Authentification de service à service auprès d’Azure Data Lake Storage Gen1 en utilisant Azure Active Directory

  • Article
  • 4 minutes de lecture

Azure Data Lake Storage Gen1 utilise Azure Active Directory pour l’authentification. Avant de créer une application qui fonctionne avec Data Lake Storage Gen1, vous devez déterminer la manière dont vous voulez authentifier votre application auprès d’Azure Active Directory (Azure AD). Les deux options principales disponibles sont :

  • Authentification des utilisateurs finaux
  • Authentification de service à service (cet article)

En raison de ces deux options, votre application est fournie avec un jeton OAuth 2.0, qui est attaché à chaque demande adressée à Data Lake Storage Gen1.

Cet article traite de la création d’une application web Azure AD pour l’authentification de service à service. Pour obtenir des instructions sur la configuration de l’application Azure AD pour l’authentification de l’utilisateur final, consultez Authentification d’utilisateur final auprès de Data Lake Storage Gen1 à l’aide d’Azure Active Directory.

Prérequis

Étape 1 : Créer une application web Active Directory

Créez et configurez une application web Azure AD pour l’authentification de service à service auprès d’Azure Data Lake Storage Gen1 à l’aide d’Azure Active Directory. Pour obtenir des instructions, consultez la page Créer une application Azure AD.

Si vous suivez les instructions du lien précédent, veillez à sélectionner le type d’application Application web / API, comme l’illustre la capture d’écran suivante :

Créer une application web

Étape 2 : Obtenir un ID d’application, une clé d’authentification et un ID de locataire

Quand vous vous connectez par programmation, vous avez besoin de l’ID de votre application. Si l’application s’exécute sous ses propres informations d’identification, vous avez également besoin d’une clé d’authentification.

Étape 3 : Affecter l’application Azure AD au dossier ou fichier de compte Azure Data Lake Storage Gen1

  1. Connectez-vous au Portail Azure. Ouvrez le compte Data Lake Storage Gen1 que vous souhaitez associer à l’application Azure Active Directory que vous avez créée.

  2. Dans le panneau de votre compte Data Lake Storage Gen1, cliquez sur Explorateur de données.

    Créer des répertoires dans un compte Data Lake Storage Gen1

  3. Dans le panneau Explorateur de données, cliquez sur le fichier ou dossier pour lequel vous souhaitez fournir un accès à l’application Azure AD, puis cliquez sur Accès. Pour configurer l’accès à un fichier, vous devez cliquer sur Accès dans le panneau Aperçu du fichier.

    Définir des ACL sur le système de fichiers Data Lake

  4. Le panneau Accès liste les accès standard et personnalisés déjà affectés à la racine. Cliquez sur l'icône Ajouter pour ajouter des ACL personnalisées.

    Lister les accès standard et personnalisés

  5. Cliquez sur l’icône Ajouter pour ouvrir le panneau Ajouter un accès personnalisé. Dans ce panneau, cliquez sur Sélectionner un utilisateur ou un groupe, puis, dans le panneau Sélectionner un utilisateur ou un groupe, recherchez le groupe de sécurité Azure Active Directory que vous avez créé précédemment. Si la liste de groupes est longue, utilisez la zone de texte en haut pour filtrer par nom de groupe. Cliquez sur le groupe que vous souhaitez ajouter, puis cliquez sur Sélectionner.

    Ajouter un groupe

  6. Cliquez sur Sélectionner des autorisations, sélectionnez les autorisations et indiquez si vous souhaitez attribuer les autorisations en tant qu’ACL par défaut et/ou d’accès. Cliquez sur OK.

    Capture d’écran du panneau Ajouter des accès personnalisés avec l’option Sélectionner des autorisations mise en évidence, et du panneau Sélectionner des autorisations avec l’option OK mise en évidence.

    Pour plus d’informations sur les autorisations dans Data Lake Storage Gen1 et sur les ACL par défaut ou d’accès, consultez Contrôle d’accès dans Data Lake Storage Gen1.

  7. Dans le panneau Ajouter un accès personnalisé, cliquez sur OK. Le groupe récemment ajouté, avec les autorisations associées, est répertorié dans le panneau Accès.

    Capture d'écran du volet Accès avec le groupe nouvellement ajouté appelé dans la section Accès personnalisé.

Notes

Si vous comptez limiter votre application Azure Active Directory à un dossier spécifique, vous devez également donner à cette même application Azure Active Directory l’autorisation Exécuter à la racine pour permettre la création du fichier via le Kit de développement logiciel (SDK) .NET.

Notes

Si vous souhaitez utiliser les kits de développement logiciel (SDK) pour créer un compte Data Lake Storage Gen1, vous devez affecter l’application web Azure AD en tant que rôle au groupe de ressources dans lequel vous créez le compte Data Lake Storage Gen1.

Étape 4 : Obtenir le point de terminaison de jeton OAuth 2.0 (uniquement pour les applications Java)

  1. Connectez-vous au portail Azure et cliquez sur Active Directory dans le volet gauche.

  2. Dans le volet gauche, cliquez sur Inscriptions d’applications.

  3. En haut du panneau Inscriptions des applications, cliquez sur Points de terminaison.

    Capture d'écran d'Active Directory avec l'option Enregistrements d'applications et l'option Points de terminaison appelés.

  4. Dans la liste des points de terminaison, copiez le point de terminaison de jeton OAuth 2.0.

    Capture d'écran du volet Points de terminaison avec l'icône de copie de O AUTH 2 point POINT DE TERMINAISON DE JETON en évidence..

Étapes suivantes

Dans cet article, vous avez créé une application web Azure AD et recueilli les informations nécessaires dans les applications clientes que vous créez à l’aide du SDK .NET, Java, Python, API REST, etc. Vous pouvez à présent passer aux articles suivants qui traitent de l’utilisation de l’application native Azure AD, d’abord pour vous authentifier auprès de Data Lake Storage Gen1, et ensuite pour effectuer d’autres opérations sur le magasin.