Autenticação de serviço a serviço com o Azure Data Lake Storage Gen1 usando Microsoft Entra ID

  • Artigo

Azure Data Lake Storage Gen1 usa Microsoft Entra ID para autenticação. Antes de criar um aplicativo que funcione com Data Lake Storage Gen1, você deve decidir como autenticar seu aplicativo com Microsoft Entra ID. As duas principais opções disponíveis são:

  • Autenticação do usuário final
  • Autenticação serviço a serviço (este artigo)

Essas duas opções resultam em seu aplicativo ser fornecido com um token OAuth 2.0, que é anexado a cada solicitação feita ao Data Lake Storage Gen1.

Este artigo fala sobre como criar um aplicativo Web Microsoft Entra para autenticação de serviço a serviço. Para obter instruções sobre Microsoft Entra configuração de aplicativo para autenticação do usuário final, consulte Autenticação do usuário final com Data Lake Storage Gen1 usando Microsoft Entra ID.

Pré-requisitos

Etapa 1: Criar um aplicativo Web do Active Directory

Crie e configure um aplicativo Web Microsoft Entra para autenticação de serviço a serviço com o Azure Data Lake Storage Gen1 usando Microsoft Entra ID. Para obter instruções, consulte Criar um aplicativo Microsoft Entra.

Ao seguir as instruções do link anterior, verifique se você selecionou Aplicativo Web/API como tipo de aplicativo, conforme mostrado na seguinte captura de tela:

Criar aplicativo Web

Etapa 2: Obter a ID do aplicativo, a chave de autenticação e a ID de locatário

Ao fazer logon por meio de programação, você precisa da ID para seu aplicativo. Se o aplicativo for executado com suas próprias credenciais, você também precisará de uma chave de autenticação.

Etapa 3: Atribuir o aplicativo Microsoft Entra à pasta ou arquivo de conta do Azure Data Lake Storage Gen1

  1. Entre no Portal do Azure. Abra a conta Data Lake Storage Gen1 que você deseja associar ao aplicativo Microsoft Entra criado anteriormente.

  2. Na folha de sua conta do Data Lake Storage Gen1, clique em Data Explorer.

    Criar diretórios na conta do Data Lake Storage Gen1

  3. Na folha Data Explorer, clique no arquivo ou pasta para o qual você deseja fornecer acesso ao aplicativo Microsoft Entra e clique em Acessar. Para configurar o acesso a um arquivo, você deverá clicar em Acessar da folha Visualização do Arquivo.

    Configurar ACLs no sistema de arquivos do Data Lake

  4. A folha Acesso lista o acesso padrão e o acesso personalizado já atribuídos à raiz. Clique no ícone Adicionar para adicionar as ACLs de nível personalizado.

    Listar acesso padrão e personalizado

  5. Clique no ícone Adicionar para abrir a folha Adicionar Acesso Personalizado. Nesta folha, clique em Selecionar Usuário ou Grupo e, na folha Selecionar Usuário ou Grupo, procure o aplicativo Microsoft Entra criado anteriormente. Se houver muitos grupos para sua pesquisa, use a caixa de texto na parte superior para filtrar pelo nome do grupo. Clique no grupo que você deseja adicionar e clique em Selecionar.

    Adicionar um grupo

  6. Clique em Selecionar Permissões, selecione as permissões e se você desejar atribuir as permissões como uma ACL padrão, acessar a ACL ou ambos. Clique em OK.

    Captura de tela da folha Adicionar acesso personalizado com a opção Selecionar permissões em destaque e a folha Selecionar permissões com a opção Ok em destaque.

    Para obter mais informações sobre permissões no Data Lake armazenamento Gen1 e ACLs de acesso/padrão, consulte controle de acesso no Data Lake armazenamento Gen1.

  7. Na folha Adicionar Acesso Personalizado, clique em OK. Os grupos recém-adicionados, com as permissões associadas, estão listados na folha Acesso.

    Captura de tela da folha Acesso com o grupo recém-adicionado realçado na seção Acesso personalizado.

Observação

Se você planeja restringir seu aplicativo Microsoft Entra a uma pasta específica, também precisará conceder essa mesma permissão de execução do aplicativo Microsoft Entra à raiz para habilitar o acesso à criação de arquivos por meio do SDK do .NET.

Observação

Se você quiser usar os SDKs para criar uma conta Data Lake Storage Gen1, deverá atribuir o aplicativo Web Microsoft Entra como uma função ao Grupo de Recursos no qual você cria a conta Data Lake Storage Gen1.

Etapa 4: obter o ponto de extremidade do Token OAuth 2.0 (somente para aplicativos baseados em Java)

  1. Faça logon no Portal do Azure e clique em Active Directory, no painel esquerdo.

  2. No painel esquerdo, clique em Registros do aplicativo.

  3. Na parte superior da folha Registros do aplicativo, clique em Pontos de extremidade.

    Captura de tela do Active Directory com a opção Registros de aplicativo e a opção Pontos de extremidade realçados.

  4. Da lista de pontos de extremidade, copie o ponto de extremidade do token OAuth 2.0.

    Captura de tela da folha Pontos de extremidade com o ícone de cópia Ponto de extremidade do token OAuth 2.0 realçado.

Próximas etapas

Neste artigo, você criou um aplicativo Web Microsoft Entra e reuniu as informações necessárias em seus aplicativos cliente que você cria usando o SDK do .NET, Java, Python, API REST etc. Agora você pode prosseguir para os artigos a seguir que falam sobre como usar o Microsoft Entra aplicativo nativo para primeiro autenticar com Data Lake Storage Gen1 e, em seguida, executar outras operações no repositório.