Ověřování pro analýzy v cloudovém měřítku v Azure
Ověřování je proces ověření identity uživatele nebo aplikace. Preferuje se jeden zdrojový zprostředkovatel identity, který zpracovává správu a ověřování identit. Tento poskytovatel se označuje jako adresářová služba. Poskytuje metody pro ukládání dat adresáře a zpřístupnění těchto dat uživatelům a správcům sítě.
Jakékoli řešení Data Lake by mělo používat a integrovat se stávající adresářovou službou. Pro většinu organizací je adresářová služba pro všechny služby související s identitou Active Directory. Je to primární a centralizovaná databáze pro všechny účty služeb a uživatelů.
V cloudu je Microsoft Entra ID centralizovaným zprostředkovatelem identity a upřednostňovaným zdrojem pro správu identit. Delegování ověřování a autorizace na Microsoft Entra ID umožňuje scénáře, jako jsou zásady podmíněného přístupu, které vyžadují, aby byl uživatel v určitém umístění. Podporuje vícefaktorové ověřování za účelem zvýšení úrovně zabezpečení přístupu. Datové služby by měly být nakonfigurované s integrací Microsoft Entra ID, kdykoli je to možné.
U datových služeb, které nepodporují ID Microsoft Entra, byste měli provést ověřování pomocí přístupového klíče nebo tokenu. Přístupový klíč byste měli uložit do úložiště pro správu klíčů, jako je Azure Key Vault.
Scénáře ověřování pro analýzy v cloudovém měřítku jsou:
- ověřování uživatelů: Uživatelé se ověřují prostřednictvím ID Microsoft Entra pomocí svých přihlašovacích údajů.
- Ověřování aplikace vůči službě: Aplikace se ověřují pomocí servisních principálů.
- ověřování mezi službami: Prostředky Azure se ověřují pomocí spravovaných identit, které se automaticky spravují v Azure.
Scénáře ověřování
Ověřování uživatele
Uživatelé, kteří se připojují k datové službě nebo prostředku, musí předložit přihlašovací údaje. Tyto přihlašovací údaje ukazují, že uživatelé jsou tím, za koho se tvrdí. Pak mají přístup ke službě nebo prostředku. Ověřování také umožňuje službě znát identitu uživatelů. Služba rozhodne, co může uživatel zobrazit a dělat po ověření identity.
Azure Data Lake Storage Gen2, Azure SQL Database, Azure Synapse Analytics a Azure Databricks podporují integraci s Microsoft Entra ID. Interaktivní režim ověřování uživatelů vyžaduje, aby uživatelé zadali přihlašovací údaje v dialogovém okně.
Důležité
Nepoužívejte pevně zakódované přihlašovací údaje uživatele do aplikace pro účely ověřování.
Ověřování služba-služba
I když služba přistupuje k jiné službě bez lidské interakce, musí předložit platnou identitu. Tato identita prokáže pravost služby a umožní přístupové službě určit povolené akce.
Pro ověřování mezi službami je upřednostňovanou metodou ověřování služeb Azure spravované identity. Spravované identity pro prostředky Azure umožňují ověřování pro libovolnou službu, která podporuje ověřování Microsoft Entra bez explicitních přihlašovacích údajů. Další informace najdete v tématu Co jsou spravované identity pro prostředky Azure.
Spravované identity jsou instanční objekty, které je možné použít pouze s prostředky Azure. Spravovanou identitu je například možné vytvořit přímo pro instanci služby Azure Data Factory. Tato spravovaná identita zaregistrovaná v Microsoft Entra ID jako objekt představuje instanci služby Data Factory. Tuto identitu pak můžete použít k ověření v jakékoli službě, jako je Data Lake Storage, bez jakýchkoli přihlašovacích údajů v kódu. Azure se postará o přihlašovací údaje, které používá instance služby. Identita může udělit autorizaci prostředkům služeb Azure, jako je složka ve službě Azure Data Lake Storage. Když odstraníte tuto instanci služby Data Factory, Azure vyčistí identitu v Microsoft Entra ID.
Výhody používání spravovaných identit
Spravované identity by se měly použít k ověření služby Azure v jiné službě Nebo prostředku Azure. Poskytují následující výhody:
- Spravovaná identita představuje službu, pro kterou je vytvořena. Nepředstavuje interaktivního uživatele.
- Přihlašovací údaje spravované identity se spravují, spravují a ukládají v Microsoft Entra ID. Pro uživatele neexistuje žádné heslo, které by si uživatel nechal.
- U spravovaných identit klientské služby nepoužívají hesla.
- Spravovaná identita přiřazená systémem se odstraní při odstranění instance služby.
Tyto výhody znamenají, že přihlašovací údaje jsou lépe chráněné a ohrožení zabezpečení je méně pravděpodobné.
Ověřování mezi aplikacemi
Další scénář přístupu zahrnuje aplikaci, jako je mobilní nebo webová aplikace, která přistupuje ke službě Azure. Aplikace musí předložit svou identitu, která se pak musí ověřit.
Služební principál Azure je alternativou pro aplikace a služby, které nepodporují spravované identity pro ověřování k prostředkům Azure. Je to identita vytvořená speciálně pro aplikace, hostované služby a automatizované nástroje pro přístup k prostředkům Azure. Role přiřazené službovému hlavnímu objektu řídí jeho přístup. Z bezpečnostních důvodů se doporučuje používat služební účty s automatizovanými nástroji nebo aplikacemi, místo toho, aby se přihlašovaly pomocí identity uživatele. Další informace naleznete v tématu Aplikace a instanční objekty v Microsoft Entra ID.
Rozdíl mezi spravovanou identitou a instančním objektem
| Instanční objekt | Spravovaná identita |
|---|---|
| Identita zabezpečení ručně vytvořená v Microsoft Entra ID pro použití aplikacemi, službami a nástroji pro přístup ke konkrétním prostředkům Azure. | Speciální typ instančního objektu. Jedná se o automatickou identitu, která se vytvoří při vytvoření služby Azure. |
| Používá se libovolnou aplikací nebo službou a není svázaný s konkrétní službou Azure. | Představuje samotnou instanci služby Azure. Nedá se použít k reprezentaci jiných služeb Azure. |
| Má nezávislý životní cyklus. Musíte ho explicitně odstranit. | Po odstranění instance služby Azure se automaticky odstraní. |
| Ověřování založené na heslech nebo na základě certifikátů | Pro ověřování není zadané explicitní heslo. |
Poznámka:
Spravované identity i instanční objekty se vytvářejí a udržují pouze v MICROSOFT Entra ID.
Osvědčené postupy pro ověřování v analýzách v cloudovém měřítku
V analýzách v cloudovém měřítku je nejdůležitější zajistit robustní a zabezpečené postupy ověřování. Osvědčené postupy pro ověřování napříč různými vrstvami, včetně databází, úložišť a analytických služeb. Pomocí Id Microsoft Entra mohou organizace zlepšit zabezpečení pomocí funkcí, jako je vícefaktorové ověřování (MFA) a zásady podmíněného přístupu.
| Vrstva | Služba | Doporučení |
|---|---|---|
| Databáze | Azure SQL DB, SQL MI, Synapse, MySQL, PostgreSQL atd. | K ověřování s databázemi, jako jsou PostgreSQL, Azure SQLa MySQL, použijte ID Microsoft Entra. |
| Skladování | Azure Data Lake Storage (ADLS) | Pro ověřování objektů zabezpečení (uživatele, skupiny, instančního objektu nebo spravované identity) s ADLS přes sdílený klíč nebo SAS použijte ID Microsoft Entra, protože umožňuje lepší zabezpečení prostřednictvím podpory vícefaktorového ověřování (MFA) a zásad podmíněného přístupu. |
| Skladování | ADLS z Azure Databricks | Připojte se k ADLS pomocí katalogu Unity, nikoli přímého přístupu na úrovni úložiště, a to vytvořením přihlašovacích údajů úložiště s použitím spravované identity a externího umístění . |
| Analytika | Azure Databricks | Pomocí SCIM můžete synchronizovat uživatele a skupiny zMicrosoft Entra ID . Pokud chcete získat přístup k prostředkům Databricks pomocí rozhraní REST API, použijte OAuth se služebním účtem Databricks. |
Důležité
Povolení přístupu na úrovni úložiště uživatelům Azure Databricks k ADLS obchází oprávnění, audity a funkce zabezpečení katalogu Unity, včetně řízení přístupu a monitorování. Aby bylo možné data plně zabezpečit a řídit, měli byste přístup k datům uloženým v ADLS pro uživatele pracovního prostoru Azure Databricks spravovat prostřednictvím katalogu Unity.
Další kroky
autorizace pro analýzy na úrovni cloudu v Azure