Identität und Zugriffssteuerung
In dieser Lerneinheit erfahren Sie, wie Sie Benutzer authentifizieren und wie Sie Zugriff auf Azure-Dateifreigaben bereitstellen. Azure Files unterstützt die identitätsbasierte Authentifizierung für Kunden, die über SMB auf Dateifreigaben zugreifen. Darüber hinaus können SMB-Benutzer sich auch mithilfe eines Speicherkontoschlüssels authentifizieren. NFS-Dateifreigaben basieren auf der Authentifizierung auf Netzwerkebene und sind deshalb nur über eingeschränkte Netzwerke zugänglich. Die Verwendung einer NFS-Dateifreigabe erfordert immer eine Ebene von Netzwerkkonfiguration. Für den Dateifreigabezugriff über REST-APIs werden freigegebene Zugriffssignaturen und Speicherkontoschlüssel für bestimmte Datenverwaltungsvorgänge verwendet.
Identitätsbasierte Authentifizierung: Kunden können den identitätsbasierten Zugriff über das Kerberos-Authentifizierungsprotokoll verwenden. Active Directory-Dienste speichern Benutzerkontoinformationen wie Benutzernamen, Kennwörter, Kontaktinformationen usw. Azure Files ist in gängigen Verzeichnisdiensten integriert, um die Details des Benutzerkontos zu überprüfen und eine erfolgreiche Authentifizierung zu ermöglichen. Für SMB ist die identitätsbasierte Authentifizierung die sicherste und empfohlene Option.
Speicherkontoschlüssel: Ein Benutzer, der den Speicherkontoschlüssel besitzt, kann mit Superuserberechtigungen über SMB und REST auf Azure-Dateifreigaben zugreifen. Idealerweise sollten nur Administratoren Speicherkontoschlüssel verwenden, da durch diese alle Zugriffsbeschränkungen umgangen werden. Für Dateifreigaben, die von Unternehmenskunden verwendet werden, sind Speicherkontoschlüssel keine skalierbaren oder sicheren Mechanismen für den organisationsweiten Zugriff und daher nicht empfohlen. Es empfiehlt sich aus Sicherheitsgründen, die Freigabe von Speicherkontoschlüsseln zu vermeiden und stattdessen die identitätsbasierte Authentifizierung zu verwenden.
Signatur des freigegebenen Zugriffs: Kunden, die über REST zugreifen, können eine Shared Access Signature (SAS) verwenden, um sich bei Azure Files zu authentifizieren. Shared Access Signatures werden in bestimmten Szenarien verwendet, in denen unabhängige Softwareanbieter REST-API-Anwendungen entwickeln und Azure Files als Speicherlösung verwenden. Sie werden auch verwendet, wenn interne Partner Zugriff über REST für Datenverwaltungsvorgänge benötigen. Eine Shared Access Signature (SAS) ist ein URI, der Azure Storage-Ressourcen eingeschränkte Zugriffsrechte gewährt. Sie können eine Shared Access Signature verwenden, um Clients Zugriff auf bestimmte Speicherkontoressourcen zu gewähren, ohne ihnen Zugriff auf Ihren Speicherkontoschlüssel zu gewähren.
Identitätsbasierte Authentifizierung
Azure Files unterstützt die identitätsbasierte Authentifizierung für SMB-Dateifreigaben mithilfe des Kerberos-Protokolls. Wenn eine Identität, die mit einem Benutzer oder mit einer auf einem Client ausgeführten Anwendung verknüpft ist, versucht, auf Daten in Azure-Dateifreigaben zuzugreifen, wird die Anforderung zur Authentifizierung der Identität an den Domänendienst gesendet. Wenn die Authentifizierung erfolgreich ist, wird ein Kerberos-Token zurückgegeben. Der Client sendet eine Anforderung mit dem Kerberos-Token, und dieses Token wird von den Azure-Dateifreigaben zur Autorisierung der Anforderung verwendet. Azure-Dateifreigaben erhalten nur das Kerberos-Token, nicht die Anmeldeinformationen für den Zugriff.
Azure Files unterstützt die folgenden Authentifizierungsmethoden für SMB-Dateifreigaben:
Lokale Active Directory Domain Services (AD DS): Das Aktivieren der AD DS-Authentifizierung für eine Azure-Dateifreigabe ermöglicht den Benutzern die Authentifizierung mithilfe ihrer lokalen AD DS-Anmeldeinformationen. Die lokale AD DS-Instanz muss über die Microsoft Entra Connect-Synchronisierung mit Microsoft Entra ID synchronisiert werden. Nur Hybridbenutzer*innen, die sowohl in der lokalen AD DS-Instanz als auch in Microsoft Entra ID vorhanden sind, können authentifiziert und für den Zugriff auf Azure-Dateifreigaben autorisiert werden. Die Kund*innen müssen ihre Domänencontroller einrichten und einen Domänenbeitritt Ihrer Computer oder VMs vornehmen. Die Domänencontroller können lokal oder auf VMs gehostet werden. Die Clients müssen jedoch eine Sichtverbindung zu den Domänencontrollern haben, entweder in einem lokalen Netzwerk oder im gleichen virtuellen Netzwerk.
Microsoft Entra Domain Services: Für die Microsoft Entra Domain Services-Authentifizierung sollten Kunden Domänendienste aktivieren und dann den virtuellen Computern beitreten, von denen sie auf Dateidaten zugreifen möchten. Die in die Domäne eingebundenen VMs müssen sich im selben virtuellen Netzwerk befinden wie Domain Services. Kund*innen müssen die Identität jedoch nicht in Domain Services erstellen, um das Speicherkonto darzustellen. Der Aktivierungsprozess erstellt die Identität im Hintergrund. Darüber hinaus können alle in Microsoft Entra ID vorhandenen Benutzer*innen authentifiziert und autorisiert werden. Dies können ausschließlich Cloud- oder Hybridbenutzer sein. Die Plattform verwaltet die Synchronisierung von Microsoft Entra ID zu Domain Services, ohne dass eine Benutzerkonfiguration erforderlich ist.
Microsoft Entra Kerberos für Hybridbenutzeridentitäten: Azure Files unterstützt die Microsoft Entra Kerberos-Authentifizierung (vormals Azure AD Kerberos) für Hybridbenutzeridentitäten. Hierbei handelt es sich um lokale AD-Identitäten, die mit der Cloud synchronisiert werden. Diese Konfiguration verwendet Microsoft Entra ID, um Kerberos-Tickets für den Zugriff auf die Dateifreigabe über SMB auszustellen. Dies bedeutet, dass Endbenutzer*innen über das Internet auf Azure-Dateifreigaben zugreifen können, ohne dass eine Sichtlinie für Domänencontroller von Microsoft Entra hybrid eingebunden und mit Microsoft Entra verknüpfte VMs erforderlich sind. Darüber hinaus können Azure Virtual Desktop-Kunden mit dieser Funktion eine Azure-Dateifreigabe erstellen, um Benutzerprofilcontainer zu speichern, auf die hybride Benutzeridentitäten zugreifen können.
AD-Authentifizierung für Linux-Clients: Die Authentifizierung für Linux-Clients wird über AD DS oder Microsoft Entra DS unterstützt.
Häufige Anwendungsfälle für die identitätsbasierte Authentifizierung
Nachfolgend finden Sie einige gängige Szenarien für die Verwendung der identitätsbasierten Authentifizierung:
Migrieren von lokalen Dateiservern zu Azure Files: Das Ersetzen lokaler Dateiserver ist für viele Kunden ein gängiger Anwendungsfall von IT-Transformationen. Die Verwendung lokaler AD DS zur Ermöglichung einer nahtlosen Migration zu Azure Files sorgt nicht nur für eine gute Benutzererfahrung, sondern ermöglicht Benutzern auch den Zugriff auf die Dateifreigabe und die Daten mithilfe ihrer aktuellen Anmeldeinformationen, indem sie ihre Computern in die Domäne einbinden.
Verschieben von Unternehmensanwendungen in die Cloud: Da Kunden ihre lokalen nativen Anwendungen in die Cloud verschieben, ist es dank der identitätsbasierte Authentifizierung mit Azure Files nicht mehr erforderlich, dass Sie Ihre Authentifizierungsmechanismen zur Unterstützung von Cloudanwendungen ändern.
Sicherung und Notfallwiederherstellung: Azure Files können als Sicherungsspeichersystem für lokale Dateiserver fungieren. Das Konfigurieren der richtigen Authentifizierung hilft bei der Erzwingung von Zugriffssteuerungen in Notfallwiederherstellungsszenarien.