Проверка подлинности конечных пользователей с помощью Azure Data Lake Storage 1-го поколения с использованием Microsoft Entra ID

• Проверка подлинности конечных пользователей
• Аутентификация между службами

Azure Data Lake Storage 1-го поколения использует Microsoft Entra ID для проверки подлинности. Перед созданием приложения, которое работает с Data Lake Storage 1-го поколения или Azure Data Lake Analytics, необходимо решить, как проверить подлинность приложения с помощью Microsoft Entra ID. Доступно два основных варианта:

• Аутентификация пользователей (в этой статье)
• аутентификация между службами (выберите этот параметр в раскрывающемся списке выше).

Оба этих варианта позволят приложению получить маркер OAuth 2.0, который вкладывается в каждый запрос к Data Lake Storage 1-го поколения или Azure Data Lake Analytics.

В этой статье описывается, как создать собственное приложение Microsoft Entra для проверки подлинности конечных пользователей. Инструкции по настройке Microsoft Entra приложения для проверки подлинности между службами см. в статье Проверка подлинности между службами с помощью Data Lake Storage 1-го поколения с помощью Microsoft Entra ID.

Предварительные требования

• Подписка Azure. См. страницу бесплатной пробной версии Azure.

• Идентификатор подписки. Его можно получить на портале Azure. Например, он доступен в колонке учетной записи Data Lake Storage 1-го поколения.

  

• Доменное имя Microsoft Entra. Его можно получить, наведя указатель мыши на правый верхний угол страницы портала Azure. На приведенном ниже снимке экрана указано имя домена contoso.onmicrosoft.com, а идентификатор GUID в скобках — это идентификатор клиента.

  

• Идентификатор клиента Azure. Инструкции о том, как получить идентификатор клиента, см. в разделе Получение идентификатора клиента.

Проверка подлинности конечных пользователей

Этот механизм проверки подлинности рекомендуется использовать, если вы хотите, чтобы конечный пользователь вошел в приложение с помощью Microsoft Entra ID. Приложение будет иметь тот же уровень доступа к ресурсам Azure, что и вошедший пользователь. Пользователю необходимо периодически вводить свои учетные данные, чтобы у вашего приложения оставался доступ.

Результатом входа пользователя является то, что приложению предоставляется маркер доступа и маркер обновления. Маркер доступа присоединяется к каждому запросу Data Lake Storage 1-го поколения или Data Lake Analytics и по умолчанию действителен в течение одного часа. Маркер обновления можно использовать для получения нового маркера доступа. По умолчанию он действителен в течение двух недель. Для входа конечных пользователей можно использовать два разных подхода.

Использование всплывающего окна OAuth 2.0

Приложение может активировать всплывающее окно авторизации OAuth 2.0, в котором пользователь может ввести свои учетные данные. Это всплывающее окно также работает с процессом Microsoft Entra двухфакторной проверки подлинности (2FA), если это необходимо.

Примечание

Этот метод еще не поддерживается в библиотеке аутентификации Azure AD (ADAL) для Java или Python.

Непосредственная передача учетных данных пользователя

Приложение может напрямую предоставлять учетные данные пользователя для Microsoft Entra ID. Этот метод работает только с учетными записями пользователей с идентификаторами организации; он не совместим с личными учетными записями пользователей или учетными записями пользователей с динамическим идентификатором, включая учетные записи, заканчивающиеся @outlook.com на или @live.com. Кроме того, этот метод несовместим с учетными записями пользователей, которым требуется Microsoft Entra двухфакторная проверка подлинности (2FA).

Что мне нужно для применения этого подхода?

• Microsoft Entra доменное имя. (см. предварительные требования в этой статье).
• Microsoft Entra идентификатор клиента. (см. предварительные требования в этой статье).
• Microsoft Entra ID собственного приложения
• Идентификатор приложения для Microsoft Entra собственного приложения
• URI перенаправления для собственного приложения Microsoft Entra
• Настроенные делегированные разрешения.

Шаг 1. Создание собственного приложения Active Directory

Создайте и настройте собственное приложение Microsoft Entra для проверки подлинности пользователей с помощью Data Lake Storage 1-го поколения с помощью Microsoft Entra ID. Инструкции см. в статье Создание приложения Microsoft Entra.

При выполнении инструкций по ссылке обязательно выберите тип приложения Native (Собственный), как показано на снимке экрана ниже.

Шаг 2. Получение идентификатора приложения и URI перенаправления

Ознакомьтесь с разделом Получение идентификатора приложения и ключа проверки подлинности, чтобы извлечь идентификатор приложения.

Чтобы получить URI перенаправления, выполните следующие действия.

1. В портал Azure выберите Microsoft Entra ID, Регистрация приложений, а затем найдите и выберите созданное Microsoft Entra собственное приложение.

2. В колонке Параметры для приложения выберите URI перенаправления.

   

3. Скопируйте отображенное значение.

Шаг 3. Установка разрешений

1. В портал Azure выберите Microsoft Entra ID, Регистрация приложений, а затем найдите и выберите созданное Microsoft Entra собственное приложение.

2. В колонке Параметры для приложения выберите Необходимые разрешения, а затем нажмите кнопку Добавить.

   

3. В колонке Добавление доступа к API выберите Выбрать API, Выберите Azure Data Lake, а затем выберите Выбрать.

   

4. В колонке Добавление доступа к API выберите Выбрать разрешения, выберите поле проверка, чтобы предоставить полный доступ к Data Lake Store, а затем нажмите кнопку Выбрать.

   

   Нажмите кнопку Готово.

5. Повторите последние два шага, чтобы также предоставить разрешения для API управления службами Microsoft Azure.

Дальнейшие действия

В этой статье вы создали Microsoft Entra машинное приложение и собрали сведения, необходимые для клиентских приложений, которые вы создаете с помощью пакета SDK для .NET, пакета SDK для Java, REST API и т. д. Теперь вы можете перейти к следующим статьям о том, как использовать веб-приложение Microsoft Entra для проверки подлинности с помощью Data Lake Storage 1-го поколения а затем выполнить другие операции в хранилище.

• Проверка подлинности пользователей в Data Lake Storage 1-го поколения с помощью Java SDK
• Проверка подлинности пользователей в Data Lake Storage 1-го поколения с помощью .NET SDK
• Проверка подлинности пользователей в Data Lake Storage 1-го поколения с помощью Python
• Проверка подлинности пользователей в Data Lake Storage 1-го поколения с помощью REST API