Hitelesítés felhőalapú elemzésekhez az Azure-ban
A hitelesítés a felhasználó vagy alkalmazás identitásának ellenőrzésére irányuló folyamat. Előnyben részesítik az egyetlen forrás identitásszolgáltatót, amely kezeli az identitáskezelést és a hitelesítést. Ezt a szolgáltatót címtárszolgáltatásnak nevezzük. Lehetővé teszi a címtáradatok tárolását és az adatok elérhetővé tételét a hálózati felhasználók és rendszergazdák számára.
Minden data lake-megoldásnak a már használatban lévő címtárszolgáltatást kell használnia és integrálnia. A legtöbb szervezet esetében az Active Directory az összes identitással kapcsolatos szolgáltatás címtárszolgáltatása. Ez az összes szolgáltatás- és felhasználói fiók elsődleges és központosított adatbázisa.
A felhőben a Microsoft Entra ID egy központosított identitásszolgáltató, és az identitáskezelés elsődleges forrása. A Microsoft Entra ID hitelesítésének és engedélyezésének delegálása olyan forgatókönyveket tesz lehetővé, mint a feltételes hozzáférési szabályzatok, amelyek megkövetelik, hogy a felhasználó egy adott helyen legyen. Támogatja a többtényezős hitelesítést a hozzáférési biztonság növelése érdekében. Lehetőség szerint konfigurálja a Data Lake Data Store-szolgáltatásokat a Microsoft Entra-integrációval.
A Microsoft Entra-azonosítót nem támogató adatszolgáltatások esetében használja a hozzáférési kulcsot vagy a jogkivonatot a hitelesítéshez. Az ügyfélnek egy kulcskezelési tárolóban, például az Azure Key Vaultban kell tárolnia a hozzáférési kulcsot.
A felhőalapú elemzések hitelesítési forgatókönyvei a következők:
- Felhasználói hitelesítés
- Alkalmazás- és szolgáltatásközi hitelesítés
Felhasználói hitelesítés
Az adatszolgáltatáshoz vagy erőforráshoz csatlakozó felhasználóknak hitelesítő adatokat kell bemutatniuk. Ez a hitelesítő adat bizonyítja, hogy a felhasználók azok, akiket igényelnek. Ezután hozzáférhetnek a szolgáltatáshoz vagy az erőforráshoz. A hitelesítés lehetővé teszi a szolgáltatás számára a felhasználók identitásának megismerését is. A szolgáltatás az identitás ellenőrzése után dönti el, hogy a felhasználó mit láthat és mit tehet.
Az Azure Data Lake Storage Gen2, az Azure SQL Database és az Azure Synapse támogatja a Microsoft Entra integrációját. Az interaktív felhasználói hitelesítési mód megköveteli, hogy a felhasználók hitelesítő adatokat adjanak meg egy párbeszédpanelen.
Fontos
Ne kódozza be a felhasználó hitelesítő adatait egy alkalmazásba hitelesítés céljából.
Alkalmazás- és szolgáltatásközi hitelesítés
Ezek a kérések nincsenek hozzárendelve egy adott felhasználóhoz, vagy nincs olyan felhasználó, aki megadhatja a hitelesítő adatokat.
Szolgáltatások közötti hitelesítés
Még ha egy szolgáltatás emberi beavatkozás nélkül is hozzáfér egy másik szolgáltatáshoz, a szolgáltatásnak érvényes identitást kell mutatnia. Ez az identitás bizonyítja, hogy a szolgáltatás valós. A hozzáféréssel rendelkező szolgáltatás az identitás használatával eldöntheti, hogy a szolgáltatás mire képes.
Szolgáltatásközi hitelesítés esetén az Azure-szolgáltatások hitelesítésének elsődleges módja a felügyelt identitások. Az Azure-erőforrások felügyelt identitásai lehetővé teszik bármely olyan szolgáltatás hitelesítését, amely explicit hitelesítő adatok nélkül támogatja a Microsoft Entra-hitelesítést. További információt az Azure-erőforrások felügyelt identitásai című témakörben talál.
A felügyelt identitások szolgáltatásnevek, amelyek csak Azure-erőforrásokkal használhatók. Egy felügyelt identitás például közvetlenül egy Azure Data Factory-példányhoz hozható létre. Ez a felügyelt identitás egy, a Microsoft Entra-azonosítóban regisztrált objektum. Ez a Data Factory-példányt jelöli. Ez az identitás ezután bármely szolgáltatásban, például a Data Lake Storage-ban történő hitelesítésre használható hitelesítő adatok nélkül a kódban. Az Azure gondoskodik a szolgáltatáspéldány által használt hitelesítő adatokról. Az identitás engedélyt adhat az Azure-szolgáltatás erőforrásainak, például az Azure Data Lake Storage egy mappájának. A Data Factory-példány törlésekor az Azure törli az identitást a Microsoft Entra-azonosítóban.
A felügyelt identitások használatának előnyei
Felügyelt identitásokkal hitelesíteni kell egy Azure-szolgáltatást egy másik Azure-szolgáltatásban vagy -erőforrásban. Ezek a következő előnyöket biztosítják:
- A felügyelt identitás azt a szolgáltatást jelöli, amelyhez létrehozták. Ez nem egy interaktív felhasználót jelöl.
- A felügyelt identitás hitelesítő adatai a Microsoft Entra-azonosítóban vannak karbantartva, felügyelve és tárolva. A felhasználónak nincs megadva jelszó.
- Felügyelt identitások esetén az ügyfélszolgáltatások nem használnak jelszavakat.
- A rendszer által hozzárendelt felügyelt identitás a szolgáltatáspéldány törlésekor törlődik.
Ezek az előnyök azt jelentik, hogy a hitelesítő adatok jobban védettek, és a biztonsági kompromisszum kevésbé valószínű.
Alkalmazások közötti hitelesítés
Egy másik hozzáférési forgatókönyv egy alkalmazás, például egy mobil webalkalmazás, amely egy Azure-szolgáltatáshoz fér hozzá. Bárki is fér hozzá egy Azure-szolgáltatáshoz, a tartozéknak meg kell adnia a személyazonosságát, és ellenőriznie kell az identitását.
Az Azure-szolgáltatásnév azoknak az alkalmazásoknak és szolgáltatásoknak az alternatíva, amelyek nem támogatják a felügyelt identitásokat az Azure-erőforrások hitelesítéséhez. Az Azure-beli szolgáltatásnevek olyan identitások, amelyekkel az alkalmazások, üzemeltetett szolgáltatások és automatizált eszközök hozzáférhetnek az Azure erőforrásaihoz. Ezt a hozzáférést a szolgáltatásnévhez rendelt szerepkörök korlátozzák. Biztonsági okokból javasoljuk a szolgáltatásnevek használatát automatizált eszközökkel vagy alkalmazásokkal ahelyett, hogy lehetővé tenné számukra a felhasználói identitással való bejelentkezést. További információ: Alkalmazás- és szolgáltatásnév-objektumok a Microsoft Entra-azonosítóban.
Megjegyzés:
Mind a felügyelt identitások, mind a szolgáltatásnevek csak a Microsoft Entra-azonosítóban hozhatók létre és tarthatóak fenn.
A felügyelt identitás és a szolgáltatásnév közötti különbség
Service principal | Kezelt identitás |
---|---|
A Microsoft Entra ID-ban manuálisan létrehozott biztonsági identitás, amelyet alkalmazások, szolgáltatások és eszközök használnak adott Azure-erőforrások eléréséhez. | A szolgáltatásnév egy speciális típusa. Ez egy automatikus identitás, amely egy Azure-szolgáltatás létrehozásakor jön létre. |
Bármely alkalmazás vagy szolgáltatás használhatja. Nincs egy adott Azure-szolgáltatáshoz kötve. | Egy Azure-szolgáltatáspéldányt jelöl. Nem használható más Azure-szolgáltatások megjelenítésére. |
Önálló életciklusa van. Explicit módon kell törölnie. | Az Azure-szolgáltatáspéldány törlésekor a rendszer automatikusan törli. |
Jelszóalapú vagy tanúsítványalapú hitelesítés. | Nincs megadva explicit jelszó a hitelesítéshez. |
Adatbázis-hitelesítés és engedélyek
A felhőalapú elemzések valószínűleg többplatformos tárolást tartalmaznak. Ilyen például a PostgreSQL, a MySQL, az Azure SQL Database, a felügyelt SQL-példány és az Azure Synapse Analytics.
- A Microsoft Entra ID használata a PostgreSQL-lel való hitelesítéshez
- A Microsoft Entra-hitelesítés használata az Azure SQL Database-lel, a felügyelt SQL-példányokkal és az Azure Synapse Analyticsszel
- A Microsoft Entra ID használata a MySQL-hitelesítéshez
Javasoljuk, hogy az egyes Microsoft Entra-felhasználói fiókok helyett a Microsoft Entra-csoportokkal biztosítsa az adatbázis-objektumokat. Ezekkel a Microsoft Entra-csoportokkal hitelesítheti a felhasználókat, és megvédheti az adatbázis-objektumokat. A data lake-mintához hasonlóan az adatalkalmazás előkészítésével is létrehozhatja ezeket a csoportokat.
Megjegyzés:
Az adatalkalmazások bizalmas adattermékeket tárolhatnak az Azure SQL Database-ben, a felügyelt SQL-példányokban vagy az Azure Synapse Analytics-készletekben. További információ: Bizalmas adatok.
Azure Data Lake-biztonság felhőalapú elemzésekben
A data lake-beli adatokhoz való hozzáférés szabályozásához javasoljuk a hozzáférés-vezérlési lista (ACL) használatát a fájlok és mappák szintjén. Az Azure Data Lake POSIX-szerű hozzáférés-vezérlési listamodellt is bevezet. A POSIX (hordozható operációsrendszer-interfész) az operációs rendszerek szabványcsaládja. Az egyik szabvány egy egyszerű, de hatékony jogosultsági struktúrát határoz meg a fájlok és mappák eléréséhez. A POSIX széles körben elterjedt hálózati fájlmegosztások és Unix-számítógépek esetében.
Az Azure RBAC általános eljárásaihoz hasonlóan az alábbi szabályok vonatkoznak az ACL-re:
Hozzáférés kezelése csoportok használatával. Hozzáférés hozzárendelése a Microsoft Entra-csoportokhoz és csoporttagság kezelése a folyamatos hozzáférés-kezeléshez. Lásd: Hozzáférés-vezérlés és Data Lake-konfigurációk az Azure Data Lake Storage-ban.
Legkisebb jogosultság. A legtöbb esetben a felhasználóknak csak olvasási engedéllyel kell rendelkezniük a data lake-ben szükséges mappákhoz és fájlokhoz. Egy felügyelt identitás vagy szolgáltatásnév, például az Azure Data Factory által használt, olvasási, írási és végrehajtási engedélyekkel rendelkezik. Az adatfelhasználók nem férhetnek hozzá a tárfiók tárolóhoz.
Igazodjon az adatparticionálási sémához. Az ACL és az adatpartíció kialakításának igazodnia kell a hatékony adathozzáférés-vezérlés biztosításához. További információ: [Data lake particionálás].
Következő lépések
Adatkezelés és szerepköralapú hozzáférés-vezérlés felhőalapú elemzésekhez az Azure-ban