Tożsamość i kontrola dostępu

  • 9 min

W tej lekcji dowiesz się, jak uwierzytelniać użytkowników i zapewniać dostęp do udziałów plików platformy Azure. Usługa Azure Files obsługuje uwierzytelnianie oparte na tożsamościach dla klientów, którzy uzyskują dostęp do udziałów plików za pośrednictwem protokołu SMB. Ponadto użytkownicy protokołu SMB mogą również uwierzytelniać się przy użyciu klucza konta magazynu. Udziały plików NFS korzystają z uwierzytelniania na poziomie sieci i dlatego są dostępne tylko za pośrednictwem sieci z ograniczeniami. Korzystanie z udziału plików NFS zawsze wymaga pewnego poziomu konfiguracji sieci. Dostęp do udziału plików za pośrednictwem interfejsów API REST używa sygnatur dostępu współdzielonego i kluczy konta magazynu dla określonych operacji zarządzania danymi.

  • Uwierzytelnianie oparte na tożsamościach: klienci mogą używać dostępu opartego na tożsamościach za pośrednictwem protokołu uwierzytelniania Kerberos. Usługi Active Directory przechowują informacje o koncie użytkownika, takie jak nazwy użytkowników, hasła, informacje kontaktowe itd. Usługa Azure Files integruje się z typowymi usługami katalogowymi, aby zweryfikować szczegóły konta użytkownika i włączyć pomyślne uwierzytelnianie. W przypadku protokołu SMB uwierzytelnianie oparte na tożsamościach jest najbezpieczniejszą i zalecaną opcją.

  • Klucz konta magazynu: użytkownik z kluczem konta magazynu może uzyskać dostęp do udziałów plików platformy Azure z uprawnieniami administratora za pośrednictwem protokołu SMB i REST. W idealnym przypadku tylko administratorzy superu użytkowników powinni używać kluczy konta magazynu, ponieważ pomijają wszystkie ograniczenia dostępu. W przypadku udziałów plików używanych przez klientów korporacyjnych klucze konta magazynu nie są skalowalnymi ani bezpiecznymi mechanizmami dostępu dla całej organizacji i dlatego nie są zalecane. Zalecanym najlepszym rozwiązaniem w zakresie zabezpieczeń jest unikanie udostępniania kluczy kont magazynu i używanie uwierzytelniania opartego na tożsamościach.

  • Sygnatura dostępu współdzielonego: klienci, którzy uzyskują dostęp za pośrednictwem interfejsu REST, mogą używać sygnatury dostępu współdzielonego (SAS) do uwierzytelniania za pomocą usługi Azure Files. Sygnatury dostępu współdzielonego są używane w określonych scenariuszach, w których niezależni dostawcy oprogramowania tworzą aplikacje interfejsu API REST i używają usługi Azure Files jako rozwiązania magazynu. Są one również używane, gdy partnerzy wewnętrzni potrzebują dostępu za pośrednictwem interfejsu REST na potrzeby operacji zarządzania danymi. Sygnatura dostępu współdzielonego to identyfikator URI, który udziela ograniczonych praw dostępu do zasobów usługi Azure Storage. Sygnatura dostępu współdzielonego umożliwia klientom dostęp do niektórych zasobów konta magazynu bez konieczności udzielenia im dostępu do klucza konta magazynu.

Uwierzytelnianie na podstawie tożsamości

Usługa Azure Files obsługuje uwierzytelnianie oparte na tożsamościach dla udziałów plików SMB przy użyciu protokołu Kerberos. Gdy tożsamość skojarzona z użytkownikiem lub aplikacją uruchomioną na kliencie próbuje uzyskać dostęp do danych w udziałach plików platformy Azure, żądanie jest wysyłane do usługi domeny w celu uwierzytelnienia tożsamości. Jeśli uwierzytelnianie zakończy się pomyślnie, zwraca token Protokołu Kerberos. Klient wysyła żądanie zawierające token Kerberos, a udziały plików platformy Azure używają tego tokenu do autoryzowania żądania. Udziały plików platformy Azure otrzymują tylko token Kerberos, a nie poświadczenia dostępu.

Usługa Azure Files obsługuje następujące metody uwierzytelniania dla udziałów plików SMB:

  • Lokalne usługi domena usługi Active Directory Services (AD DS): włączanie uwierzytelniania usług AD DS dla udziału plików platformy Azure umożliwia użytkownikom uwierzytelnianie przy użyciu lokalnych poświadczeń usług AD DS. Lokalne usługi AD DS muszą być zsynchronizowane z usługą Microsoft Entra ID przy użyciu usługi Microsoft Entra Połączenie sync. Tylko użytkownicy hybrydowi, którzy istnieją zarówno w lokalnych usługach AD DS, jak i Microsoft Entra ID, mogą być uwierzytelniani i autoryzowani do uzyskiwania dostępu do udziału plików platformy Azure. Klient musi skonfigurować swoje kontrolery domeny i przyłączyć do domeny swoje maszyny lub maszyny wirtualne. Kontrolery domeny mogą być hostowane lokalnie lub na maszynach wirtualnych, ale klienci muszą mieć widok na kontrolery domeny, w sieci lokalnej lub w tej samej sieci wirtualnej.

  • Microsoft Entra Domain Services: w przypadku uwierzytelniania usług Microsoft Entra Domain Services klienci powinni włączyć usługi Domain Services, a następnie dołączyć do domeny maszyny wirtualne, z których chcą uzyskać dostęp do danych plików. Maszyny wirtualne przyłączone do domeny muszą znajdować się w tej samej sieci wirtualnej co usługi Domain Services. Jednak klienci nie muszą tworzyć tożsamości w usługach Domain Services, aby reprezentować konto magazynu. Proces włączania tworzy tożsamość w tle. Ponadto wszyscy użytkownicy, którzy istnieją w identyfikatorze Entra firmy Microsoft, mogą być uwierzytelniani i autoryzowani. Użytkownik może być tylko w chmurze lub hybrydowy. Platforma zarządza synchronizacją z identyfikatora Entra firmy Microsoft z usługami Domain Services bez konieczności konfigurowania użytkownika.

  • Microsoft Entra Kerberos dla tożsamości użytkowników hybrydowych: usługa Azure Files obsługuje uwierzytelnianie Kerberos firmy Microsoft (dawniej Azure AD Kerberos) na potrzeby tożsamości użytkowników hybrydowych, które są tożsamościami lokalnymi usługi AD synchronizowanych z chmurą. Ta konfiguracja używa identyfikatora Entra firmy Microsoft do wystawiania biletów Protokołu Kerberos w celu uzyskania dostępu do udziału plików za pośrednictwem protokołu SMB. Oznacza to, że użytkownicy końcowi mogą uzyskiwać dostęp do udziałów plików platformy Azure przez Internet bez konieczności korzystania z kontrolerów domeny z urządzeń hybrydowych dołączonych do firmy Microsoft Entra i maszyn wirtualnych dołączonych do firmy Microsoft Entra. Ponadto dzięki tej możliwości klienci usługi Azure Virtual Desktop mogą utworzyć udział plików platformy Azure w celu przechowywania kontenerów profilów użytkowników, do których mogą uzyskiwać dostęp tożsamości użytkowników hybrydowych.

  • Uwierzytelnianie usługi AD dla klientów z systemem Linux: Uwierzytelnianie dla klientów z systemem Linux jest obsługiwane za pośrednictwem usług AD DS lub Microsoft Entra Domain Services.

Typowe przypadki użycia uwierzytelniania opartego na tożsamościach

Poniżej przedstawiono niektóre typowe scenariusze korzystania z uwierzytelniania opartego na tożsamościach:

  • Migrowanie z lokalnych serwerów plików do usługi Azure Files: zastępowanie lokalnych serwerów plików jest typowym przypadkiem użycia transformacji IT dla wielu klientów. Korzystanie z lokalnych usług AD DS w celu umożliwienia bezproblemowej migracji do usługi Azure Files nie tylko zapewnia dobre środowisko użytkownika, ale także umożliwia użytkownikom dostęp do udziału plików i danych przy użyciu ich bieżących poświadczeń przez przyłączanie do maszyn przez domenę.

  • Przenoszenie aplikacji dla przedsiębiorstw do chmury: ponieważ klienci przenoszą lokalne aplikacje natywne do chmury, uwierzytelnianie oparte na tożsamościach w usłudze Azure Files eliminuje konieczność zmiany mechanizmów uwierzytelniania w celu obsługi aplikacji w chmurze.

  • Tworzenie kopii zapasowych i odzyskiwanie po awarii: usługa Azure Files może działać jako system magazynu kopii zapasowych dla lokalnych serwerów plików. Skonfigurowanie odpowiedniego uwierzytelniania pomaga wymusić mechanizmy kontroli dostępu podczas scenariuszy odzyskiwania po awarii.