Freigeben über


Dienst-zu-Dienst-Authentifizierung bei Azure Data Lake Storage Gen1 mit Microsoft Entra ID

Azure Data Lake Storage Gen1 verwendet Microsoft Entra ID für die Authentifizierung. Vor dem Erstellen einer Anwendung, die Data Lake Storage Gen1 verwendet, müssen Sie entscheiden, wie Sie Ihre Anwendung bei Microsoft Entra ID authentifizieren. Sie haben zwei Möglichkeiten:

  • Authentifizierung von Endbenutzern
  • Dienst-zu-Dienst-Authentifizierung (dieser Artikel)

Bei beiden Optionen erhält Ihre Anwendung ein OAuth 2.0-Token, das an jede an Data Lake Storage Gen1 gestellte Anforderung angefügt wird.

In diesem Artikel wird erläutert, wie Sie eine Microsoft Entra-Webanwendung für die Dienst-zu-Dienst-Authentifizierung erstellen. Anweisungen zum Konfigurieren von Microsoft Entra-Anwendungen für die Authentifizierung von Endbenutzenden finden Sie unter Authentifizierung von Endbenutzenden bei Data Lake Storage Gen1 mithilfe von Microsoft Entra ID.

Voraussetzungen

Schritt 1: Erstellen Sie eine Active Directory-Webanwendung

Erstellen und Konfigurieren einer Microsoft Entra-Webanwendung für die Dienst-zu-Dienst-Authentifizierung bei Azure Data Lake Storage Gen1 mit Microsoft Entra ID. Anweisungen finden Sie unter Erstellen einer Microsoft Entra-Anwendung.

Wenn Sie die Anweisungen unter dem obigen Link befolgen, stellen Sie sicher, dass Sie beim Typ der Anwendung Web-App/API auswählen, wie im folgenden Screenshot gezeigt:

Erstellen einer Web-App

Schritt 2: Abrufen von Anwendungs-ID, Authentifizierungsschlüssel und Mandanten-ID

Beim programmgesteuerten Anmelden benötigen Sie die ID für Ihre Anwendung. Wenn die Anwendung mit ihren eigenen Anmeldeinformationen ausgeführt wird, benötigen Sie außerdem einen Authentifizierungsschlüssel.

Schritt 3: Zuweisen der Microsoft Entra-Anwendung zur Datei oder zum Ordner des Azure Data Lake Storage Gen1-Kontos

  1. Melden Sie sich beim Azure-Portalan. Öffnen Sie das Data Lake Storage Gen1-Konto, das Sie der zuvor erstellten Microsoft Entra-Anwendung zuordnen möchten.

  2. Klicken Sie im Bereich Ihres Data Lake Storage Gen1-Kontos auf Daten-Explorer.

    Erstellen von Verzeichnissen im Data Lake Storage Gen1-Konto

  3. Wählen Sie auf dem Blatt Daten-Explorer die Datei oder den Ordner aus, für die bzw. den Sie den Zugriff auf die Microsoft Entra-Anwendung festlegen möchten, und wählen Sie dann Zugriff aus. Um den Zugriff auf eine Datei zu konfigurieren, müssen Sie auf dem Blatt Dateivorschau auf Zugriff klicken.

    Festlegen von Zugriffssteuerungslisten für das Data Lake-Dateisystem

  4. Auf dem Blatt Zugriff sind der Standardzugriff und der benutzerdefinierte Zugriff aufgeführt, die dem Stamm bereits zugewiesen wurden. Klicken Sie auf das Symbol Hinzufügen , um Zugriffssteuerungslisten auf benutzerdefinierter Ebene hinzuzufügen.

    Auflisten von Standardzugriff und benutzerdefiniertem Zugriff

  5. Klicken Sie auf das Symbol Hinzufügen, um das Blatt Benutzerdefinierten Zugriff hinzufügen zu öffnen. Wählen Sie auf diesem Blatt Benutzer oder Gruppe auswählen aus, und suchen Sie dann auf dem Blatt Benutzer oder Gruppe auswählen nach der Microsoft Entra-Anwendung, die Sie zuvor erstellt haben. Wenn Sie über viele Gruppen verfügen, in denen Sie suchen können, können Sie das Textfeld oben zum Filtern nach dem Gruppennamen verwenden. Klicken Sie auf die Gruppe, die Sie hinzufügen möchten, und klicken Sie dann auf Auswählen.

    Eine Gruppe hinzufügen

  6. Klicken Sie auf Berechtigungen auswählen, wählen Sie die Berechtigungen aus, und legen Sie fest, ob die Berechtigungen als Standard-ACL und/oder Zugriffs-ACL zugewiesen werden sollen. Klicke auf OK.

    Screenshot des Blatts „Benutzerdefinierten Zugriff hinzufügen“ mit hervorgehobener Option „Berechtigungen auswählen“ und des Blatts „Berechtigungen auswählen“ mit hervorgehobener Option „OK“.

    Weitere Informationen zu Berechtigungen in Data Lake Storage Gen1 und zu Standard- und Zugriffs-ACLs finden Sie unter Zugriffssteuerung in Data Lake Storage Gen1.

  7. Klicken Sie auf dem Blatt Benutzerdefinierten Zugriff hinzufügen auf OK. Die neu hinzugefügten Gruppen mit den zugeordneten Berechtigungen werden auf dem Blatt Zugriff aufgelistet.

    Screenshot des Blatts „Zugriff“ mit Hervorhebung der neu hinzugefügten Gruppe im Abschnitt „Benutzerdefinierter Zugriff“.

Hinweis

Wenn Sie Ihre Microsoft Entra-Anwendung auf einen bestimmten Ordner beschränken möchten, müssen Sie außerdem derselben Microsoft Entra-Anwendung die Berechtigung Ausführen für das Stammverzeichnis gewähren, um den Dateierstellungszugriff über das .NET SDK zu aktivieren.

Hinweis

Wenn Sie die SDKs zum Erstellen eines Data Lake Storage Gen1-Kontos verwenden möchten, müssen Sie die Microsoft Entra-Webanwendung als Rolle der Ressourcengruppe zuweisen, in der Sie das Data Lake Storage Gen1-Konto erstellen.

Schritt 4: Abrufen des OAuth 2.0-Token-Endpunkts (nur für Java-basierte Anwendungen)

  1. Melden Sie sich beim Azure-Portal an, und klicken Sie im linken Bereich auf „Active Directory“.

  2. Klicken Sie im linken Bereich auf App-Registrierungen.

  3. Klicken Sie oben im Blatt „App-Registrierungen“ auf Endpunkte.

    Screenshot von Active Directory mit hervorgehobenen Optionen „App-Registrierungen“ und „Endpunkte“.

  4. Kopieren Sie aus der Liste der Endpunkte den OAuth 2.0-Token-Endpunkt.

    Screenshot des Blatts „Endpunkte“ mit hervorgehobenem Icon zum Kopieren des OAuth 2.0-Token-Endpunkts.

Nächste Schritte

In diesem Artikel haben Sie eine Microsoft Entra-Webanwendung erstellt und die Informationen gesammelt, die für Ihre Clientanwendungen nötig sind, die Sie mit dem .NET SDK, mit Java, Python, der REST-API usw. erstellen. Sie können nun mit den nachfolgend aufgeführten Artikeln fortfahren, in denen erläutert wird, wie Sie die native Microsoft Entra-Anwendung verwenden, um sich zum ersten Mal mit Data Lake Storage Gen1 zu authentifizieren und anschließend andere Vorgänge im Speicher durchzuführen.