Проверка подлинности конечных пользователей с помощью Azure Data Lake Storage 1-го поколения с использованием Microsoft Entra ID

Статья
05/29/2018

Azure Data Lake Storage 1-го поколения использует Microsoft Entra ID для проверки подлинности. Перед созданием приложения, которое работает с Data Lake Storage 1-го поколения или Azure Data Lake Analytics, необходимо решить, как проверить подлинность приложения с помощью Microsoft Entra ID. Доступно два основных варианта:

Аутентификация пользователей (в этой статье)
аутентификация между службами (выберите этот параметр в раскрывающемся списке выше).

Оба этих варианта позволят приложению получить маркер OAuth 2.0, который вкладывается в каждый запрос к Data Lake Storage 1-го поколения или Azure Data Lake Analytics.

В этой статье описывается, как создать собственное приложение Microsoft Entra для проверки подлинности конечных пользователей. Инструкции по настройке Microsoft Entra приложения для проверки подлинности между службами см. в статье Проверка подлинности между службами с помощью Data Lake Storage 1-го поколения с помощью Microsoft Entra ID.

Предварительные требования

Подписка Azure. См. страницу бесплатной пробной версии Azure.
Идентификатор подписки. Его можно получить на портале Azure. Например, он доступен в колонке учетной записи Data Lake Storage 1-го поколения.
Доменное имя Microsoft Entra. Его можно получить, наведя указатель мыши на правый верхний угол страницы портала Azure. На приведенном ниже снимке экрана указано имя домена contoso.onmicrosoft.com, а идентификатор GUID в скобках — это идентификатор клиента.
Идентификатор клиента Azure. Инструкции о том, как получить идентификатор клиента, см. в разделе Получение идентификатора клиента.

Проверка подлинности конечных пользователей

Этот механизм проверки подлинности рекомендуется использовать, если вы хотите, чтобы конечный пользователь вошел в приложение с помощью Microsoft Entra ID. Приложение будет иметь тот же уровень доступа к ресурсам Azure, что и вошедший пользователь. Пользователю необходимо периодически вводить свои учетные данные, чтобы у вашего приложения оставался доступ.

Результатом входа пользователя является то, что приложению предоставляется маркер доступа и маркер обновления. Маркер доступа присоединяется к каждому запросу Data Lake Storage 1-го поколения или Data Lake Analytics и по умолчанию действителен в течение одного часа. Маркер обновления можно использовать для получения нового маркера доступа. По умолчанию он действителен в течение двух недель. Для входа конечных пользователей можно использовать два разных подхода.

Использование всплывающего окна OAuth 2.0

Приложение может активировать всплывающее окно авторизации OAuth 2.0, в котором пользователь может ввести свои учетные данные. Это всплывающее окно также работает с процессом Microsoft Entra двухфакторной проверки подлинности (2FA), если это необходимо.

Примечание

Этот метод еще не поддерживается в библиотеке аутентификации Azure AD (ADAL) для Java или Python.

Непосредственная передача учетных данных пользователя

Приложение может напрямую предоставлять учетные данные пользователя для Microsoft Entra ID. Этот метод работает только с учетными записями пользователей с идентификаторами организации; он не совместим с личными учетными записями пользователей или учетными записями пользователей с динамическим идентификатором, включая учетные записи, заканчивающиеся @outlook.com на или @live.com. Кроме того, этот метод несовместим с учетными записями пользователей, которым требуется Microsoft Entra двухфакторная проверка подлинности (2FA).

Что мне нужно для применения этого подхода?

Microsoft Entra доменное имя. (см. предварительные требования в этой статье).
Microsoft Entra идентификатор клиента. (см. предварительные требования в этой статье).
Microsoft Entra ID собственного приложения
Идентификатор приложения для Microsoft Entra собственного приложения
URI перенаправления для собственного приложения Microsoft Entra
Настроенные делегированные разрешения.

Шаг 1. Создание собственного приложения Active Directory

Создайте и настройте собственное приложение Microsoft Entra для проверки подлинности пользователей с помощью Data Lake Storage 1-го поколения с помощью Microsoft Entra ID. Инструкции см. в статье Создание приложения Microsoft Entra.

При выполнении инструкций по ссылке обязательно выберите тип приложения Native (Собственный), как показано на снимке экрана ниже.

Создание веб-приложения

Шаг 2. Получение идентификатора приложения и URI перенаправления

Ознакомьтесь с разделом Получение идентификатора приложения и ключа проверки подлинности, чтобы извлечь идентификатор приложения.

Чтобы получить URI перенаправления, выполните следующие действия.

В портал Azure выберите Microsoft Entra ID, Регистрация приложений, а затем найдите и выберите созданное Microsoft Entra собственное приложение.
В колонке Параметры для приложения выберите URI перенаправления.
Скопируйте отображенное значение.

Шаг 3. Установка разрешений

В портал Azure выберите Microsoft Entra ID, Регистрация приложений, а затем найдите и выберите созданное Microsoft Entra собственное приложение.
В колонке Параметры для приложения выберите Необходимые разрешения, а затем нажмите кнопку Добавить.
В колонке Добавление доступа к API выберите Выбрать API, Выберите Azure Data Lake, а затем выберите Выбрать.
В колонке Добавление доступа к API выберите Выбрать разрешения, выберите поле проверка, чтобы предоставить полный доступ к Data Lake Store, а затем нажмите кнопку Выбрать.

Нажмите кнопку Готово.
Повторите последние два шага, чтобы также предоставить разрешения для API управления службами Microsoft Azure.

Дальнейшие действия

В этой статье вы создали Microsoft Entra машинное приложение и собрали сведения, необходимые для клиентских приложений, которые вы создаете с помощью пакета SDK для .NET, пакета SDK для Java, REST API и т. д. Теперь вы можете перейти к следующим статьям о том, как использовать веб-приложение Microsoft Entra для проверки подлинности с помощью Data Lake Storage 1-го поколения а затем выполнить другие операции в хранилище.