Partilhar via

Autenticação de serviço a serviço com o Azure Data Lake Storage Gen1 usando a ID do Microsoft Entra

O Azure Data Lake Storage Gen1 usa a ID do Microsoft Entra para autenticação. Antes de criar um aplicativo que funciona com o Data Lake Storage Gen1, você deve decidir como autenticar seu aplicativo com o Microsoft Entra ID. As duas principais opções disponíveis são:

  • Autenticação de utilizador final
  • Autenticação de serviço a serviço (este artigo)

Ambas as opções resultam em seu aplicativo sendo fornecido com um token OAuth 2.0, que é anexado a cada solicitação feita ao Data Lake Storage Gen1.

Este artigo fala sobre como criar um aplicativo Web Microsoft Entra para autenticação de serviço a serviço. Para obter instruções sobre a configuração do aplicativo Microsoft Entra para autenticação do usuário final, consulte Autenticação do usuário final com o Data Lake Storage Gen1 usando o Microsoft Entra ID.

Pré-requisitos

Etapa 1: Criar um aplicativo Web do Ative Directory

Crie e configure um aplicativo Web Microsoft Entra para autenticação de serviço a serviço com o Azure Data Lake Storage Gen1 usando a ID do Microsoft Entra. Para obter instruções, consulte Criar um aplicativo Microsoft Entra.

Ao seguir as instruções no link anterior, certifique-se de selecionar Web App / API para o tipo de aplicativo, conforme mostrado na captura de tela a seguir:

Criar aplicação Web

Etapa 2: Obter ID do aplicativo, chave de autenticação e ID do locatário

Ao fazer login programaticamente, precisa do ID da sua aplicação. Se o aplicativo for executado com suas próprias credenciais, você também precisará de uma chave de autenticação.

  • Para obter instruções sobre como recuperar a ID do aplicativo e a chave de autenticação (também chamada de segredo do cliente) para seu aplicativo, consulte Obter ID do aplicativo e chave de autenticação.

  • Para obter instruções sobre como recuperar a ID do locatário, consulte Obter ID do locatário.

Etapa 3: Atribuir o aplicativo Microsoft Entra ao arquivo ou pasta da conta do Azure Data Lake Storage Gen1

  1. Inicie sessão no portal do Azure. Abra a conta do Data Lake Storage Gen1 que você deseja associar ao aplicativo Microsoft Entra criado anteriormente.

  2. Na folha da conta do Data Lake Storage Gen1, clique em Data Explorer.

    Criar diretórios na conta do Data Lake Storage Gen1

  3. No painel Explorador de Dados, clique no ficheiro ou pasta ao qual quer dar acesso à aplicação Microsoft Entra e, em seguida, clique em Acesso. Para configurar o acesso a um arquivo, você deve clicar em Acesso na folha Visualização de Arquivo .

    Definir ACLs no sistema de arquivos Data Lake

  4. A folha Access lista o acesso padrão e o acesso personalizado já atribuídos à raiz. Clique no ícone Adicionar para adicionar ACLs de nível personalizado.

    Listar acesso padrão e personalizado

  5. Clique no ícone Adicionar para abrir o painel Adicionar acesso personalizado. Nesta folha, clique em Selecionar Usuário ou Grupo e, em seguida, na folha Selecionar Usuário ou Grupo , procure o aplicativo Microsoft Entra criado anteriormente. Se você tiver muitos grupos para pesquisar, use a caixa de texto na parte superior para filtrar o nome do grupo. Clique no grupo que pretende adicionar e, em seguida, clique em Selecionar.

    Adicionar um grupo

  6. Clique em Selecionar Permissões, selecione as permissões e se deseja atribuir as permissões como uma ACL padrão, ACL de acesso ou ambas. Clique em OK.

    Captura de ecrã da folha Adicionar Acesso Personalizado com a opção Selecionar Permissões realçada e a folha Selecionar Permissões com a opção OK realçada.

    Para obter mais informações sobre permissões no Data Lake Storage Gen1 e ACLs Default/Access, consulte Controle de acesso no Data Lake Storage Gen1.

  7. Na folha Adicionar Acesso Personalizado, clique em OK. Os grupos recém-adicionados, com as permissões associadas, são listados na folha Acesso .

    Captura de ecrã do painel Access com o grupo recém-adicionado destacado na secção Acesso Personalizado.

Observação

Se planeia restringir a sua aplicação Microsoft Entra a uma pasta específica, também precisará dar a essa aplicação Microsoft Entra permissão de Execução na raiz para habilitar o acesso à criação de ficheiros através do SDK do .NET.

Observação

Se desejar usar os SDKs para criar uma conta do Data Lake Storage Gen1, você deverá atribuir o aplicativo Web Microsoft Entra como uma função ao Grupo de Recursos no qual você cria a conta do Data Lake Storage Gen1.

Etapa 4: Obter o endpoint de token OAuth 2.0 (somente para aplicativos baseados em Java)

  1. Entre no portal do Azure e clique em Ative Directory no painel esquerdo.

  2. No painel esquerdo, clique em Registros de aplicativos.

  3. Na parte superior do separador Registos de Aplicações, clique em Pontos de Extremidade.

    Captura de ecrã do Active Directory com as opções Registos de aplicações e Pontos de extremidade destacadas.

  4. Na lista de pontos de extremidade, copie o ponto de extremidade do token OAuth 2.0.

    Captura de tela do painel Pontos de Extremidade com o ícone de cópia do ponto final de token do OAuth 2.0 destacado.

Próximos passos

Neste artigo, você criou um aplicativo Web Microsoft Entra e reuniu as informações necessárias em seus aplicativos cliente que você cria usando .NET SDK, Java, Python, REST API, etc. Agora você pode prosseguir para os seguintes artigos que falam sobre como usar o aplicativo nativo do Microsoft Entra para primeiro autenticar com o Data Lake Storage Gen1 e, em seguida, executar outras operações no armazenamento.