Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Azure Data Lake Storage 1-го поколения использует идентификатор Microsoft Entra для проверки подлинности. Прежде чем создавать приложение, которое работает с Data Lake Storage 1-го поколения, необходимо решить, как пройти проверку подлинности приложения с помощью идентификатора Microsoft Entra. Доступно два основных варианта:
- Проверка подлинности конечных пользователей
- Аутентификация между службами (в этой статье)
Оба варианта позволят приложению получить маркер OAuth 2.0, который используется в каждом запросе к Data Lake Storage 1-го поколения.
В этой статье рассказывается о создании веб-приложения Microsoft Entra для проверки подлинности между службами. Инструкции по настройке приложения Microsoft Entra для аутентификации конечных пользователей см. в разделе Аутентификация конечных пользователей с помощью Microsoft Entra ID и Data Lake Storage Gen1.
Предпосылки
- Подписка Azure. См. бесплатную пробную версию Azure.
Шаг 1. Создание веб-приложения Active Directory
Создайте и настройте веб-приложение Microsoft Entra для проверки подлинности между службами с помощью Azure Data Lake Storage 1-го поколения с помощью идентификатора Microsoft Entra. Инструкции см. в разделе "Создание приложения Microsoft Entra".
При выполнении инструкций по ссылке выше обязательно выберите тип приложения Веб-приложение или API, как показано на следующем снимке экрана:
Шаг 2. Получение идентификатора приложения, ключа проверки подлинности и идентификатора клиента
При программном входе необходимо указывать идентификатор приложения. Если приложение работает с использованием собственных учетных данных, потребуется также ключ проверки подлинности.
Инструкции о том, как получить идентификатор приложения и ключ проверки подлинности (который также называется секретом клиента) для приложения, см. в разделе Получение идентификатора приложения и ключа проверки подлинности.
Инструкции о том, как получить код клиента, см. в разделе Получение идентификатора клиента.
Шаг 3. Назначьте приложение Microsoft Entra к файлу или папке учетной записи хранилища данных Azure Data Lake Storage первого поколения
Выполните вход на портал Azure. Откройте учетную запись Data Lake Storage 1-го поколения, которую вы хотите связать с созданным ранее приложением Microsoft Entra.
На панели учетной записи Data Lake Storage Gen1 щелкните Data Explorer.
В колонке обозревателя данных щелкните файл или папку, для которой требуется предоставить доступ к приложению Microsoft Entra, а затем нажмите кнопку Access. Чтобы настроить доступ к файлу, необходимо нажать кнопку Доступ в колонке Предварительный просмотр файла.
В колонке Доступ перечислены стандартные и пользовательские варианты доступа, уже назначенные корню. Щелкните значок Добавить , чтобы добавить ACL пользовательского уровня.
Щелкните значок Добавить, чтобы открыть колонку Добавить настраиваемый доступ. В этой колонке щелкните "Выбрать пользователя или группу", а затем в колонке "Выбрать пользователя" или "Группа" найдите созданное ранее приложение Microsoft Entra. Если у вас много групп для поиска, воспользуйтесь текстовым полем в верхней части для фильтрации по имени группы. Выберите группу, которую необходимо добавить, и нажмите кнопку Выбрать.
Щелкните Выберите разрешения, выберите необходимые разрешения, а затем укажите, назначить ли разрешения как список ACL по умолчанию, список ACL для доступа или оба этих параметра. Щелкните OK.
Дополнительные сведения о разрешениях в Data Lake Storage 1-го поколения и списках ACL (по умолчанию и для доступа) см. в статье Контроль доступа в Data Lake Storage 1-го поколения.
В колонке Добавить настраиваемый доступ нажмите кнопку ОК. Теперь добавленные группы с соответствующими разрешениями отобразятся в колонке Доступ.
Примечание.
Если вы планируете ограничить приложение Microsoft Entra определенной папкой, вам также потребуется предоставить тому же приложению Microsoft Entra разрешение Execute для корневого каталога, чтобы разрешить доступ к созданию файлов с помощью пакета SDK для .NET.
Примечание.
Если вы хотите использовать пакеты SDK для создания учетной записи Data Lake Storage 1-го поколения, необходимо назначить веб-приложение Microsoft Entra в качестве роли группе ресурсов, в которой создается учетная запись Data Lake Storage 1-го поколения.
Шаг 4. Получение конечной точки маркера OAuth 2.0 (только для приложений на основе Java)
Войдите на портал Azure и щелкните "Active Directory" в области слева.
В левой области щелкните Регистрация приложений.
В верхней части панели "Регистрация приложений" щелкните Конечные точки.
Из списка конечных точек скопируйте значение конечной точки маркера OAuth 2.0.
Дальнейшие действия
В этой статье вы создали веб-приложение Microsoft Entra и собрали необходимые сведения в клиентских приложениях, которые вы создаете с помощью пакета SDK для .NET, Java, Python, REST API и т. д. Теперь вы можете перейти к следующим статьям, которые говорят о том, как использовать собственное приложение Microsoft Entra для первой проверки подлинности с помощью Data Lake Storage 1-го поколения, а затем выполнять другие операции в магазине.
- Аутентификация между службами в Data Lake Storage 1-го поколения с помощью Java
- Аутентификация между службами в Data Lake Storage 1-го поколения с помощью пакета SDK для .NET
- Аутентификация между службами в Data Lake Storage 1-го поколения с помощью Python
- Аутентификация между службами в Data Lake Storage 1-го поколения с помощью REST API