分享方式:


使用 Microsoft Entra ID 向 Azure Data Lake Storage Gen1 進行用戶驗證

Azure Data Lake Storage Gen1 使用 Microsoft Entra ID 進行驗證。 在撰寫可與 Data Lake Storage Gen1 或 Azure Data Lake Analytics 搭配運作的應用程式之前,您必須決定如何使用 Microsoft Entra ID 驗證應用程式。 兩個主要選項為︰

  • 使用者驗證 (本文)
  • 服務對服務驗證 (從上方的下拉式清單選擇這個選項)

兩個選項都要透過 OAuth 2.0 權杖來提供您的應用程式,權杖會附加到每個對 Data Lake Storage Gen1 或 Azure Data Lake Analytics 提出的要求。

本文說明如何建立 Microsoft Entra 原生應用程式以進行用戶驗證。 如需服務對服務驗證 Microsoft Entra 應用程式組態的指示,請參閱使用 Microsoft Entra ID 搭配 Data Lake Storage Gen1的服務對服務驗證

必要條件

  • Azure 訂用帳戶。 請參閱取得 Azure 免費試用

  • 您的訂用帳戶識別碼。 您可以在 Azure 入口網站擷取。 例如,您可以從 [Data Lake Storage Gen1 帳戶] 刀鋒視窗取得。

    取得訂用帳戶識別碼

  • 您的 Microsoft Entra功能變數名稱。 將滑鼠游標暫留在 Azure 入口網站右上角,即可擷取它。 在以下螢幕擷取畫面中,網域名稱是 contoso.onmicrosoft.com,括號內的 GUID 是租用戶識別碼。

    取得 Microsoft Entra網域

  • 您的 Azure 租用戶識別碼。 如需有關如何擷取租用戶識別碼的指示,請參閱取得租用戶識別碼

終端使用者驗證

如果您希望終端使用者透過 Microsoft Entra ID 登入您的應用程式,建議使用此驗證機制。 您的應用程式接著能夠以與登入的終端使用者相同的存取層級,來存取 Azure 資源。 您的終端使用者必須定期提供其認證,您的應用程式才能繼續存取。

使用者登入的結果是您的應用程式獲得存取令牌和重新整理令牌。 存取令牌會附加至對 Data Lake Storage Gen1 或 Data Lake Analytics 提出的每個要求,且預設有效期限為一小時。 重新整理令牌可用來取得新的存取令牌,而且預設最多兩周有效。 您可以針對使用者登入使用兩種不同的方法。

使用 OAuth 2.0 快顯視窗

您的應用程式可以觸發 OAuth 2.0 授權快顯視窗,讓終端使用者輸入其認證。 如有必要,此彈出視窗也適用於 Microsoft Entra 雙因素驗證 (2FA) 程式。

注意

適用於 Python 或 Java 的 Azure AD 驗證程式庫 (ADAL) 尚未支援這個方法。

直接傳遞使用者認證

您的應用程式可以直接提供使用者認證給 Microsoft Entra ID。 這個方法只適用於組織標識碼用戶帳戶;它與個人/「即時標識碼」用戶帳戶不相容,包括結尾為 @outlook.com 或 @live.com的帳戶。 此外,此方法與需要雙因素驗證 (2FA) Microsoft Entra 用戶帳戶不相容。

這個方法需要什麼?

  • Microsoft Entra功能變數名稱。 此需求已列在本文的先決條件中。
  • Microsoft Entra 租用戶標識碼。 此需求已列在本文的先決條件中。
  • Microsoft Entra ID 原生應用程式
  • Microsoft Entra 原生應用程式的應用程式識別碼
  • Microsoft Entra 原生應用程式的重新導向 URI
  • 設定委派權限

步驟 1:建立 Active Directory 原生應用程式

使用 Microsoft Entra ID,建立並設定 Microsoft Entra 原生應用程式,以使用 Data Lake Storage Gen1 進行用戶驗證。 如需指示,請參閱建立 Microsoft Entra 應用程式

遵循連結中的指示進行時,請確定如以下螢幕擷取畫面所示,選取 [原生] 應用程式類型:

建立 Web 應用程式

步驟 2:取得應用程式識別碼和重新導向 URI

若要擷取應用程式識別碼,請參閱取得應用程式識別碼

若要擷取重新導向 URI,請進行下列步驟。

  1. 從 Azure 入口網站 選取 [Microsoft Entra ID]、選取 [應用程式註冊],然後尋找並選取您所建立 Microsoft Entra 原生應用程式。

  2. 從應用程式的 [ 設定 ] 刀鋒視窗中,選取 [ 重新導向 URI]。

    取得重新導向 URI

  3. 複製顯示的值。

步驟 3:設定權限

  1. 從 Azure 入口網站 選取 [Microsoft Entra ID]、選取 [應用程式註冊],然後尋找並選取您所建立 Microsoft Entra 原生應用程式。

  2. 從應用程式的 [ 設定 ] 刀鋒視窗中,選取 [必要許可權],然後選取 [ 新增]。

    [設定] 刀鋒視窗的螢幕擷取畫面,其中已框選 [重新導向 URI] 選項,而 [重新導向 URI] 刀鋒視窗已框選實際 URI。

  3. 在 [ 新增 API 存取 ] 刀鋒視窗中, 選取 [選取 API]、選取 [Azure Data Lake],然後選取 [ 選取]。

    [新增 API 存取] 刀鋒視窗的螢幕擷取畫面,其中已框選 [選取 API] 選項,而 [選取 API] 刀鋒視窗具有 [Azure Data Lake] 選項並已框選 [選取] 選項。

  4. 在 [ 新增 API 存取 ] 刀鋒視窗中,選取 [ 選取許可權],選取複選框以授 與 Data Lake Store 的完整存取權,然後選取 [ 選取]。

    [新增 API 存取] 刀鋒視窗的螢幕擷取畫面,其中已框選 [選取權限] 選項,而 [啟用存取] 刀鋒視窗具有 [有 Azure Data Lake Service 的完整存取權] 選項並已框選 [選取] 選項。

    選取 [完成]。

  5. 重複最後兩個步驟,以便將權限也授與 Windows Azure 服務管理 API

下一步

在本文中,您已建立 Microsoft Entra 原生應用程式,並收集您在使用 .NET SDK、Java SDK、REST API 等撰寫之用戶端應用程式中所需的資訊。您現在可以繼續進行下列文章,討論如何使用 Microsoft Entra Web 應用程式先向 Data Lake Storage Gen1 進行驗證,然後在存放區上執行其他作業。