1.
Klicken Sie im Blatt " Benutzerdefinierten Zugriff hinzufügen " auf "OK". Die neu hinzugefügten Gruppen mit den zugehörigen Berechtigungen werden im Access-Blatt aufgeführt.
Hinweis
Wenn Sie beabsichtigen, Ihre Microsoft Entra-Anwendung auf einen bestimmten Ordner zu beschränken, müssen Sie dieser Microsoft Entra-Anwendung auch Ausführungs-Berechtigungen für das Stammverzeichnis erteilen, um den Dateierstellungszugriff über das .NET SDK zu ermöglichen.
Hinweis
Wenn Sie die SDKs zum Erstellen eines Data Lake Storage Gen1-Kontos verwenden möchten, müssen Sie die Microsoft Entra-Webanwendung als Rolle der Ressourcengruppe zuweisen, in der Sie das Data Lake Storage Gen1-Konto erstellen.
Schritt 4: Abrufen des OAuth 2.0-Token-Endpunkts (nur für Java-basierte Anwendungen)
Melden Sie sich beim Azure-Portal an, und klicken Sie im linken Bereich auf Active Directory.
Klicken Sie im linken Bereich auf App-Registrierungen.
Klicken Sie oben auf dem Blatt "App-Registrierungen" auf "Endpunkte".
Kopieren Sie aus der Liste der Endpunkte den OAuth 2.0-Token-Endpunkt.
Nächste Schritte
In diesem Artikel haben Sie eine Microsoft Entra-Webanwendung erstellt und die Informationen gesammelt, die für Ihre Clientanwendungen nötig sind, die Sie mit dem .NET SDK, mit Java, Python, der REST-API usw. erstellen. Sie können nun mit den nachfolgend aufgeführten Artikeln fortfahren, in denen erläutert wird, wie Sie die native Microsoft Entra-Anwendung verwenden, um sich zum ersten Mal mit Data Lake Storage Gen1 zu authentifizieren und anschließend andere Vorgänge im Speicher durchzuführen.
- Dienst-zu-Dienst-Authentifizierung mit Data Lake Storage Gen1 mit Java
- Dienst-zu-Dienst-Authentifizierung mit Data Lake Storage Gen1 mit .NET SDK
- Dienst-zu-Dienst-Authentifizierung mit Data Lake Storage Gen1 mit Python
- Dienst-zu-Dienst-Authentifizierung mit Data Lake Storage Gen1 mithilfe der REST-API