Управление доступом и удостоверениями

  • 9 мин

В этом уроке вы узнаете, как пройти проверку подлинности пользователей и предоставить доступ к общим папкам Azure. Файлы Azure поддерживают проверку подлинности на основе удостоверений для клиентов, которые запрашивают доступ к общим папкам по протоколу SMB. Кроме того, пользователи SMB могут пройти проверку подлинности с помощью ключа учетной записи хранения. Общие папки NFS используют проверку подлинности на уровне сети и поэтому доступны только через ограниченные сети. Для использования общей папки NFS всегда требуется определенный уровень конфигурации сети. Для доступа к общим папкам с помощью REST API используются подписанные URL-адреса и ключи учетных записей хранения, чтобы выполнять определенные действия по управлению данными.

  • Проверка подлинности на основе удостоверений: клиенты могут использовать доступ на основе удостоверений через протокол проверки подлинности Kerberos. Службы Active Directory хранят сведения об учетной записи пользователя, такие как имена пользователей, пароли, контактные данные и т. д. Файлы Azure интегрируется с общими службами каталогов, чтобы проверить сведения о учетной записи пользователя и включить успешную проверку подлинности. Для протокола SMB проверка подлинности на основе удостоверений является рекомендуемым и наиболее безопасным вариантом.

  • Ключ учетной записи хранения. Пользователь с ключом учетной записи хранения может получить доступ к общим папкам Azure с разрешениями суперпользователя через SMB и REST. В идеале только суперадминистраторы должны использовать ключи учетной записи хранения, так как они обходят все ограничения доступа. Если общие папки используются корпоративными клиентами, ключи учетных записей хранения не рекомендуется использовать, так как они не являются масштабируемыми и безопасными механизмами для доступа на уровне организации. Для обеспечения безопасности рекомендуется избегать совместного использования ключей учетных записей хранения и вместо этого использовать проверку подлинности на основе удостоверений.

  • Подписанный URL-адрес. Клиенты, получающие доступ через REST, могут воспользоваться подписанным URL-адресом (SAS) для прохождения проверки подлинности в Файлах Azure. Подписанные URL-адреса используются в определенных сценариях, когда независимые поставщики программного обеспечения разрабатывают приложения REST API и используют Файлы Azure в качестве решения для хранения. Они также используются, когда внутренние партнеры нуждаются в доступе через REST для операций управления данными. Подписанный URL-адрес — это URI, который предоставляет ограниченные права доступа к ресурсам хранилища Azure. Сигнатуру общего доступа можно использовать для предоставления клиентам доступа к определенным ресурсам учетной записи хранения без необходимости предоставлять им доступ к ключу учетной записи хранения.

Проверка подлинности на основе удостоверений

Файлы Azure поддерживает проверку подлинности на основе удостоверений для общих папок S МБ с помощью протокола Kerberos. Когда удостоверение, связанное с пользователем или приложением, работающим на клиенте, пытается получить доступ к данным в общих папках Azure, в доменную службу отправляется запрос для проверки подлинности удостоверения. Если проверка подлинности выполнена успешно, возвращается маркер Kerberos. Клиент отправляет запрос, содержащий маркер Kerberos, и общие папки Azure используют этот маркер для авторизации запроса. Общие папки Azure получают только маркер Kerberos, а не учетные данные доступа.

Файлы Azure поддерживает следующие методы проверки подлинности для общих папок S МБ:

  • Локальные службы домен Active Directory (AD DS): включение проверки подлинности AD DS для общей папки Azure позволяет пользователям проходить проверку подлинности с помощью локальных учетных данных AD DS. Локальные ad DS должны быть синхронизированы с идентификатором Microsoft Entra с помощью microsoft Entra Подключение синхронизации. Для доступа к общей папке Azure можно пройти проверку подлинности и авторизовать только гибридных пользователей, которые существуют как в локальной службе AD DS, так и идентификатор Microsoft Entra. Клиент должен настроить контроллеры домена и присоединение к домену своих машин или виртуальных машин. Контроллеры домена могут размещаться локально или на виртуальных машинах, но клиенты должны иметь линию видимости контроллеров домена либо в локальной сети, либо в той же виртуальной сети.

  • Доменные службы Microsoft Entra. Для проверки подлинности доменных служб Microsoft Entra клиенты должны включить доменные службы, а затем присоединиться к виртуальным машинам, из которого они хотят получить доступ к данным файлов. Присоединенные к домену виртуальные машины должны находиться в той же виртуальной сети, что и доменные службы. Однако пользователям не нужно создавать удостоверение в доменных службах для представления учетной записи хранения. Процесс включения создает удостоверение в фоновом режиме. Кроме того, все пользователи, существующие в идентификаторе Microsoft Entra, могут пройти проверку подлинности и авторизоваться. Пользователь может быть только облачным или гибридным. Платформа управляет синхронизацией из идентификатора Microsoft Entra в доменные службы, не требуя настройки пользователя.

  • Microsoft Entra Kerberos для гибридных удостоверений пользователей: Файлы Azure поддерживает проверку подлинности Microsoft Entra Kerberos (ранее Azure AD Kerberos) для гибридных удостоверений пользователей, которые синхронизируются с облаком. Эта конфигурация использует идентификатор Microsoft Entra для выдачи билетов Kerberos для доступа к общей папке по протоколу S МБ. Это означает, что конечные пользователи могут получить доступ к общим папкам Azure через Интернет, не требуя прямой видимости контроллеров домена от гибридного соединения Microsoft Entra и присоединенных к Microsoft Entra виртуальных машин. Кроме того, с этой возможностью клиенты Виртуального рабочего стола Azure могут создать общую папку Azure для хранения контейнеров профилей пользователей, к которым могут получить доступ гибридные удостоверения пользователей.

  • Проверка подлинности AD для клиентов Linux: проверка подлинности для клиентов Linux поддерживается с помощью доменных служб AD DS или Microsoft Entra.

Распространенные варианты использования проверки подлинности на основе удостоверений

Далее описаны распространенные сценарии использования проверки подлинности на основе удостоверений:

  • Миграция с локальных файловых серверов на Файлы Azure. Замена локальных файловых серверов является общим вариантом использования ИТ-преобразования для многих клиентов. Простой переход на Файлы Azure с помощью локальных AD DS обеспечивает удобное взаимодействие с пользователем, а также позволяет им получить доступ к общим папкам и данным с помощью своих текущих учетных данных за счет присоединения компьютеров к домену.

  • Перенос корпоративных приложений в облако. После переноса локальных собственных приложений клиентов в облако проверка подлинности на основе удостоверений в Файлах Azure устраняет необходимость в изменении механизмов проверки подлинности для поддержки облачных приложений.

  • Резервное копирование и аварийное восстановление. Файлы Azure можно использовать в качестве системы хранилища резервных копий для локальных файловых серверов. Настройка правильной проверки подлинности помогает применять элементы управления доступом во время сценариев аварийного восстановления.