Autenticazione da servizio a servizio con Azure Data Lake Storage Gen1 tramite Microsoft Entra ID

  • Articolo

Azure Data Lake Storage Gen1 usa Microsoft Entra ID per l'autenticazione. Prima di creare un'applicazione che funziona con Data Lake Storage Gen1, è necessario decidere come autenticare l'applicazione con Microsoft Entra ID. Le opzioni disponibili sono due:

  • Autenticazione dell'utente finale
  • Autenticazione da servizio a servizio (questo articolo)

Entrambe queste opzioni comportano che l'applicazione venga fornita con un token OAuth 2.0, che viene associato a ogni richiesta inviata a Data Lake Storage Gen1.

Questo articolo illustra come creare un'applicazione Web Microsoft Entra per l'autenticazione da servizio a servizio. Per istruzioni su Microsoft Entra configurazione dell'applicazione per l'autenticazione dell'utente finale, vedere Autenticazione dell'utente finale con Data Lake Storage Gen1 tramite Microsoft Entra ID.

Prerequisiti

Passaggio 1: Creare un'applicazione Web di Active Directory

Creare e configurare un'applicazione Web Microsoft Entra per l'autenticazione da servizio a servizio con Azure Data Lake Storage Gen1 usando Microsoft Entra ID. Per istruzioni, vedere Creare un'applicazione Microsoft Entra.

Mentre si seguono le istruzioni nel collegamento precedente, assicurarsi di selezionare App Web/API come tipo di applicazione, come illustrato nella schermata seguente:

Creare un'app Web Creare un'app Web

Passaggio 2: Ottenere l'ID applicazione, la chiave di autenticazione e l'ID tenant

Quando si esegue l'accesso a livello di codice, è necessario l'ID dell'applicazione. Se l'applicazione viene eseguita con le proprie credenziali, è necessaria anche una chiave di autenticazione.

Passaggio 3: Assegnare l'applicazione Microsoft Entra al file o alla cartella dell'account di Azure Data Lake Storage Gen1

  1. Accedere al portale di Azure. Aprire l'account Data Lake Storage Gen1 da associare all'applicazione Microsoft Entra creata in precedenza.

  2. Nel pannello dell'account Data Lake Storage Gen1 fare clic su Esplora dati.

    Creare directory in Data Lake Storage Gen1 account

  3. Nel pannello Esplora dati fare clic sul file o sulla cartella per cui si vuole fornire l'accesso all'applicazione Microsoft Entra e quindi fare clic su Access. Per configurare l'accesso a un file, è necessario fare clic su Accesso dal pannello Anteprima file.

    accesso nel file system Data LakeImpostare elenchi di controllo di Impostare elenchi di controllo di

  4. Il pannello di accesso elenca i profili di accesso standard e personalizzato già assegnati all'elemento radice. Fare clic sull'icona Aggiungi per aggiungere elenchi di controllo per l'accesso personalizzato.

    Elencare l'accesso standard e personalizzato Elenco

  5. Fare clic sull'icona Aggiungi per aprire il pannello Aggiungi accesso personalizzato. In questo pannello fare clic su Seleziona utente o gruppo e quindi nel pannello Seleziona utente o gruppo cercare l'applicazione Microsoft Entra creata in precedenza. Se è presente un elevato numero di gruppi, usare la casella di testo nella parte superiore per filtrare in base al nome del gruppo. Fare clic sul gruppo che si desidera aggiungere e quindi su Seleziona.

    Aggiungere un gruppo

  6. Fare clic su Selezionare le autorizzazioni, selezionare le autorizzazioni e se si desidera assegnare le autorizzazioni come un ACL predefinito, ACL di accesso o entrambi. Fare clic su OK.

    Screenshot del pannello Aggiungi accesso personalizzato con l'opzione Seleziona autorizzazioni evidenziata e il pannello Seleziona autorizzazioni con l'opzione OK evidenziata.

    Per altre informazioni sulle autorizzazioni in Data Lake Storage Gen1 e gli ACL predefiniti/di accesso, vedere Controllo di accesso in Data Lake Storage Gen1.

  7. Nel pannello Aggiungi accesso personalizzato fare clic su OK. I gruppi appena aggiunti, con le autorizzazioni associate, sono elencati nel pannello Accesso .

    Screenshot del pannello Accesso con il gruppo appena aggiunto visualizzato nella sezione Accesso personalizzato.

Nota

Se si prevede di limitare l'applicazione Microsoft Entra a una cartella specifica, sarà anche necessario concedere la stessa autorizzazione di esecuzione dell'applicazione Microsoft Entra alla radice per abilitare l'accesso alla creazione di file tramite .NET SDK.

Nota

Per usare gli SDK per creare un account Data Lake Storage Gen1, è necessario assegnare l'applicazione Web Microsoft Entra come ruolo al gruppo di risorse in cui si crea l'account Data Lake Storage Gen1.

Passaggio 4: Ottenere l'endpoint di token OAuth 2.0 (solo per applicazioni basate su Java)

  1. Accedere al portale di Azure e fare clic su Active Directory dal riquadro a sinistra.

  2. Nel riquadro a sinistra fare clic su Registrazioni per l'app.

  3. Nella parte superiore del pannello Registrazioni per l'app fare clic su Endpoint.

    Screenshot di Active Directory con l'opzione Registrazioni app e l'opzione Endpoint evidenziata.

  4. Copiare l'endpoint di token OAuth 2.0 dall'elenco di endpoint.

    Screenshot del pannello Endpoint con l'icona di copia OAUTH 2 POINT O TOKEN ENDPOINT evidenziata.

Passaggi successivi

In questo articolo è stata creata un'applicazione Web Microsoft Entra e sono state raccolte le informazioni necessarie nelle applicazioni client create con .NET SDK, Java, Python, API REST e così via. È ora possibile passare agli articoli seguenti che illustrano come usare l'applicazione nativa Microsoft Entra per eseguire prima l'autenticazione con Data Lake Storage Gen1 e quindi eseguire altre operazioni nell'archivio.