Przeczytaj w języku angielskim

Udostępnij za pośrednictwem

Uwierzytelnianie typu usługa-usługa za pomocą usługi Azure Data Lake Storage Gen1 przy użyciu identyfikatora Entra firmy Microsoft

  • Artykuł

Usługa Azure Data Lake Storage Gen1 używa identyfikatora Entra firmy Microsoft do uwierzytelniania. Przed utworzeniem aplikacji, która współpracuje z usługą Data Lake Storage Gen1, musisz zdecydować, jak uwierzytelnić aplikację za pomocą identyfikatora Entra firmy Microsoft. Dostępne są dwie główne opcje:

  • Uwierzytelnianie użytkowników końcowych
  • Uwierzytelnianie typu service-to-service (ten artykuł)

Obie te opcje powodują udostępnienie aplikacji tokenu OAuth 2.0, który jest dołączany do każdego żądania skierowanego do usługi Data Lake Storage Gen1.

W tym artykule omówiono sposób tworzenia aplikacji internetowej firmy Microsoft Entra na potrzeby uwierzytelniania typu service-to-service. Aby uzyskać instrukcje dotyczące konfiguracji aplikacji Microsoft Entra na potrzeby uwierzytelniania użytkowników końcowych, zobacz Uwierzytelnianie użytkowników końcowych za pomocą usługi Data Lake Storage Gen1 przy użyciu identyfikatora Entra firmy Microsoft.

Wymagania wstępne

Krok 1. Tworzenie aplikacji internetowej usługi Active Directory

Utwórz i skonfiguruj aplikację internetową firmy Microsoft Entra na potrzeby uwierzytelniania typu service-to-service przy użyciu usługi Azure Data Lake Storage Gen1 przy użyciu identyfikatora Entra firmy Microsoft. Aby uzyskać instrukcje, zobacz Tworzenie aplikacji firmy Microsoft Entra.

Postępując zgodnie z instrukcjami podanymi w powyższym linku, upewnij się, że wybrano pozycję Aplikacja internetowa/interfejs API dla typu aplikacji, jak pokazano na poniższym zrzucie ekranu:

Tworzenie aplikacji internetowej

Krok 2. Pobieranie identyfikatora aplikacji, klucza uwierzytelniania i identyfikatora dzierżawy

Podczas programowego logowania potrzebny jest identyfikator aplikacji. Jeśli aplikacja działa w ramach własnych poświadczeń, potrzebujesz również klucza uwierzytelniania.

  • Aby uzyskać instrukcje dotyczące pobierania identyfikatora aplikacji i klucza uwierzytelniania (nazywanego również kluczem tajnym klienta) dla aplikacji, zobacz Pobieranie identyfikatora aplikacji i klucza uwierzytelniania.

  • Aby uzyskać instrukcje dotyczące pobierania identyfikatora dzierżawy, zobacz Pobieranie identyfikatora dzierżawy.

Krok 3. Przypisanie aplikacji Microsoft Entra do pliku lub folderu konta usługi Azure Data Lake Storage Gen1

  1. Zaloguj się w witrynie Azure Portal. Otwórz konto usługi Data Lake Storage Gen1, które chcesz skojarzyć z utworzoną wcześniej aplikacją Microsoft Entra.

  2. W bloku konta usługi Data Lake Storage Gen1 kliknij pozycję Eksplorator danych.

    Tworzenie katalogów na koncie usługi Data Lake Storage Gen1

  3. W bloku Eksplorator danych kliknij plik lub folder, dla którego chcesz zapewnić dostęp do aplikacji Microsoft Entra, a następnie kliknij pozycję Dostęp. Aby skonfigurować dostęp do pliku, należy kliknąć pozycję Dostęp w bloku Podgląd plików.

    Ustawianie list ACL w systemie plików usługi Data Lake

  4. Blok Dostęp wyświetla standardowy dostęp i niestandardowy dostęp już przypisany do root. Kliknij ikonę Dodaj, aby dodać niestandardowe poziomy ACL.

    Wyświetlanie listy dostępu standardowego i niestandardowego

  5. Kliknij ikonę Dodaj, aby otworzyć panel Dodaj niestandardowy dostęp. W tym bloku kliknij pozycję Wybierz użytkownika lub grupę, a następnie w bloku Wybierz użytkownika lub grupę wyszukaj utworzoną wcześniej aplikację Microsoft Entra. Jeśli masz wiele grup do wyszukania, użyj pola tekstowego u góry, aby filtrować nazwę grupy. Kliknij grupę, którą chcesz dodać, a następnie kliknij pozycję Wybierz.

    Dodaj grupę

  6. Kliknij Wybierz uprawnienia, wybierz uprawnienia i określ, czy chcesz przypisać uprawnienia jako domyślne ACL, dostępowe ACL, lub oba. Kliknij przycisk OK.

    Zrzut ekranu przedstawiający blok Dodaj dostęp niestandardowy z wybraną opcją Wybierz uprawnienia, a blok Wybierz uprawnienia z wywołaną opcją OK.

    Aby uzyskać więcej informacji na temat uprawnień w usłudze Data Lake Storage Gen1 i list ACL domyślnych/dostępu, zobacz Kontrola dostępu w usłudze Data Lake Storage Gen1.

  7. W bloku Dodawanie dostępu niestandardowego kliknij przycisk OK. Nowo dodane grupy ze skojarzonymi uprawnieniami są wymienione w bloku Dostęp .

    Zrzut ekranu przedstawiający panel Dostęp z nowo dodaną grupą wyróżnioną w sekcji Dostęp niestandardowy.

Uwaga

Jeśli planujesz ograniczenie aplikacji Microsoft Entra do określonego folderu, musisz również nadać tej samej aplikacji Microsoft Entra uprawnienie do wykonywania w katalogu głównym, aby umożliwić dostęp do tworzenia plików za pomocą zestawu SDK platformy .NET.

Uwaga

Jeśli chcesz użyć zestawów SDK do utworzenia konta usługi Data Lake Storage Gen1, musisz przypisać aplikację internetową Firmy Microsoft Entra jako rolę do grupy zasobów, w której tworzysz konto usługi Data Lake Storage Gen1.

Krok 4. Uzyskiwanie punktu końcowego tokenu OAuth 2.0 (tylko dla aplikacji opartych na języku Java)

  1. Zaloguj się do witryny Azure Portal i kliknij pozycję Active Directory w okienku po lewej stronie.

  2. W okienku po lewej stronie kliknij pozycję Rejestracje aplikacji.

  3. W górnej części bloku Rejestracje aplikacji kliknij pozycję Punkty końcowe.

    Zrzut ekranu usługi Active Directory z opcją Rejestracje aplikacji i wybraną opcją Punkty końcowe.

  4. Na liście punktów końcowych skopiuj punkt końcowy tokenu OAuth 2.0.

    Zrzut ekranu przedstawiający panel Punktów końcowych z ikoną kopiowania punktu końcowego tokenu OAuth 2.0.

Następne kroki

W tym artykule utworzono aplikację internetową Firmy Microsoft Entra i zebrano informacje potrzebne w aplikacjach klienckich utworzonych przy użyciu zestawu .NET SDK, Java, Python, interfejsu API REST itp. Teraz możesz przejść do następujących artykułów, które mówią o tym, jak używać aplikacji natywnej firmy Microsoft Entra do pierwszego uwierzytelniania za pomocą usługi Data Lake Storage Gen1, a następnie wykonywać inne operacje w sklepie.