Autenticación entre servicios con Azure Data Lake Storage Gen1 mediante Microsoft Entra ID

• Autenticación de usuario final
• Autenticación entre servicios

Azure Data Lake Storage Gen1 usa Microsoft Entra ID para la autenticación. Antes de crear una aplicación que funcione con Data Lake Storage Gen1, debe decidir cómo autenticar la aplicación con Microsoft Entra ID. Las dos principales opciones disponibles son:

• Autenticación de usuario final
• Autenticación entre servicios (este artículo)

Con ambas opciones, la aplicación recibe un token de OAuth 2.0, que se adjunta a cada solicitud realizada a Data Lake Storage Gen1.

En este artículo se explica cómo crear una aplicación web de Microsoft Entra para la autenticación de servicio a servicio. Para obtener instrucciones sobre Microsoft Entra configuración de aplicaciones para la autenticación del usuario final, consulte Autenticación de usuario final con Data Lake Storage Gen1 mediante Microsoft Entra ID.

Requisitos previos

• Suscripción a Azure. Consulte Obtención de una versión de evaluación gratuita.

Paso 1: Crear una aplicación web de Active Directory

Cree y configure una aplicación web de Microsoft Entra para la autenticación de servicio a servicio con Azure Data Lake Storage Gen1 mediante Microsoft Entra ID. Para obtener instrucciones, consulte Creación de una aplicación de Microsoft Entra.

Al seguir las instrucciones que aparecen en el vínculo anterior, asegúrese de seleccionar Aplicación web/API para el tipo de aplicación, como se muestra en la captura de pantalla siguiente:

Paso 2: Obtener el identificador de aplicación, la clave de autenticación y el identificador de inquilino

Al iniciar sesión mediante programación, necesita el identificador de la aplicación. Si esta se ejecuta con sus propias credenciales, también necesitará una clave de autenticación.

• Para obtener instrucciones sobre cómo recuperar el identificador y la clave de autenticación de la aplicación, consulte Obtención del id. y la clave de autenticación de la aplicación.

• Para obtener instrucciones sobre cómo recuperar el identificador de inquilino, consulte Obtención del identificador de inquilino.

Paso 3: Asignar la aplicación de Microsoft Entra al archivo o carpeta de la cuenta de Azure Data Lake Storage Gen1

1. Inicie sesión en Azure Portal. Abra la cuenta de Data Lake Storage Gen1 que desea asociar a la aplicación de Microsoft Entra que creó anteriormente.

2. En la hoja de su cuenta de Data Lake Storage Gen1, haga clic en Explorador de datos.

   

3. En la hoja Data Explorer, haga clic en el archivo o carpeta para el que desea proporcionar acceso a la aplicación de Microsoft Entra y, a continuación, haga clic en Obtener acceso. Para configurar el acceso a un archivo, debe hacer clic en la opción Acceso de la hoja de vista previa de archivos.

   

4. La hoja Acceso enumera el acceso estándar y el acceso personalizado ya asignados a la raíz. Haga clic en el icono Agregar para agregar las ACL de nivel personalizado.

   

5. Haga clic en el icono Agregar para abrir la hoja Agregar acceso personalizado. En esta hoja, haga clic en Seleccionar usuario o grupo y, a continuación, en la hoja Seleccionar usuario o grupo, busque la Microsoft Entra aplicación que creó anteriormente. Si tiene muchos grupos en los que buscar, use el cuadro de texto de la parte superior para filtrar por nombre de grupo. Haga clic en el grupo que desee agregar y después en Seleccionar.

   

6. Haga clic en Seleccionar permisos, seleccione los permisos y si desea asignarlos como una ACL predeterminada, ACL de acceso o ambos. Haga clic en OK.

   

   Para obtener más información sobre los permisos de Data Lake Storage Gen1 y las ACL predeterminadas y de acceso, consulte Control de acceso en Azure Data Lake Storage Gen1.

7. En la hoja Agregar acceso personalizado, haga clic en Aceptar. Los grupos recién agregados, con los permisos asociados, se enumeran en la hoja Acceso.

   

Nota

Si tiene previsto restringir la aplicación de Microsoft Entra a una carpeta específica, también deberá conceder ese mismo permiso de ejecución Microsoft Entra aplicación a la raíz para habilitar el acceso a la creación de archivos a través del SDK de .NET.

Nota

Si desea usar los SDK para crear una cuenta de Data Lake Storage Gen1, debe asignar la aplicación web Microsoft Entra como rol al grupo de recursos en el que se crea la cuenta de Data Lake Storage Gen1.

Paso 4: Obtener el punto de conexión del token de OAuth 2.0 (solo para aplicaciones basadas en Java)

1. Inicie sesión en Azure Portal y haga clic en Active Directory en el panel izquierdo.

2. En el panel izquierdo, haga clic en Registros de aplicaciones.

3. En la parte superior de la hoja Registros de aplicaciones, haga clic en Puntos de conexión.

   

4. En la lista de puntos de conexión, copie el correspondiente al token de OAuth 2.0.

   

Pasos siguientes

En este artículo, ha creado una aplicación web de Microsoft Entra y ha recopilado la información que necesita en las aplicaciones cliente que cree mediante el SDK de .NET, Java, Python, la API REST, etc. Ahora puede continuar con los siguientes artículos que hablan sobre cómo usar la aplicación nativa de Microsoft Entra para autenticarse primero con Data Lake Storage Gen1 y, a continuación, realizar otras operaciones en el almacén.

• Service-to-service authentication with Data Lake Storage Gen1 using Java (Autenticación entre servicios con Data Lake Storage Gen1 mediante Java)
• Service-to-service authentication with Data Lake Storage Gen1 using .NET SDK (Autenticación entre servicios con Data Lake Storage Gen1 mediante el SDK de .NET)
• Service-to-service authentication with Data Lake Storage Gen1 using Python (Autenticación entre servicios con Data Lake Storage Gen1 mediante Python)
• Service-to-service authentication with Data Lake Storage Gen1 using REST API (Autenticación entre servicios con Data Lake Storage Gen1 mediante la API REST)