Authentifizierung für Analysen auf Cloudebene in Azure
Die Authentifizierung ist der Prozess der Überprüfung der Identität eines Benutzers oder einer Anwendung. Es wird empfohlen, dass Sie einen Identitätsanbieter mit einer Einzigen Quelle verwenden, um die Identitätsverwaltung und Authentifizierung zu verarbeiten. Dieser Anbieter wird als Verzeichnisdienstbezeichnet. Es bietet Möglichkeiten zum Speichern von Verzeichnisdaten und stellt diese Daten Netzwerkbenutzern und Administratoren zur Verfügung.
Jede Data Lake-Lösung sollte mit einem vorhandenen Verzeichnisdienst verwendet und integriert werden. Für die meisten Organisationen ist der Verzeichnisdienst für alle identitätsbezogenen Dienste Microsoft Entra ID. Es ist die primäre und zentralisierte Datenbank für alle Dienst- und Benutzerkonten.
In der Cloud ist Microsoft Entra ID ein zentralisierter Identitätsanbieter und die bevorzugte Quelle für die Identitätsverwaltung. Delegieren Sie die Authentifizierung und Autorisierung an die Microsoft Entra-ID, um Funktionen wie Richtlinien für bedingten Zugriff zu verwenden, die erfordern, dass sich ein Benutzer an einem bestimmten Ort befindet. Die Microsoft Entra-ID unterstützt auch die mehrstufige Authentifizierung, wodurch die Zugriffssicherheit erhöht wird. Sie sollten Datendienste konfigurieren, indem Sie Microsoft Entra-ID nach Möglichkeit integrieren.
Wenn Ihre Datendienste die Microsoft Entra-ID nicht unterstützen, sollten Sie die Authentifizierung mithilfe eines Zugriffsschlüssels oder Tokens durchführen. Sie sollten den Zugriffsschlüssel in einem Schlüsselverwaltungsspeicher speichern, z. B. Azure Key Vault.
Authentifizierungsszenarien für Cloud-Skalierungsanalysen sind:
- Benutzerauthentifizierung. In diesem Szenario authentifiziert Microsoft Entra-ID Benutzer mithilfe ihrer Anmeldeinformationen.
- Dienst-zu-Dienst-Authentifizierung. In diesem Szenario authentifizieren Azure-Ressourcen Dienste mithilfe von verwalteten Identitäten, die Azure automatisch verwaltet.
- Anwendungs-zu-Dienst-Authentifizierung. In diesem Szenario authentifizieren Anwendungen Dienste mithilfe von Dienstprinzipalen.
Authentifizierungsszenarien
In den folgenden Abschnitten werden die einzelnen Authentifizierungsszenarien beschrieben: Benutzerauthentifizierung, Dienst-zu-Dienst-Authentifizierung und Anwendungs-zu-Dienst-Authentifizierung.
Benutzerauthentifizierung
Es müssen Anmeldeinformationen für die Benutzer vorhanden sein, die eine Verbindung mit einem Datendienst oder einer Ressource herstellen müssen. Dieser Nachweis bestätigt, dass Benutzer sind, wer sie vorgeben zu sein. Anschließend können sie auf den Dienst oder die Ressource zugreifen. Die Authentifizierung ermöglicht es dem Dienst auch, die Identität der Benutzer zu kennen. Der Dienst entscheidet, was ein Benutzer sehen und tun kann, nachdem die Identität überprüft wurde.
Azure Data Lake Storage, Azure SQL-Datenbank, Azure Synapse Analytics und Azure Databricks unterstützen die Microsoft Entra ID-Integration. Der interaktive Benutzerauthentifizierungsmodus erfordert, dass die Benutzer Ihre Anmeldeinformationen in einem Dialogfeld angeben.
Wichtig
Verwenden Sie keine hartcodierten Benutzeranmeldeinformationen für Authentifizierungszwecke in einer Anwendung.
Dienst-zu-Dienst-Authentifizierung
Wenn ein Dienst ohne menschliche Interaktion auf einen anderen Dienst zugreift, muss er eine gültige Identität darstellen. Diese Identität beweist die Authentizität des Diensts und ermöglicht dem Dienst, auf den er zugreift, um zu bestimmen, welche Aktionen zulässig sind.
In Dienst-zu-Dienst-Authentifizierungsszenarien wird empfohlen, verwaltete Identitäten für die Authentifizierung von Azure-Diensten zu verwenden. Verwaltete Identitäten für Azure-Ressourcen ermöglichen das Authentifizieren bei jedem Dienst, der die Microsoft Entra-Authentifizierung ohne explizite Anmeldeinformationen unterstützt. Weitere Informationen finden Sie unter Was sind verwaltete Identitäten für Azure-Ressourcen.
Verwaltete Identitäten sind Dienstprinzipale, die nur mit Azure-Ressourcen verwendet werden können. Sie können beispielsweise eine verwaltete Identität für eine Azure Data Factory-Instanz erstellen. Die Microsoft Entra-ID registriert diese verwaltete Identität als Objekt, das die Data Factory-Instanz darstellt. Sie können diese Identität dann verwenden, um sich bei jedem Dienst, z. B. Data Lake Storage, ohne Anmeldeinformationen im Code zu authentifizieren. Azure verwaltet die Anmeldeinformationen, die von der Dienstinstanz verwendet werden. Die Identität kann Azure-Dienstressourcen authentifizieren, z. B. einen Ordner im Data Lake Storage. Wenn Sie die Data Factory-Instanz löschen, löscht Azure die Identität in der Microsoft Entra-ID.
Die Vorteile der Verwendung von verwalteten Identitäten
Verwenden Sie verwaltete Identitäten, um einen Azure-Dienst für einen anderen Azure-Dienst oder eine andere Ressource zu authentifizieren. Verwaltete Identitäten bieten die folgenden Vorteile:
- Eine verwaltete Identität stellt den Dienst dar, für den sie erstellt wird. Es stellt keinen interaktiven Benutzer dar.
- Anmeldeinformationen für verwaltete Identitäten werden in Microsoft Entra ID verwaltet und gespeichert. Es gibt kein Kennwort, das ein Benutzer behalten muss.
- Wenn Sie verwaltete Identitäten verwenden, verwenden die Clientdienste keine Kennwörter.
- Die vom System zugewiesene verwaltete Identität wird gelöscht, wenn die Dienstinstanz gelöscht wird.
Diese Vorteile bedeuten, dass Anmeldeinformationen besser geschützt sind und die Sicherheitskompromittierung weniger wahrscheinlich ist.
Anwendung-zu-Dienst-Authentifizierung
Ein weiteres Zugriffsszenario besteht darin, dass eine Anwendung, z. B. eine mobile Oder Webanwendung, auf einen Azure-Dienst zugreift. Die Anwendung muss ihre Identität darstellen, die dann überprüft werden muss.
Ein Azure-Dienstprinzipal ist die alternative Option für Anwendungen und Dienste, die verwaltete Identitäten nicht unterstützen, um sich bei Azure-Ressourcen zu authentifizieren. Ein Dienstprinzipal ist eine Identität, die speziell für Anwendungen, gehostete Dienste und automatisierte Tools für den Zugriff auf Azure-Ressourcen erstellt wird. Die dem Dienstprinzipal zugewiesenen Rollen steuern den Zugriff. Aus Sicherheitsgründen wird empfohlen, Dienstprinzipale mit automatisierten Tools oder Anwendungen zu verwenden, statt ihnen die Anmeldung mit einer Benutzeridentität zu erlauben. Weitere Informationen finden Sie unter Anwendungs- und Dienstprinzipalobjekte in Microsoft Entra ID.
Unterschiede zwischen verwalteten Identitäten und Dienstprinzipalen
| Dienstprinzipal | Verwaltete Identität |
|---|---|
| Eine Sicherheitsidentität, die Sie manuell in der Microsoft Entra-ID für Anwendungen, Dienste und Tools erstellen, die auf bestimmte Azure-Ressourcen zugreifen müssen. | Ein spezieller Dienstprinzipaltyp. Es handelt sich um eine automatische Identität, die beim Erstellen eines Azure-Diensts erstellt wird. |
| Wird von einer beliebigen Anwendung oder einem Dienst verwendet und ist nicht an einen bestimmten Azure-Dienst gebunden. | Sie stellt eine Azure-Dienstinstanz dar. Es kann nicht verwendet werden, um andere Azure-Dienste darzustellen. |
| Sie verfügt über einen unabhängigen Lebenszyklus. Sie müssen sie explizit löschen. | Sie wird automatisch gelöscht, wenn die Azure-Dienstinstanz gelöscht wird. |
| Die kennwortbasierte oder zertifikatbasierte Authentifizierung. | Für die Authentifizierung muss kein explizites Kennwort angegeben werden. |
Hinweis
Sowohl verwaltete Identitäten als auch Dienstprinzipale werden nur in Microsoft Entra ID erstellt und verwaltet.
Bewährte Methoden für die Authentifizierung in Cloud-Skalierungsanalysen
Bei der Cloud-Skalierungsanalyse ist die Implementierung robuster und sicherer Authentifizierungsmethoden von größter Bedeutung. Bewährte Methoden für die Authentifizierung gelten für verschiedene Ebenen einer Lösung, einschließlich Datenbanken, Speicher und Analysedienste. Mithilfe der Microsoft Entra-ID können Organisationen die Sicherheit verbessern, indem Sie Features wie mehrstufige Authentifizierung und Richtlinien für bedingten Zugriff verwenden.
| Ebene | Dienstleistung | Empfehlung |
|---|---|---|
| Datenbanken | - SQL-Datenbank – SQL Managed Instance – Azure Synapse Analytics – Azure Database for MySQL – Azure Database for PostgreSQL |
Verwenden Sie microsoft Entra-ID für die Authentifizierung mit Datenbanken wie Azure Database for PostgreSQL, Azure SQLund Azure Database for MySQL. |
| Speicher | Data Lake Storage | Verwenden Sie microsoft Entra-ID für die Authentifizierung für Sicherheitsprinzipale, z. B. Benutzer-, Gruppen- und Dienstprinzipale oder verwaltete Identitäten, mit Data Lake Storage anstelle eines freigegebenen Schlüssels oder freigegebener Zugriffssignaturen. Dieser Ansatz trägt zur Verbesserung der Sicherheit bei, da sie mehrstufige Authentifizierung und Richtlinien für bedingten Zugriff unterstützt. |
| Speicher | Data Lake Storage von Azure Databricks | Stellen Sie eine Verbindung mit Data Lake Storage her, indem Sie Unity Catalog anstelle des direkten Zugriffs auf Speicherebene verwenden, indem Sie eine Speicheranmeldeinformation erstellen, die eine verwaltete Identität und einen externen Speicherortverwendet. |
| Datenanalyse | Azure Databricks | Verwenden Sie das System for Cross-Domain Identity Management, um Benutzer und Gruppen aus Microsoft Entra ID zu synchronisieren. Um mithilfe von REST-APIs auf Azure Databricks-Ressourcen zuzugreifen, verwenden Sie OAuth mit einem Azure Databricks-Dienstprinzipal. |
Wichtig
Wenn Azure Databricks-Benutzern direkter Zugriff auf die Speicherebene von Data Lake Storage gewährt wird, werden die Berechtigungen, Audits und Sicherheitsfeatures des Unity-Katalogs, einschließlich Zugriffssteuerung und Überwachung, umgangen. Um Daten besser zu sichern und zu steuern, sollte Unity Catalog den Zugriff auf Daten verwalten, die in Data Lake Storage für Benutzer des Azure Databricks-Arbeitsbereichs gespeichert sind.