Identita a řízení přístupu

  • 9 min

V této lekci se dozvíte, jak ověřovat uživatele a poskytovat přístup ke sdíleným složkám Azure. Azure Files podporuje ověřování na základě identit pro zákazníky, kteří přistupují ke sdíleným složkám přes protokol SMB. Kromě toho se uživatelé SMB můžou také ověřovat pomocí klíče účtu úložiště. Sdílené složky NFS spoléhají na ověřování na úrovni sítě a jsou proto přístupné jenom prostřednictvím sítí s omezeným přístupem. Použití sdílené složky NFS vždy vyžaduje určitou úroveň konfigurace sítě. Přístup ke sdílené složce přes rozhraní REST API používá pro konkrétní operace správy dat sdílené přístupové podpisy a klíče účtu úložiště.

  • Ověřování na základě identity: Zákazníci můžou používat přístup založený na identitě prostřednictvím ověřovacího protokolu Kerberos. Služby Active Directory ukládají informace o uživatelském účtu, jako jsou uživatelská jména, hesla, kontaktní informace atd. Služba Azure Files se integruje s běžnými adresářovými službami, abyste ověřili podrobnosti uživatelského účtu a povolili úspěšné ověření. Pro protokol SMB je ověřování založené na identitách nejbezpečnější a doporučenou možností.

  • Klíč účtu úložiště: Uživatel s klíčem účtu úložiště má přístup ke sdíleným složkám Azure s oprávněními superuživatele přes protokol SMB a REST. V ideálním případě by klíče účtu úložiště měli používat jenom správci superuživatele, protože obcházejí všechna omezení přístupu. U sdílených složek používaných podnikovými zákazníky nejsou klíče účtu úložiště škálovatelné ani bezpečné mechanismy pro přístup pro celou organizaci, a proto se nedoporučuje. Doporučeným postupem zabezpečení je vyhnout se sdílení klíčů účtu úložiště a použití ověřování založeného na identitě.

  • Sdílený přístupový podpis: Zákazníci, kteří přistupují přes REST, můžou použít sdílený přístupový podpis (SAS) k ověření ve službě Azure Files. Sdílené přístupové podpisy se používají v konkrétních scénářích, kdy nezávislí dodavatelé softwaru vyvíjejí aplikace REST API a používají Azure Files jako řešení úložiště. Používají se také v případě, že interní partneři potřebují přístup přes REST pro operace správy dat. Sdílený přístupový podpis je identifikátor URI, který uděluje omezená přístupová práva k prostředkům Azure Storage. Pomocí sdíleného přístupového podpisu můžete klientům udělit přístup k určitým prostředkům účtu úložiště, aniž byste jim museli udělit přístup k vašemu klíči účtu úložiště.

Ověřování na základě identity

Azure Files podporuje ověřování na základě identit pro sdílené složky SMB pomocí protokolu Kerberos. Když se identita přidružená k uživateli nebo aplikaci spuštěné na klientovi pokusí o přístup k datům ve sdílených složkách Azure, odešle se žádost do doménové služby za účelem ověření identity. Pokud je ověření úspěšné, vrátí token Kerberos. Klient odešle požadavek, který zahrnuje token Kerberos a sdílené složky Azure tento token používají k autorizaci požadavku. Sdílené složky Azure přijímají pouze token Kerberos, nikoli přihlašovací údaje pro přístup.

Azure Files podporuje následující metody ověřování pro sdílené složky SMB:

  • Místní služby Doména služby Active Directory Services (AD DS): Povolení ověřování AD DS pro sdílenou složku Azure umožňuje uživatelům ověřovat pomocí svých místních přihlašovacích údajů služby AD DS. Místní služba AD DS musí být synchronizovaná s Microsoft Entra ID pomocí synchronizace Microsoft Entra Connect. Přístup ke sdílené složce Azure je možné ověřit a autorizovat pouze hybridní uživatele, kteří existují v místní službě AD DS i v Microsoft Entra ID. Zákazník musí nastavit řadiče domény a připojit se ke svým počítačům nebo virtuálním počítačům. Řadiče domény je možné hostovat místně nebo na virtuálních počítačích, ale klienti musí mít přehled o řadičích domény, a to buď v místní síti, nebo ve stejné virtuální síti.

  • Microsoft Entra Domain Services: Pro ověřování pomocí služby Microsoft Entra Domain Services by zákazníci měli povolit službu Domain Services a pak připojit k virtuálním počítačům, ze které chtějí získat přístup k datům souborů. Virtuální počítače připojené k doméně musí být ve stejné virtuální síti jako Domain Services. Zákazníci ale nemusí vytvářet identitu ve službě Domain Services, aby představovali účet úložiště. Proces povolení vytvoří identitu na pozadí. Kromě toho je možné ověřit a autorizovat všechny uživatele, kteří existují v MICROSOFT Entra ID. Uživatel může být jenom v cloudu nebo hybridní. Platforma spravuje synchronizaci z Microsoft Entra ID do Domain Services bez nutnosti jakékoli konfigurace uživatele.

  • Microsoft Entra Kerberos pro hybridní identity uživatelů: Azure Files podporuje ověřování Microsoft Entra Kerberos (dříve Azure AD Kerberos) pro hybridní identity uživatelů, což jsou místní identity AD, které se synchronizují do cloudu. Tato konfigurace používá id Microsoft Entra k vydávání lístků Protokolu Kerberos pro přístup ke sdílené složce přes protokol SMB. To znamená, že koncoví uživatelé mají přístup ke sdíleným složkám Azure přes internet, aniž by museli vidět řadiče domény z hybridního připojení Microsoft Entra a virtuálních počítačů připojených k Microsoft Entra. Kromě toho můžou zákazníci azure Virtual Desktopu vytvořit sdílenou složku Azure pro ukládání kontejnerů profilů uživatelů, ke kterým mají přístup hybridní identity uživatelů.

  • Ověřování AD pro klienty s Linuxem: Ověřování pro klienty s Linuxem se podporuje prostřednictvím služby AD DS nebo Microsoft Entra Domain Services.

Běžné případy použití ověřování založeného na identitách

Tady jsou některé běžné scénáře použití ověřování založeného na identitě:

  • Migrace z místních souborových serverů na Azure Files: Nahrazení místních souborových serverů je běžným případem použití transformace IT pro mnoho zákazníků. Použití místní služby AD DS k zajištění bezproblémové migrace do souborů Azure poskytuje nejen dobré uživatelské prostředí, ale také umožňuje uživatelům přistupovat ke sdílené složce a datům pomocí jejich aktuálních přihlašovacích údajů prostřednictvím připojení domén k počítačům.

  • Přesun podnikových aplikací do cloudu: Když zákazníci přesunou své místní nativní aplikace do cloudu, ověřování na základě identit se službou Azure Files eliminuje nutnost změnit mechanismy ověřování tak, aby podporovaly cloudové aplikace.

  • Zálohování a zotavení po havárii: Azure Files může fungovat jako systém úložiště záloh pro místní souborové servery. Konfigurace správného ověřování pomáhá vynucovat řízení přístupu během scénářů zotavení po havárii.