Tjänst-till-tjänst-autentisering med Azure Data Lake Storage Gen1 med Microsoft Entra ID

  • Artikel

Azure Data Lake Storage Gen1 använder Microsoft Entra ID för autentisering. Innan du skapar ett program som fungerar med Data Lake Storage Gen1 måste du bestämma hur du ska autentisera ditt program med Microsoft Entra ID. De två huvudsakliga alternativen är:

  • Slutanvändarautentisering
  • Tjänst-till-tjänst-autentisering (den här artikeln)

Båda dessa alternativ resulterar i att ditt program får en OAuth 2.0-token, som kopplas till varje begäran som görs till Data Lake Storage Gen1.

Den här artikeln beskriver hur du skapar en Microsoft Entra webbapp för tjänst-till-tjänst-autentisering. Anvisningar om Microsoft Entra programkonfiguration för slutanvändarautentisering finns i Slutanvändarautentisering med Data Lake Storage Gen1 med Microsoft Entra ID.

Förutsättningar

Steg 1: Skapa ett Active Directory-webbprogram

Skapa och konfigurera ett Microsoft Entra webbprogram för tjänst-till-tjänst-autentisering med Azure Data Lake Storage Gen1 med Microsoft Entra ID. Anvisningar finns i Skapa ett Microsoft Entra-program.

När du följer anvisningarna i föregående länk kontrollerar du att du väljer Webbapp/API för programtyp, enligt följande skärmbild:

Skapa webbapp Skapa

Steg 2: Hämta program-ID, autentiseringsnyckel och klient-ID

När du loggar in programmatiskt behöver du ID:t för ditt program. Om programmet körs under sina egna autentiseringsuppgifter behöver du också en autentiseringsnyckel.

Steg 3: Tilldela Microsoft Entra-programmet till Azure Data Lake Storage Gen1-kontofilen eller mappen

  1. Logga in på Azure Portal. Öppna det Data Lake Storage Gen1 konto som du vill associera med det Microsoft Entra program som du skapade tidigare.

  2. Klicka på Data Explorer på bladet Data Lake Storage Gen1 konto.

    Skapa kataloger i Data Lake Storage Gen1 konto

  3. På bladet Data Explorer klickar du på den fil eller mapp som du vill ge åtkomst till Microsoft Entra-programmet för och klickar sedan på Åtkomst. Om du vill konfigurera åtkomst till en fil måste du klicka på Åtkomst från bladet Filförhandsgranskning .

    Ange ACL:er på Data Lake-filsystemet

  4. På bladet Åtkomst visas den standardåtkomst och anpassade åtkomst som redan har tilldelats roten. Klicka på ikonen Lägg till för att lägga till ACL:er på anpassad nivå.

    Lista standard och anpassad åtkomst

  5. Klicka på ikonen Lägg till för att öppna bladet Lägg till anpassad åtkomst . På det här bladet klickar du på Välj användare eller grupp och letar sedan efter det Microsoft Entra program som du skapade tidigare i bladet Välj användare eller grupp. Om du har många grupper att söka efter använder du textrutan längst upp för att filtrera efter gruppnamnet. Klicka på den grupp som du vill lägga till och klicka sedan på Välj.

    Lägg till en grupp

  6. Klicka på Välj behörigheter, välj behörigheterna och om du vill tilldela behörigheterna som standard-ACL, åtkomst-ACL eller båda. Klicka på OK.

    Skärmbild av bladet Lägg till anpassad åtkomst med alternativet Välj behörigheter markerat och bladet Välj behörigheter med alternativet OK markerat.

    Mer information om behörigheter i Data Lake Storage Gen1 och ACL:er för standard/åtkomst finns i Access Control i Data Lake Storage Gen1.

  7. Klicka på OK på bladet Lägg till anpassad åtkomst. De nyligen tillagda grupperna, med tillhörande behörigheter, visas på bladet Åtkomst .

    Skärmbild av bladet Åtkomst med den nyligen tillagda gruppen framhävd i avsnittet Anpassad åtkomst.

Anteckning

Om du planerar att begränsa ditt Microsoft Entra-program till en specifik mapp måste du också ge samma Microsoft Entra program Kör behörighet till roten för att aktivera åtkomst till filskapande via .NET SDK.

Anteckning

Om du vill använda SDK:erna för att skapa ett Data Lake Storage Gen1 konto måste du tilldela Microsoft Entra webbappen som en roll till resursgruppen där du skapar Data Lake Storage Gen1-kontot.

Steg 4: Hämta OAuth 2.0-tokenslutpunkten (endast för Java-baserade program)

  1. Logga in på Azure Portal och klicka på Active Directory i det vänstra fönstret.

  2. Klicka på Appregistreringar i den vänstra rutan.

  3. Klicka på Slutpunkter längst upp på bladet Appregistreringar.

    Skärmbild av Active Directory med alternativet Appregistreringar och alternativet Slutpunkter framhävt.

  4. Kopiera OAuth 2.0-tokenslutpunkten från listan över slutpunkter.

    Skärmbild av bladet Slutpunkter med O AUTH 2-punktens O TOKEN ENDPOINT-kopieringsikon framhävd.

Nästa steg

I den här artikeln har du skapat en Microsoft Entra webbapp och samlat in den information du behöver i dina klientprogram som du skapar med hjälp av .NET SDK, Java, Python, REST API osv. Nu kan du gå vidare till följande artiklar som beskriver hur du använder det Microsoft Entra interna programmet för att först autentisera med Data Lake Storage Gen1 och sedan utföra andra åtgärder i arkivet.