Verificatie van eindgebruikers met Azure Data Lake Storage Gen1 met behulp van REST API
In dit artikel leert u hoe u de REST API gebruikt om eindgebruikersverificatie uit te voeren met Azure Data Lake Storage Gen1. Zie Service-to-service-verificatie met Data Lake Storage Gen1 met rest API voor service-naar-serviceverificatie met Data Lake Storage Gen1 met behulp van REST API.
Vereisten
Een Azure-abonnement. Zie Gratis proefversie van Azure ophalen.
Maak een Microsoft Entra ID systeemeigen toepassing. U moet de stappen in Verificatie van eindgebruikers met Data Lake Storage Gen1 met behulp van Microsoft Entra ID hebben voltooid.
cURL. In dit artikel wordt cURL gebruikt om te laten zien hoe u REST API-aanroepen kunt uitvoeren voor een Data Lake Storage Gen1-account.
Verificatie van de eindgebruiker
Verificatie van eindgebruikers wordt aanbevolen als u wilt dat een gebruiker zich aanmeldt bij uw toepassing met behulp van Microsoft Entra ID. Uw toepassing heeft toegang tot Azure-resources met hetzelfde toegangsniveau als de aangemelde gebruiker. De gebruiker moet periodiek zijn referenties opgeven om ervoor te zorgen dat uw toepassing toegang behoudt.
Het resultaat van de aanmelding van de eindgebruiker is dat uw toepassing een toegangstoken en een vernieuwingstoken krijgt. Het toegangstoken wordt gekoppeld aan elke aanvraag voor Data Lake Storage Gen1 of Data Lake Analytics en is standaard één uur geldig. Het vernieuwingstoken kan worden gebruikt om een nieuw toegangstoken te verkrijgen en is standaard maximaal twee weken geldig, indien regelmatig gebruikt. U kunt twee verschillende benaderingen gebruiken voor het aanmelden van eindgebruikers.
In dit scenario wordt de gebruiker via de toepassing gevraagd om zich te melden en worden alle bewerkingen uitgevoerd in de context van de gebruiker. Voer de volgende stappen uit:
Leid de gebruiker via de toepassing om naar de volgende URL:
https://login.microsoftonline.com/<TENANT-ID>/oauth2/authorize?client_id=<APPLICATION-ID>&response_type=code&redirect_uri=<REDIRECT-URI>Notitie
<REDIRECT-URI> moet worden gecodeerd voor gebruik in een URL. Dus, voor https://localhost, gebruik
https%3A%2F%2Flocalhost)Voor deze zelfstudie kunt u de waarden van de tijdelijke aanduiding in bovenstaande URL vervangen en deze in de adresbalk van de webbrowser plakken. U wordt omgeleid om u te verifiëren met uw Azure-aanmelding. Wanneer u bent aangemeld, wordt het antwoord weergegeven in de adresbalk van de browser. Het antwoord heeft de volgende indeling:
http://localhost/?code=<AUTHORIZATION-CODE>&session_state=<GUID>Leg de autorisatiecode uit het antwoord vast. Voor deze zelfstudie kunt u de autorisatiecode kopiëren van de adresbalk van de webbrowser en deze in de POST-aanvraag doorgeven aan het tokeneindpunt, zoals wordt weergegeven in het volgende fragment:
curl -X POST https://login.microsoftonline.com/<TENANT-ID>/oauth2/token \ -F redirect_uri=<REDIRECT-URI> \ -F grant_type=authorization_code \ -F resource=https://management.core.windows.net/ \ -F client_id=<APPLICATION-ID> \ -F code=<AUTHORIZATION-CODE>Notitie
In dit geval hoeft de <REDIRECT-URI> niet te worden gecodeerd.
Het antwoord is een JSON-object met een toegangstoken (bijvoorbeeld
"access_token": "<ACCESS_TOKEN>") en een vernieuwingstoken (bijvoorbeeld"refresh_token": "<REFRESH_TOKEN>"). Uw toepassing gebruikt het toegangstoken bij het openen van Azure Data Lake Storage Gen1 en het vernieuwingstoken om een ander toegangstoken op te halen wanneer een toegangstoken verloopt.{"token_type":"Bearer","scope":"user_impersonation","expires_in":"3599","expires_on":"1461865782","not_before": "1461861882","resource":"https://management.core.windows.net/","access_token":"<REDACTED>","refresh_token":"<REDACTED>","id_token":"<REDACTED>"}Wanneer het toegangstoken verloopt, kunt u een nieuw toegangstoken aanvragen met behulp van het vernieuwingstoken, zoals wordt weergegeven in het volgende codefragment:
curl -X POST https://login.microsoftonline.com/<TENANT-ID>/oauth2/token \ -F grant_type=refresh_token \ -F resource=https://management.core.windows.net/ \ -F client_id=<APPLICATION-ID> \ -F refresh_token=<REFRESH-TOKEN>
Zie De stroom voor autorisatiecodetoekenning voor meer informatie over interactieve gebruikersverificatie.
Volgende stappen
In dit artikel hebt u geleerd hoe u service-naar-service-verificatie gebruikt om te verifiëren met Azure Data Lake Storage Gen1 met behulp van REST API. U kunt nu de volgende artikelen bekijken over het gebruik van de REST API om te werken met Azure Data Lake Storage Gen1.