Uwierzytelnianie typu usługa-usługa z usługą Azure Data Lake Storage Gen1 przy użyciu usługi Tożsamość Microsoft Entra

  • Artykuł

Azure Data Lake Storage Gen1 używa Tożsamość Microsoft Entra do uwierzytelniania. Przed utworzeniem aplikacji, która współpracuje z Data Lake Storage Gen1, musisz zdecydować, jak uwierzytelniać aplikację przy użyciu Tożsamość Microsoft Entra. Dostępne są dwie główne opcje:

  • Uwierzytelnianie użytkowników końcowych
  • Uwierzytelnianie typu usługa-usługa (w tym artykule)

Obie te opcje powodują udostępnienie aplikacji tokenu OAuth 2.0, który jest dołączany do każdego żądania skierowanego do Data Lake Storage Gen1.

W tym artykule omówiono sposób tworzenia Microsoft Entra aplikacji internetowej na potrzeby uwierzytelniania typu usługa-usługa. Aby uzyskać instrukcje dotyczące Microsoft Entra konfiguracji aplikacji na potrzeby uwierzytelniania użytkowników końcowych, zobacz Uwierzytelnianie użytkowników końcowych przy użyciu Data Lake Storage Gen1 przy użyciu Tożsamość Microsoft Entra.

Wymagania wstępne

Krok 1. Tworzenie aplikacji internetowej usługi Active Directory

Utwórz i skonfiguruj aplikację internetową Microsoft Entra na potrzeby uwierzytelniania typu usługa-usługa przy użyciu usługi Azure Data Lake Storage Gen1 przy użyciu Tożsamość Microsoft Entra. Aby uzyskać instrukcje, zobacz Tworzenie aplikacji Microsoft Entra.

Postępując zgodnie z instrukcjami podanymi w powyższym linku, upewnij się, że wybrano pozycję Aplikacja internetowa/interfejs API dla typu aplikacji, jak pokazano na poniższym zrzucie ekranu:

Tworzenie aplikacji internetowej Tworzenie

Krok 2. Pobieranie identyfikatora aplikacji, klucza uwierzytelniania i identyfikatora dzierżawy

Podczas programowego logowania potrzebny jest identyfikator aplikacji. Jeśli aplikacja działa w ramach własnych poświadczeń, potrzebny jest również klucz uwierzytelniania.

Krok 3. Przypisanie aplikacji Microsoft Entra do pliku lub folderu konta usługi Azure Data Lake Storage Gen1

  1. Zaloguj się w witrynie Azure Portal. Otwórz konto Data Lake Storage Gen1, które chcesz skojarzyć z utworzoną wcześniej aplikacją Microsoft Entra.

  2. W bloku konta Data Lake Storage Gen1 kliknij pozycję Data Explorer.

    Tworzenie katalogów na koncie Data Lake Storage Gen1

  3. W bloku Data Explorer kliknij plik lub folder, dla którego chcesz zapewnić dostęp do aplikacji Microsoft Entra, a następnie kliknij pozycję Dostęp. Aby skonfigurować dostęp do pliku, należy kliknąć pozycję Dostęp w bloku Podgląd plików .

    Ustawianie list ACL w systemie plików usługi Data Lake Ustaw

  4. Blok Dostęp zawiera listę dostępu standardowego i dostępu niestandardowego przypisanego do katalogu głównego. Kliknij ikonę Dodaj , aby dodać listy ACL na poziomie niestandardowym.

    Wyświetlanie listy standardowych i niestandardowych dostępu

  5. Kliknij ikonę Dodaj , aby otworzyć blok Dodaj dostęp niestandardowy . W tym bloku kliknij pozycję Wybierz użytkownika lub grupę, a następnie w bloku Wybierz użytkownika lub grupę wyszukaj utworzoną wcześniej aplikację Microsoft Entra. Jeśli masz wiele grup do wyszukania, użyj pola tekstowego u góry, aby odfiltrować nazwę grupy. Kliknij grupę, którą chcesz dodać, a następnie kliknij przycisk Wybierz.

    Dodawanie grupy Dodawanie grupy

  6. Kliknij pozycję Wybierz uprawnienia, wybierz uprawnienia i określ, czy chcesz przypisać uprawnienia jako domyślną listę ACL, dostęp do listy ACL, czy oba te uprawnienia. Kliknij przycisk OK.

    Zrzut ekranu przedstawiający blok Dodaj dostęp niestandardowy z wywołaną opcją Wybierz uprawnienia i blok Wybierz uprawnienia z wywołaną opcją OK.

    Aby uzyskać więcej informacji na temat uprawnień w Data Lake Storage Gen1 i list ACL domyślnych/dostępu, zobacz Access Control w Data Lake Storage Gen1.

  7. W bloku Dodawanie dostępu niestandardowego kliknij przycisk OK. Nowo dodane grupy ze skojarzonymi uprawnieniami są wyświetlane w bloku Dostęp .

    Zrzut ekranu przedstawiający blok Dostęp z nowo dodaną grupą wywołaną w sekcji Dostęp niestandardowy.

Uwaga

Jeśli planujesz ograniczenie aplikacji Microsoft Entra do określonego folderu, musisz również nadać tej samej aplikacji Microsoft Entra uprawnienia Wykonywanie do katalogu głównego, aby umożliwić dostęp do tworzenia plików za pośrednictwem zestawu SDK platformy .NET.

Uwaga

Jeśli chcesz użyć zestawów SDK do utworzenia konta Data Lake Storage Gen1, musisz przypisać aplikację internetową Microsoft Entra jako rolę do grupy zasobów, w której tworzysz konto Data Lake Storage Gen1.

Krok 4. Uzyskiwanie punktu końcowego tokenu OAuth 2.0 (tylko dla aplikacji opartych na języku Java)

  1. Zaloguj się do Azure Portal i kliknij pozycję Active Directory w okienku po lewej stronie.

  2. W okienku po lewej stronie kliknij pozycję Rejestracje aplikacji.

  3. W górnej części bloku Rejestracje aplikacji kliknij pozycję Punkty końcowe.

    Zrzut ekranu usługi Active Directory z opcją Rejestracje aplikacji i wybraną opcją Punkty końcowe.

  4. Z listy punktów końcowych skopiuj punkt końcowy tokenu OAuth 2.0.

    Zrzut ekranu przedstawiający blok Punkty końcowe z wywołaną ikoną kopiowania punktu końcowego tokenu O AUTH 2 punktów O.

Następne kroki

W tym artykule utworzono aplikację internetową Microsoft Entra i zebrano informacje potrzebne w aplikacjach klienckich utworzonych przy użyciu zestawu .NET SDK, Java, Python, interfejsu API REST itp. Teraz możesz przejść do następujących artykułów, które mówią o tym, jak używać aplikacji natywnej Microsoft Entra do pierwszego uwierzytelniania przy użyciu Data Lake Storage Gen1, a następnie wykonywać inne operacje w sklepie.