Végfelhasználói hitelesítés Azure Data Lake Storage Gen1 használatával Microsoft Entra ID használatával
Azure Data Lake Storage Gen1 Microsoft Entra ID használ hitelesítéshez. Mielőtt olyan alkalmazást hoz létre, amely Data Lake Storage Gen1 vagy Azure Data Lake Analytics dolgozik, el kell döntenie, hogyan hitelesítheti az alkalmazást Microsoft Entra ID. A két fő lehetőség a következő:
- Végfelhasználói hitelesítés (ez a cikk)
- Szolgáltatásközi hitelesítés (válassza ezt a lehetőséget a fenti legördülő menüből)
Mindkét beállítás azt eredményezi, hogy az alkalmazás egy OAuth 2.0-jogkivonattal rendelkezik, amely a Data Lake Storage Gen1 vagy az Azure Data Lake Analytics felé irányuló összes kérelemhez lesz csatolva.
Ez a cikk bemutatja, hogyan hozhat létre Microsoft Entra natív alkalmazást a végfelhasználói hitelesítéshez. A szolgáltatásközi hitelesítés Microsoft Entra alkalmazáskonfigurációjával kapcsolatos útmutatásért lásd: Szolgáltatásközi hitelesítés Data Lake Storage Gen1 a Microsoft Entra ID használatával.
Előfeltételek
Azure-előfizetés. Lásd: Ingyenes Azure-fiók létrehozása.
Az előfizetés azonosítója. Lekérheti a Azure Portal. Például a Data Lake Storage Gen1 fiók paneljén érhető el.
A Microsoft Entra tartományneve. A lekéréshez vigye az egérmutatót a Azure Portal jobb felső sarkában. Az alábbi képernyőképen a tartománynév contoso.onmicrosoft.com, a szögletes zárójelekben lévő GUID pedig a bérlőazonosító.
Az Azure-bérlő azonosítója. A bérlőazonosító lekérésével kapcsolatos utasításokért lásd : A bérlőazonosító lekérése.
Végfelhasználói hitelesítés
Ez a hitelesítési mechanizmus az ajánlott módszer, ha azt szeretné, hogy egy végfelhasználó Microsoft Entra ID keresztül jelentkezzen be az alkalmazásba. Az alkalmazás ezután ugyanolyan szintű hozzáféréssel férhet hozzá az Azure-erőforrásokhoz, mint a bejelentkezett végfelhasználó. A végfelhasználónak rendszeresen meg kell adnia a hitelesítő adatait ahhoz, hogy az alkalmazás fenntarthassa a hozzáférést.
A végfelhasználói bejelentkezés eredménye, hogy az alkalmazás hozzáférési jogkivonatot és frissítési jogkivonatot kap. A hozzáférési jogkivonat a Data Lake Storage Gen1 vagy Data Lake Analytics küldött összes kérelemhez lesz csatolva, és alapértelmezés szerint egy óráig érvényes. A frissítési jogkivonat egy új hozzáférési jogkivonat beszerzésére használható, és alapértelmezés szerint legfeljebb két hétig érvényes. A végfelhasználói bejelentkezéshez két különböző módszert használhat.
Az OAuth 2.0 előugró ablak használata
Az alkalmazás elindíthat egy OAuth 2.0 engedélyezési előugró ablakot, amelyben a végfelhasználó megadhatja a hitelesítő adatait. Ez az előugró ablak szükség esetén a kéttényezős hitelesítés (2FA) Microsoft Entra folyamattal is működik.
Megjegyzés
Ez a módszer még nem támogatott a Python vagy a Java Azure AD Hitelesítési kódtárában (ADAL).
Felhasználói hitelesítő adatok közvetlen átadása
Az alkalmazás közvetlenül megadhatja a felhasználói hitelesítő adatokat Microsoft Entra ID. Ez a módszer csak szervezeti azonosítójú felhasználói fiókokkal működik; nem kompatibilis a személyes / "élő azonosító" felhasználói fiókokkal, beleértve a vagy @live.comvégződésű @outlook.com fiókokat is. Továbbá ez a módszer nem kompatibilis azokkal a felhasználói fiókokkal, amelyek Microsoft Entra kéttényezős hitelesítést (2FA) igényelnek.
Mire van szükségem ehhez a megközelítéshez?
- Microsoft Entra tartománynév. Ez a követelmény már szerepel a cikk előfeltételei között.
- Microsoft Entra bérlőazonosító. Ez a követelmény már szerepel a cikk előfeltételei között.
- natív alkalmazás Microsoft Entra ID
- Az Microsoft Entra natív alkalmazás alkalmazásazonosítója
- A natív Microsoft Entra alkalmazás átirányítási URI-ja
- Delegált engedélyek beállítása
1. lépés: Natív Active Directory-alkalmazás létrehozása
Hozzon létre és konfiguráljon egy Microsoft Entra natív alkalmazást a végfelhasználói hitelesítéshez Data Lake Storage Gen1 Microsoft Entra ID használatával. Útmutatásért lásd: Microsoft Entra alkalmazás létrehozása.
A hivatkozás utasításait követve győződjön meg arról, hogy a natív lehetőséget választja az alkalmazástípushoz, ahogy az alábbi képernyőképen látható:
2. lépés: Alkalmazásazonosító és átirányítási URI lekérése
Az alkalmazásazonosító lekéréséhez lásd: Az alkalmazásazonosító lekérése .
Az átirányítási URI lekéréséhez hajtsa végre az alábbi lépéseket.
A Azure Portal válassza a Microsoft Entra ID, válassza a Alkalmazásregisztrációk lehetőséget, majd keresse meg és válassza ki a létrehozott Microsoft Entra natív alkalmazást.
Az alkalmazás Beállítások paneljén válassza az Átirányítási URI-k lehetőséget.
Másolja ki a megjelenített értéket.
3. lépés: Engedélyek beállítása
A Azure Portal válassza a Microsoft Entra ID, válassza a Alkalmazásregisztrációk lehetőséget, majd keresse meg és válassza ki a létrehozott Microsoft Entra natív alkalmazást.
Az alkalmazás Beállítások paneljén válassza a Kötelező engedélyek, majd a Hozzáadás lehetőséget.
Az API-hozzáférés hozzáadása panelen válassza az API kiválasztása, az Azure Data Lake, majd a Kiválasztás lehetőséget.
Az API-hozzáférés hozzáadása panelen válassza az Engedélyek kiválasztása lehetőséget, jelölje be a jelölőnégyzetet a Data Lake Store teljes hozzáférésének biztosításához, majd válassza a Kiválasztás lehetőséget.
Válassza a Kész lehetőséget.
Ismételje meg az utolsó két lépést, hogy engedélyeket adjon a Windows Azure Service Management API-hoz is.
Következő lépések
Ebben a cikkben létrehozott egy Microsoft Entra natív alkalmazást, és összegyűjtötte a szükséges információkat a .NET SDK, a Java SDK, a REST API stb. használatával létrehozott ügyfélalkalmazásokban. A következő cikkekből megtudhatja, hogyan használhatja a Microsoft Entra webalkalmazást először a Data Lake Storage Gen1 hitelesítéshez, majd egyéb műveletek végrehajtásához az áruházban.