标识和访问控制

  • 9 分钟

本单元介绍如何对用户进行身份验证并提供对 Azure 文件共享的访问权限。 Azure 文件存储支持针对通过 SMB 访问文件共享的客户的基于标识的身份验证。 此外,SMB 用户还可以使用存储帐户密钥进行身份验证。 NFS 文件共享依赖于网络级身份验证,因此只能通过受限网络进行访问。 使用 NFS 文件共享始终需要完成某种级别的网络配置。 通过 REST API 进行的文件共享访问使用共享访问签名和存储帐户密钥来执行特定的数据管理操作。

  • 基于标识的身份验证:客户可以通过 Kerberos 身份验证协议使用基于标识的访问权限。 Active Directory 服务可存储用户帐户信息,例如用户名、密码、联系信息等。 Azure 文件存储可与常用目录服务集成,以验证用户帐户详细信息,并启用成功的身份验证。 对于 SMB,基于标识的身份验证是最安全的推荐选项。

  • 存储帐户密钥:拥有存储帐户密钥的用户可使用超级用户权限通过 SMB 和 REST 访问 Azure 文件共享。 理想情况下,只有超级用户管理员才应使用存储帐户密钥,因为它们会绕过所有访问限制。 对于企业客户使用的文件共享,由于存储帐户密钥不是适用于组织范围的访问的可缩放或安全的机制,因此不建议使用。 为保障安全性,建议的最佳做法是避免共享存储帐户密钥,并使用基于标识的身份验证。

  • 共享访问签名:通过 REST 访问的客户可以使用共享访问签名 (SAS) 对 Azure 文件存储进行身份验证。 共享访问签名在独立软件供应商开发 REST API 应用程序并将 Azure 文件存储用作存储解决方案这样的特定方案中使用。 当内部合作伙伴需要通过 REST 访问数据管理操作时,也会使用这些签名。 共享访问签名是一种 URI,可授予对 Azure 存储资源的受限访问权限。 可以使用共享访问签名向客户端授予对某些存储帐户资源的访问权限,而无需向其授予对存储帐户密钥的访问权限。

基于标识的身份验证

Azure 文件存储支持使用 Kerberos 协议对 SMB 文件共享进行基于标识的身份验证。 当某个与用户或客户端上运行的应用程序关联的标识尝试访问 Azure 文件共享中的数据时,请求会发送到域服务来对该标识进行身份验证。 如果身份验证成功,则会返回 Kerberos 令牌。 客户端会发送一个包含 Kerberos 令牌的请求,Azure 文件共享将使用该令牌来对该请求授权。 Azure 文件共享仅接收 Kerberos 令牌,而不访问凭据。

Azure 文件存储支持用于 SMB 文件共享的以下身份验证方法:

  • 本地 Active Directory 域服务 (AD DS):为 Azure 文件共享启用 AD DS 身份验证使用户能够使用他们的本地 AD DS 凭据进行身份验证。 必须使用 Microsoft Entra Connect 同步将本地 AD DS 同步到 Microsoft Entra ID。只对同时存在于本地 AD DS 和 Microsoft Entra ID 中的混合用户进行身份验证并授予其 Azure 文件共享访问权限。 客户需要设置其域控制器并域加入其计算机或虚拟机 (VM)。 域控制器可以托管在本地或 VM 上,但客户端需要在本地网络上或同一虚拟网络上对域控制器进行监视。

  • Microsoft Entra 域服务:对于 Microsoft Entra 域服务身份验证,客户应启用域服务然后以域加入的方式加入要从中访问文件数据的 VM。 已加入域的 VM 必须与域服务位于同一虚拟网络中。 但是,客户无需在域服务中创建标识来表示存储帐户。 启用过程会在后台创建标识。 此外,Microsoft Entra ID 中存在的所有用户都可以进行身份验证,并获得授权。 用户可以只是云用户,也可以是混合用户。 该平台管理从 Microsoft Entra ID 到域服务的同步,而无需任何用户配置。

  • 用于混合用户标识的 Microsoft Entra Kerberos:Azure 文件存储支持适用于混合用户标识的 Microsoft Entra Kerbero(之前的 Azure AD Kerberos)身份验证,这是同步到云的本地 AD 标识。 此配置使用 Microsoft Entra ID 颁发 Kerberos 票证来通过 SMB 访问文件共享。 这意味着最终用户可以通过 Internet 访问 Azure 文件共享,而无需从已加入混合 Microsoft Entra 和已加入 Microsoft Entra 的 VM 对域控制器进行监视。 此外,借助此功能,Azure 虚拟桌面客户可以创建 Azure 文件共享来存储混合用户标识可以访问的用户配置文件容器。

  • Linux 客户端的 AD 身份验证:支持通过 AD DS 或 Microsoft Entra 域服务 对 Linux 客户端进行身份验证。

基于标识的身份验证的常见用例

下面是使用基于标识的身份验证的一些常见方案:

  • 从本地文件服务器迁移到 Azure 文件存储:替换本地文件服务器是当今许多客户的常见 IT 转型用例。 使用本地 AD DS 实现无缝迁移到 Azure 文件不仅可以提供良好的用户体验,还使用户能够通过域加入计算机来使用他们当前的凭据访问文件共享和数据。

  • 将企业应用程序迁移到云:随着客户将其本地本机应用程序移动到云中,基于标识的身份验证与 Azure 文件存储的结合消除了更改身份验证机制来支持云应用程序的需求。

  • 备份和灾难恢复:Azure 文件存储可以充当本地文件服务器的备份存储系统。 配置适当的身份验证将有助于在灾难恢复方案中强制实施访问控制。