Ověřování koncových uživatelů s Azure Data Lake Storage Gen1 s využitím Microsoft Entra ID
Azure Data Lake Storage Gen1 používá k ověřování Microsoft Entra ID. Před vytvořením aplikace, která funguje s Data Lake Storage Gen1 nebo Azure Data Lake Analytics, se musíte rozhodnout, jak aplikaci ověřit pomocí Microsoft Entra ID. K dispozici jsou dvě hlavní možnosti:
- Ověřování koncových uživatelů (tento článek)
- Ověřování mezi službami (vyberte tuto možnost z rozevíracího seznamu výše)
Obě tyto možnosti vedou k tomu, že se vaší aplikaci poskytne token OAuth 2.0, který se připojí ke každému požadavku na Data Lake Storage Gen1 nebo azure Data Lake Analytics.
Tento článek popisuje, jak vytvořit Microsoft Entra nativní aplikaci pro ověřování koncových uživatelů. Pokyny k Microsoft Entra konfiguraci aplikace pro ověřování služba-služba najdete v tématu Ověřování služba-služba s Data Lake Storage Gen1 pomocí Microsoft Entra ID.
Požadavky
Předplatné Azure. Viz Získání bezplatné zkušební verze Azure.
ID vašeho předplatného. Můžete ho načíst z Azure Portal. Je například k dispozici v okně účtu Data Lake Storage Gen1.
Název domény Microsoft Entra. Můžete ho načíst tak, že narazíte myší v pravém horním rohu Azure Portal. Na následujícím snímku obrazovky je název domény contoso.onmicrosoft.com a IDENTIFIKÁTOR GUID v hranatých závorkách je ID tenanta.
ID vašeho tenanta Azure. Pokyny k načtení ID tenanta najdete v tématu Získání ID tenanta.
Ověřování koncových uživatelů
Tento mechanismus ověřování se doporučuje, pokud chcete, aby se koncový uživatel přihlašoval k vaší aplikaci prostřednictvím Microsoft Entra ID. Vaše aplikace pak může přistupovat k prostředkům Azure se stejnou úrovní přístupu jako koncový uživatel, který se přihlásil. Koncový uživatel musí pravidelně zadávat svoje přihlašovací údaje, aby si vaše aplikace zachovala přístup.
Výsledkem přihlášení koncového uživatele je, že vaše aplikace dostane přístupový token a obnovovací token. Přístupový token se připojí ke každému požadavku Data Lake Storage Gen1 nebo Data Lake Analytics a ve výchozím nastavení je platný jednu hodinu. Obnovovací token je možné použít k získání nového přístupového tokenu a ve výchozím nastavení je platný až dva týdny. K přihlášení koncových uživatelů můžete použít dva různé přístupy.
Použití automaticky otevíraných oken OAuth 2.0
Vaše aplikace může aktivovat automaticky otevírané okno autorizace OAuth 2.0, ve kterém může koncový uživatel zadat své přihlašovací údaje. Toto automaticky otevírané okno v případě potřeby funguje také s procesem Microsoft Entra dvoufaktorového ověřování (2FA).
Poznámka
Tato metoda zatím není podporovaná v knihovně Azure AD Authentication Library (ADAL) pro Python nebo Javu.
Přímé předávání přihlašovacích údajů uživatele
Vaše aplikace může Microsoft Entra ID přímo poskytnout přihlašovací údaje uživatele. Tato metoda funguje pouze s uživatelskými účty s ID organizace; není kompatibilní s osobními uživatelskými účty nebo "live ID", včetně účtů končících na @outlook.com nebo @live.com. Tato metoda navíc není kompatibilní s uživatelskými účty, které vyžadují Microsoft Entra dvojúrovňové ověřování (2FA).
Co potřebuji pro tento přístup?
- Microsoft Entra název domény. Tento požadavek je již uveden v předpokladu tohoto článku.
- Microsoft Entra ID tenanta. Tento požadavek je již uveden v předpokladu tohoto článku.
- Microsoft Entra ID nativní aplikace
- ID aplikace pro nativní aplikaci Microsoft Entra
- Identifikátor URI přesměrování pro nativní aplikaci Microsoft Entra
- Nastavte delegovaná oprávnění.
Krok 1: Vytvoření nativní aplikace služby Active Directory
Vytvořte a nakonfigurujte nativní aplikaci Microsoft Entra pro ověřování koncových uživatelů pomocí Data Lake Storage Gen1 pomocí Microsoft Entra ID. Pokyny najdete v tématu Vytvoření aplikace Microsoft Entra.
Postupujte podle pokynů na odkazu a ujistěte se, že jste jako typ aplikace vybrali Nativní , jak je znázorněno na následujícím snímku obrazovky:
Krok 2: Získání ID aplikace a identifikátoru URI přesměrování
Informace o načtení ID aplikace najdete v tématu Získání ID aplikace.
Pokud chcete načíst identifikátor URI přesměrování, proveďte následující kroky.
V Azure Portal vyberte Microsoft Entra ID, vyberte Registrace aplikací a pak vyhledejte a vyberte Microsoft Entra nativní aplikaci, kterou jste vytvořili.
V okně Nastavení pro aplikaci vyberte Identifikátory URI pro přesměrování.
Zkopírujte zobrazenou hodnotu.
Krok 3: Nastavení oprávnění
V Azure Portal vyberte Microsoft Entra ID, vyberte Registrace aplikací a pak vyhledejte a vyberte Microsoft Entra nativní aplikaci, kterou jste vytvořili.
V okně Nastavení pro aplikaci vyberte Požadovaná oprávnění a pak vyberte Přidat.
V okně Přidat přístup pomocí rozhraní API vyberte Vybrat rozhraní API, vyberte Azure Data Lake a pak vyberte Vybrat.
V okně Přidat přístup pomocí rozhraní API vyberte Vybrat oprávnění, zaškrtněte políčko pro udělení úplného přístupu ke službě Data Lake Store a pak vyberte Vybrat.
Vyberte Hotovo.
Opakováním posledních dvou kroků také udělte oprávnění pro rozhraní API pro správu služeb Windows Azure .
Další kroky
V tomto článku jste vytvořili Microsoft Entra nativní aplikaci a shromáždili jste informace, které potřebujete v klientských aplikacích, které vytváříte pomocí sady .NET SDK, sady Java SDK, rozhraní REST API atd. Teď můžete přejít k následujícím článkům, které popisují, jak použít Microsoft Entra webovou aplikaci k prvnímu ověření pomocí Data Lake Storage Gen1 a pak k provádění dalších operací v úložišti.
- Ověřování koncového uživatele s využitím Data Lake Storage Gen1 pomocí sady Java SDK
- Ověřování koncových uživatelů s Data Lake Storage Gen1 pomocí sady .NET SDK
- Ověřování koncových uživatelů s Data Lake Storage Gen1 pomocí Pythonu
- Ověřování koncových uživatelů s Data Lake Storage Gen1 s využitím rozhraní REST API