Uzyskiwanie dostępu do udziałów plików platformy Azure przy użyciu identyfikatora Entra firmy Microsoft za pomocą protokołu OAuth usługi Azure Files za pośrednictwem interfejsu REST

Protokół OAuth usługi Azure Files za pośrednictwem interfejsu REST umożliwia dostęp do odczytu i zapisu na poziomie administratora do udziałów plików platformy Azure dla użytkowników i aplikacji za pośrednictwem protokołu uwierzytelniania OAuth przy użyciu identyfikatora Microsoft Entra ID dla dostępu opartego na interfejsie API REST. Użytkownicy, grupy, usługi pierwszej firmy, takie jak Witryna Azure Portal, usługi i aplikacje innych firm korzystające z interfejsów REST mogą teraz używać uwierzytelniania OAuth i autoryzacji z kontem Firmy Microsoft Entra w celu uzyskania dostępu do danych w udziałach plików platformy Azure. Polecenia cmdlet programu PowerShell i polecenia interfejsu wiersza polecenia platformy Azure wywołujące interfejsy API REST mogą również używać protokołu OAuth do uzyskiwania dostępu do udziałów plików platformy Azure.

Ważne

Aby wskazać zamiar użycia dodatkowych uprawnień, musisz wywołać interfejs API REST przy użyciu jawnego nagłówka. Dotyczy to również programu Azure PowerShell i dostępu do interfejsu wiersza polecenia platformy Azure.

Ograniczenia

Protokół OAuth usługi Azure Files za pośrednictwem interfejsu REST obsługuje tylko interfejsy API danych FileREST, które obsługują operacje na plikach i katalogach. Protokół OAuth nie jest obsługiwany w interfejsach API płaszczyzny danych FilesREST, które zarządzają zasobami FileService i FileShare. Te interfejsy API zarządzania są wywoływane przy użyciu klucza konta magazynu lub tokenu SAS i są udostępniane za pośrednictwem płaszczyzny danych ze starszych powodów. Zalecamy używanie interfejsów API płaszczyzny sterowania (dostawcy zasobów magazynu — Microsoft.Storage), które obsługują protokół OAuth dla wszystkich działań zarządzania związanych z zasobami FileService i FileShare.

Autoryzowanie operacji danych plików za pomocą identyfikatora Entra firmy Microsoft jest obsługiwane tylko w przypadku interfejsu API REST w wersji 2022-11-02 i nowszych. Zobacz Przechowywanie wersji dla usługi Azure Storage.

Przypadki użycia klienta

Uwierzytelnianie OAuth i autoryzacja za pomocą usługi Azure Files za pośrednictwem interfejsu API REST mogą przynieść korzyści klientom w następujących scenariuszach.

Tworzenie aplikacji i integracja usług

Uwierzytelnianie OAuth i autoryzacja umożliwiają deweloperom tworzenie aplikacji, które uzyskują dostęp do interfejsów API REST usługi Azure Storage przy użyciu tożsamości użytkowników lub aplikacji z identyfikatora Entra firmy Microsoft.

Klienci i partnerzy mogą również włączyć usługi innych firm i innych firm w celu bezpiecznego i przejrzystego konfigurowania niezbędnego dostępu do konta magazynu klienta.

Narzędzia DevOps, takie jak witryna Azure Portal, program PowerShell i interfejs wiersza polecenia, narzędzie AzCopy i Eksplorator usługi Storage mogą zarządzać danymi przy użyciu tożsamości użytkownika, eliminując konieczność zarządzania lub dystrybucji kluczy dostępu do magazynu.

Tożsamości zarządzane

Klienci z aplikacjami i tożsamościami zarządzanymi, którzy wymagają dostępu do danych udziału plików na potrzeby tworzenia kopii zapasowych, przywracania lub inspekcji, mogą korzystać z uwierzytelniania i autoryzacji OAuth. Wymuszanie uprawnień na poziomie plików i katalogów dla każdej tożsamości zwiększa złożoność i może nie być zgodne z określonymi obciążeniami. Na przykład klienci mogą chcieć autoryzować usługę rozwiązania do tworzenia kopii zapasowych w celu uzyskania dostępu do udziałów plików platformy Azure z dostępem tylko do odczytu do wszystkich plików bez względu na uprawnienia specyficzne dla plików.

Wymiana klucza konta magazynu

Microsoft Entra ID zapewnia doskonałe zabezpieczenia i łatwość użycia za pośrednictwem dostępu do klucza współdzielonego. Możesz zastąpić dostęp do klucza konta magazynu uwierzytelnianiem OAuth i autoryzacją w celu uzyskania dostępu do udziałów plików platformy Azure przy użyciu uprawnień do odczytu/zapisu wszystkich. Takie podejście oferuje również lepszą inspekcję i śledzenie dostępu określonego użytkownika.

Uprzywilejowany dostęp i uprawnienia dostępu dla operacji danych

Aby korzystać z funkcji OAuth usługi Azure Files za pośrednictwem interfejsu REST, istnieją dodatkowe uprawnienia, które muszą zostać uwzględnione w roli RBAC przypisanej do użytkownika, grupy lub jednostki usługi. Dwie nowe akcje danych są wprowadzane w ramach tej funkcji:

Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action

Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action

Użytkownicy, grupy lub jednostki usługi wywołujące interfejs API REST za pomocą protokołu OAuth muszą mieć przypisaną readFileBackupSemantics akcję lub writeFileBackupSemantics do roli, która zezwala na dostęp do danych. Jest to wymagane do korzystania z tej funkcji. Aby uzyskać szczegółowe informacje na temat uprawnień wymaganych do wywoływania określonych operacji usługi plików, zobacz Uprawnienia do wywoływania operacji danych.

Ta funkcja udostępnia dwie nowe wbudowane role, które obejmują te nowe akcje.

Rola	Akcje danych
Uprzywilejowany czytelnik danych plików magazynu	Microsoft.Storage/storageAccounts/fileServices/fileShares/files/read Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action
Uprzywilejowany współautor danych plików magazynu	Microsoft.Storage/storageAccounts/fileServices/fileShares/files/read Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write Microsoft.Storage/storageAccounts/fileServices/fileShares/files/delete Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action Microsoft.Storage/storageAccounts/fileServices/fileshares/files/modifypermissions/action

Te nowe role są podobne do istniejących ról wbudowanych współautora udziału SMB danych plików magazynu SMB i udziału plików magazynu, ale istnieją pewne różnice:

• Nowe role zawierają dodatkowe akcje danych wymagane do uzyskania dostępu do protokołu OAuth.

• Gdy użytkownik, grupa lub jednostka usługi, która ma przypisane dane pliku magazynu Uprzywilejowany czytelnik lub współautor danych plików magazynu, wywołuje interfejs API danych FilesREST przy użyciu protokołu OAuth, użytkownika, grupy lub jednostki usługi:

  • Czytelnik uprzywilejowany danych plików magazynu: pełny dostęp do odczytu dla wszystkich danych w udziałach dla wszystkich skonfigurowanych kont magazynu niezależnie od ustawionych uprawnień NTFS na poziomie pliku/katalogu.
  • Współautor uprzywilejowany danych plików magazynu: pełny odczyt, zapis, modyfikowanie list ACL, usuwanie dostępu do wszystkich danych w udziałach dla wszystkich skonfigurowanych kont magazynu niezależnie od ustawionych uprawnień NTFS na poziomie pliku/katalogu.

• Dzięki tym specjalnym uprawnieniam i rolam system pomija wszelkie uprawnienia na poziomie pliku/katalogu i zezwala na dostęp do danych udziału plików.

W przypadku nowych ról i akcji danych ta funkcja zapewni uprawnienia dla całego konta magazynu, które zastępują wszystkie uprawnienia do plików i folderów we wszystkich udziałach plików na koncie magazynu. Jednak nowe role zawierają tylko uprawnienia dostępu do usług danych. Nie zawierają żadnych uprawnień dostępu do usług zarządzania udziałami plików (akcje w udziałach plików). Aby użyć tej funkcji, upewnij się, że masz uprawnienia dostępu:

• konto magazynu
• usługi zarządzania udziałami plików
• usługi danych (dane w udziale plików)

Istnieje wiele wbudowanych ról , które zapewniają dostęp do usług zarządzania. Możesz również utworzyć role niestandardowe z odpowiednimi uprawnieniami. Aby dowiedzieć się więcej na temat kontroli dostępu opartej na rolach, zobacz Kontrola dostępu oparta na rolach na platformie Azure. Aby uzyskać więcej informacji na temat sposobu definiowania ról wbudowanych, zobacz Omówienie definicji ról.

Ważne

Wszystkie przypadki użycia symboli wieloznacznych zdefiniowane dla ścieżki Microsoft.Storage/storageAccounts/fileServices/* lub wyższego zakresu będą automatycznie dziedziczyć dodatkowy dostęp i uprawnienia przyznane za pomocą tej nowej akcji danych. Aby zapobiec niezamierzonemu lub nadmiernie uprzywilejowanemu dostępowi do usługi Azure Files, zaimplementowaliśmy dodatkowe kontrole, które wymagają od użytkowników i aplikacji jawnego wskazania ich zamiaru korzystania z dodatkowych uprawnień. Ponadto zdecydowanie zalecamy, aby klienci przeglądali przypisania ról RBAC użytkowników i zastępowali dowolne użycie symboli wieloznacznych jawnymi uprawnieniami w celu zapewnienia odpowiedniego zarządzania dostępem do danych.

Autoryzowanie dostępu do danych plików w kodzie aplikacji

Biblioteka klienta tożsamości platformy Azure upraszcza proces uzyskiwania tokenu dostępu OAuth 2.0 do autoryzacji przy użyciu identyfikatora Entra firmy Microsoft za pośrednictwem zestawu Azure SDK. Najnowsze wersje bibliotek klienckich usługi Azure Storage dla platformy .NET, Java, Python, JavaScript i Go są zintegrowane z bibliotekami tożsamości platformy Azure dla każdego z tych języków w celu zapewnienia prostego i bezpiecznego sposobu uzyskiwania tokenu dostępu do autoryzacji żądań z usługi plików platformy Azure.

Zaletą biblioteki klienta tożsamości platformy Azure jest możliwość użycia tego samego kodu w celu uzyskania tokenu dostępu niezależnie od tego, czy aplikacja działa w środowisku deweloperów, czy na platformie Azure. Biblioteka klienta usługi Azure Identity zwraca token dostępu dla podmiotu zabezpieczeń. Gdy kod jest uruchomiony na platformie Azure, jednostka zabezpieczeń może być tożsamością zarządzaną dla zasobów platformy Azure, jednostki usługi lub użytkownika lub grupy. W środowisku projektowym biblioteka klienta udostępnia token dostępu dla użytkownika lub jednostki usługi na potrzeby testowania.

Token dostępu zwrócony przez bibliotekę klienta tożsamości platformy Azure jest hermetyzowany w poświadczeniach tokenu. Następnie możesz użyć poświadczeń tokenu, aby uzyskać obiekt klienta usługi do użycia w wykonywaniu autoryzowanych operacji względem usługi Azure Files.

Oto przykładowy kod:

using Azure.Core;
using Azure.Identity;
using Azure.Storage.Files.Shares;
using Azure.Storage.Files.Shares.Models;

namespace FilesOAuthSample
{
    internal class Program
    {
        static async Task Main(string[] args)
        {
            string tenantId = "";
            string appId = "";
            string appSecret = "";
            string aadEndpoint = "";
            string accountUri = "";
            string connectionString = "";
            string shareName = "test-share";
            string directoryName = "testDirectory";
            string fileName = "testFile"; 

            ShareClient sharedKeyShareClient = new ShareClient(connectionString, shareName); 
            await sharedKeyShareClient.CreateIfNotExistsAsync(); 

            TokenCredential tokenCredential = new ClientSecretCredential(
                tenantId,
                appId,
                appSecret,
                new TokenCredentialOptions()
                {
                    AuthorityHost = new Uri(aadEndpoint)
                });

            ShareClientOptions clientOptions = new ShareClientOptions(ShareClientOptions.ServiceVersion.V2023_05_03);

            // Set Allow Trailing Dot and Source Allow Trailing Dot.
            clientOptions.AllowTrailingDot = true;
            clientOptions.AllowSourceTrailingDot = true;

            // x-ms-file-intent=backup will automatically be applied to all APIs
            // where it is required in derived clients.

            clientOptions.ShareTokenIntent = ShareTokenIntent.Backup;
            ShareServiceClient shareServiceClient = new ShareServiceClient(
                new Uri(accountUri),
                tokenCredential,
                clientOptions);

            ShareClient shareClient = shareServiceClient.GetShareClient(shareName);
            ShareDirectoryClient directoryClient = shareClient.GetDirectoryClient(directoryName);
            await directoryClient.CreateAsync();

            ShareFileClient fileClient = directoryClient.GetFileClient(fileName);
            await fileClient.CreateAsync(maxSize: 1024);
            await fileClient.GetPropertiesAsync();
            await sharedKeyShareClient.DeleteIfExistsAsync();
        }
    }
}

Autoryzowanie dostępu przy użyciu interfejsu API płaszczyzny danych FileREST

Możesz również autoryzować dostęp do danych plików przy użyciu witryny Azure Portal lub programu Azure PowerShell.

Azure Portal

Witryna Azure Portal może użyć konta Microsoft Entra lub klucza dostępu konta magazynu w celu uzyskania dostępu do danych plików na koncie usługi Azure Storage. Który schemat autoryzacji używany w witrynie Azure Portal zależy od przypisanych ról platformy Azure.

Podczas próby uzyskania dostępu do danych plików witryna Azure Portal najpierw sprawdza, czy przypisano ci rolę platformy Azure za pomocą Microsoft.Storage/storageAccounts/listkeys/actionpolecenia . Jeśli przypisano ci rolę z tą akcją, witryna Azure Portal używa klucza konta do uzyskiwania dostępu do danych plików za pośrednictwem autoryzacji klucza współdzielonego. Jeśli nie przypisano ci roli z tą akcją, witryna Azure Portal próbuje uzyskać dostęp do danych przy użyciu konta Microsoft Entra.

Aby uzyskać dostęp do danych plików z witryny Azure Portal przy użyciu konta microsoft Entra, musisz mieć uprawnienia dostępu do danych plików, a także uprawnienia do nawigowania po zasobach konta magazynu w witrynie Azure Portal. Wbudowane role udostępniane przez platformę Azure udzielają dostępu do zasobów plików, ale nie udzielają uprawnień do zasobów konta magazynu. Z tego powodu dostęp do portalu wymaga również przypisania roli usługi Azure Resource Manager (ARM), takiej jak rola czytelnika , o określonym zakresie na poziomie konta magazynu lub wyższym. Rola Czytelnik przyznaje najbardziej restrykcyjne uprawnienia, ale każda rola usługi ARM, która udziela dostępu do zasobów zarządzania kontami magazynu, jest akceptowalna.

Witryna Azure Portal wskazuje, który schemat autoryzacji jest w użyciu podczas przechodzenia do kontenera. Aby uzyskać więcej informacji na temat dostępu do danych w portalu, zobacz Wybieranie sposobu autoryzowania dostępu do danych plików w witrynie Azure Portal.

Azure PowerShell

Platforma Azure udostępnia rozszerzenia dla programu PowerShell, które umożliwiają logowanie się i wywoływanie poleceń cmdlet programu PowerShell przy użyciu poświadczeń firmy Microsoft Entra. Po zalogowaniu się do programu PowerShell przy użyciu poświadczeń usługi Microsoft Entra zwracany jest token dostępu OAuth 2.0. Program PowerShell automatycznie używa tego tokenu do autoryzowania kolejnych operacji danych w magazynie plików. W przypadku obsługiwanych operacji nie trzeba już przekazywać klucza konta ani tokenu SAS za pomocą polecenia .

Uprawnienia do plików danych można przypisać do podmiotu zabezpieczeń firmy Microsoft Entra za pośrednictwem kontroli dostępu opartej na rolach platformy Azure.

Obsługiwane operacje

Rozszerzenia obsługują tylko operacje na danych plików. Które operacje, które można wywołać, zależą od uprawnień przyznanych podmiotowi zabezpieczeń firmy Microsoft, któremu zalogowałeś się do programu PowerShell.

Kontekst magazynu z uwierzytelnianiem OAuth będzie działać tylko wtedy, gdy jest wywoływany z parametrem -EnableFileBackupRequestIntent . Ma to na celu określenie jawnej intencji używania dodatkowych uprawnień zapewnianych przez tę funkcję.

Kontekst magazynu z uwierzytelnianiem OAuth będzie działać tylko w przypadku operacji na plikach i katalogach oraz uprawnienia Get/Set w udziałach plików platformy Azure. W przypadku wszystkich innych operacji na koncie magazynu i udziałach plików należy użyć klucza konta magazynu lub tokenu SAS.

Wymagania wstępne

Potrzebna będzie grupa zasobów platformy Azure i konto magazynu w tej grupie zasobów. Konto magazynu musi mieć przypisaną odpowiednią rolę, która przyznaje jawne uprawnienia do wykonywania operacji na danych względem udziałów plików. Upewnij się, że masz wymagane role i uprawnienia dostępu zarówno do usług zarządzania, jak i usług danych. Aby uzyskać szczegółowe informacje na temat uprawnień wymaganych do wywoływania określonych operacji usługi plików, zobacz Uprawnienia do wywoływania operacji danych.

Instalowanie modułu Az.Storage

Ta funkcja jest dostępna w najnowszym module Az.Storage. Zainstaluj moduł przy użyciu tego polecenia:

Install-Module Az.Storage -Repository PsGallery

Autoryzowanie dostępu do danych plików

Aby autoryzować dostęp do danych plików, wykonaj następujące kroki.

1. Zaloguj się do konta platformy Connect-AzAccount Azure przy użyciu polecenia cmdlet .

2. Pobierz kontekst konta magazynu przy użyciu klucza konta magazynu, wywołując Get-AzStorageAccount polecenie cmdlet (usługa zarządzania). Zastąp <ResourceGroupName> wartości i <StorageAccountName> wartościami.

   $ctxkey = (Get-AzStorageAccount -ResourceGroupName <ResourceGroupName> -Name <StorageAccountName>).Context
   

3. Utwórz udział plików, wywołując polecenie New-AzStorageShare. Ponieważ używasz kontekstu konta magazynu z kroku 2, udział plików jest tworzony przy użyciu klucza konta magazynu.

   $fileshareName = "sample-share"
   New-AzStorageShare -Name $fileshareName -Context $ctxkey
   

4. Pobierz kontekst konta magazynu przy użyciu protokołu OAuth na potrzeby wykonywania operacji na udziale plików (usłudze danych). Zastąp <StorageAccountName> ciąg nazwą konta magazynu.

   $ctx = New-AzStorageContext -StorageAccountName <StorageAccountName> -EnableFileBackupRequestIntent
   

   Aby uzyskać kontekst konta magazynu przy użyciu protokołu OAuth, należy jawnie przekazać -EnableFileBackupRequestIntent parametr do New-AzStorageContext polecenia cmdlet. Jeśli nie przekażesz parametru intencji, kolejne żądania operacji danych udziału plików przy użyciu kontekstu zakończy się niepowodzeniem.

5. Utwórz katalog testowy i plik w udziale plików przy użyciu poleceń New-AzStorageDirectory cmdlet i Set-AzStorageFileContent . Pamiętaj, aby określić lokalną ścieżkę pliku źródłowego.

   $dir = New-AzStorageDirectory -ShareName $fileshareName -Path "dir1" -Context $ctx
   $file = Set-AzStorageFileContent -ShareName $fileshareName -Path "test2" -Source "<local source file path>" -Context $ctx  
   

   Ponieważ polecenia cmdlet są wywoływane przy użyciu kontekstu konta magazynu z kroku 4, plik i katalog zostaną utworzone przy użyciu poświadczeń firmy Microsoft Entra.

Interfejs wiersza polecenia platformy Azure

Podstawowe polecenia interfejsu wiersza polecenia platformy Azure dostarczane w ramach interfejsu wiersza polecenia obsługują uwierzytelnianie OAuth za pośrednictwem interfejsu REST i można ich używać do uwierzytelniania i autoryzacji operacji danych plików przy użyciu poświadczeń firmy Microsoft Entra.

Obsługiwane operacje

Polecenia obsługują tylko operacje na danych plików. Które operacje, które można wywołać, zależą od uprawnień udzielonych podmiotowi zabezpieczeń firmy Microsoft, któremu zalogowałeś się do interfejsu wiersza polecenia platformy Azure.

Uwierzytelnianie OAuth i autoryzacja będą działać tylko wtedy, gdy polecenie interfejsu wiersza polecenia jest wywoływane z opcją lub --enable-file-backup-request-intent opcją--backup-intent. Ma to na celu określenie jawnej intencji używania dodatkowych uprawnień zapewnianych przez tę funkcję.

Wszystkie polecenia w obszarze az storage file, az storage directory grupy poleceń i az storage share list-handleaz storage share close-handle obsługują uwierzytelnianie i autoryzację OAuth. W przypadku wszystkich innych operacji na koncie magazynu i udziałach plików należy użyć klucza konta magazynu lub tokenu SAS.

Wymagania wstępne

Potrzebna będzie grupa zasobów platformy Azure i konto magazynu w tej grupie zasobów. Konto magazynu musi mieć przypisaną odpowiednią rolę, która przyznaje jawne uprawnienia do wykonywania operacji na danych względem udziałów plików. Upewnij się, że masz wymagane role i uprawnienia dostępu zarówno do usług zarządzania, jak i usług danych. Aby uzyskać szczegółowe informacje na temat uprawnień wymaganych do wywoływania określonych operacji usługi plików, zobacz Uprawnienia do wywoływania operacji danych.

Instalacja i przykładowe polecenia

Jeśli jeszcze tego nie zrobiono, zainstaluj najnowszą wersję interfejsu wiersza polecenia platformy Azure.

Autoryzowanie dostępu do danych plików

1. Zaloguj się do swojego konta platformy Azure.

   az login
   

2. Utwórz udział plików, wywołując polecenie az storage share create cli. Ponieważ używasz parametry połączenia, udział plików jest tworzony przy użyciu klucza konta magazynu.

   az storage share create --name testshare1 --connection-string <connection-string>
   

3. Utwórz katalog testowy i przekaż plik do udziału plików przy użyciu narzędzi az storage directory create i az storage file upload cli. Pamiętaj, aby określić --auth tryb logowania i przekazać --backup-intent parametr .

   az storage directory create --name testdir1 --account-name filesoauthsa --share-name testshare1 --auth-mode login --backup-intent
   az storage file upload  --account-name filesoauthsa --share-name testshare1 --auth-mode login --backup-intent --source <source file path>
   

   Ponieważ polecenia interfejsu wiersza polecenia są wywoływane przy użyciu typu uwierzytelniania jako identyfikator logowania (--auth modeidentyfikator logowania i --backup-intent parametru), plik i katalog zostaną utworzone przy użyciu poświadczeń firmy Microsoft Entra.

Aby uzyskać więcej informacji, zapoznaj się z najnowszą dokumentacją interfejsu wiersza polecenia dla obsługiwanych poleceń:

• az storage file
• az storage directory
• az storage share list-handle
• az storage share close-handle

Zobacz też

• Wybieranie sposobu autoryzacji dostępu do danych plików w witrynie Azure Portal