Autenticación para el análisis a escala de la nube en Azure
La autenticación es el proceso de comprobar la identidad de un usuario o aplicación. Se recomienda usar un proveedor de identidades de origen único para controlar la autenticación y la administración de identidades. Este proveedor se conoce como servicio de directorio . Proporciona maneras de almacenar datos de directorio y poner estos datos a disposición de los usuarios y administradores de la red.
Cualquier solución de lago de datos debe usar e integrarse con un servicio de directorio existente. Para la mayoría de las organizaciones, el servicio de directorio para todos los servicios relacionados con la identidad es microsoft Entra ID. Es la base de datos principal y centralizada para todas las cuentas de servicio y de usuario.
En la nube, Microsoft Entra ID es un proveedor de identidades centralizado y el origen preferido para la administración de identidades. Delegue la autenticación y autorización al identificador de Entra de Microsoft para usar funcionalidades como directivas de acceso condicional que requieren que un usuario esté en una ubicación específica. Microsoft Entra ID también admite la autenticación multifactor, lo que aumenta el nivel de seguridad de acceso. Debe configurar los servicios de datos mediante la integración de Microsoft Entra ID siempre que sea posible.
Si los servicios de datos no admiten el identificador de Entra de Microsoft, debe realizar la autenticación mediante una clave de acceso o un token. Debe almacenar la clave de acceso en un almacén de administración de claves, como Azure Key Vault.
Los escenarios de autenticación para el análisis a escala de la nube son:
- Autenticación de usuario. En este escenario, Microsoft Entra ID autentica a los usuarios mediante sus credenciales.
- Autenticación entre servicios. En este escenario, los recursos de Azure autentican los servicios mediante identidades administradas, que Azure administra automáticamente.
- Autenticación de aplicación a servicio. En este escenario, las aplicaciones autentican los servicios mediante entidades de servicio.
Escenarios de autenticación
En las secciones siguientes se describe cada uno de los escenarios de autenticación: autenticación de usuario, autenticación entre servicios y autenticación de aplicación a servicio.
Autenticación de usuarios
Los usuarios que se conectan a un recurso o servicio de datos deben presentar una credencial. Esta credencial demuestra que los usuarios son quienes reclaman ser. A continuación, pueden acceder al servicio o recurso. La autenticación también permite que el servicio conozca la identidad de los usuarios. Una vez comprobada la identidad de un usuario, el servicio decide lo que este puede ver y hacer.
Azure Data Lake Storage, Azure SQL Database, Azure Synapse Analytics y Azure Databricks admiten la integración de Microsoft Entra ID. El modo de autenticación interactiva de los usuarios requiere que estos proporcionen credenciales en un cuadro de diálogo.
Importante
No codifique las credenciales de usuario de forma rígida en una aplicación con fines de autenticación.
Autenticación entre servicios
Cuando un servicio accede a otro servicio sin interacción humana, debe presentar una identidad válida. Esta identidad demuestra la autenticidad del servicio y permite al servicio al que accede para determinar qué acciones se permiten.
En escenarios de autenticación entre servicios, se recomienda usar identidades administradas para autenticar servicios de Azure. Las identidades administradas para los recursos de Azure permiten la autenticación en cualquier servicio que admita la autenticación de Microsoft Entra sin credenciales explícitas. Para obtener más información, consulte ¿Qué son las identidades administradas de recursos de Azure?
Las identidades administradas son entidades de servicio que solo se pueden usar con recursos de Azure. Por ejemplo, puede crear una identidad administrada para una instancia de Azure Data Factory. Microsoft Entra ID registra esta identidad administrada como un objeto que representa la instancia de Data Factory. Después, puede usar esta identidad para autenticarse en cualquier servicio, como Data Lake Storage, sin credenciales en el código. Azure administra las credenciales que usa la instancia de servicio. La identidad puede autenticar recursos de servicio de Azure, como una carpeta en Data Lake Storage. Al eliminar la instancia de Data Factory, Azure elimina la identidad en Microsoft Entra ID.
Ventajas del uso de las identidades administradas
Use identidades administradas para autenticar un servicio de Azure en otro servicio o recurso de Azure. Las identidades administradas proporcionan las siguientes ventajas:
- Una identidad administrada representa al servicio para el que se crea. No representa a un usuario interactivo.
- Las credenciales de identidad administrada se mantienen, administran y almacenan en Microsoft Entra ID. El usuario no debe conservar ninguna contraseña.
- Cuando se usan identidades administradas, los servicios cliente no usan contraseñas.
- La identidad administrada asignada por el sistema se elimina cuando se borra la instancia del servicio.
Estas ventajas significan que las credenciales están mejor protegidas y es menos probable que se ponga en peligro la seguridad.
Autenticación de aplicación a servicio
Otro escenario de acceso es cuando una aplicación, como una aplicación móvil o web, accede a un servicio de Azure. La aplicación debe presentar su identidad, que debe comprobarse.
Una entidad de servicio de Azure es la opción alternativa para aplicaciones y servicios que no admiten identidades administradas para autenticarse en recursos de Azure. Una entidad de servicio es una identidad que se crea específicamente para aplicaciones, servicios hospedados y herramientas automatizadas para acceder a los recursos de Azure. Los roles asignados al principal de servicio controlan su acceso. Por motivos de seguridad, se recomienda usar entidades de servicio con herramientas o aplicaciones automatizadas en lugar de permitirles iniciar sesión con una identidad de usuario. Para más información, consulte Objetos de aplicación y de entidad de servicio en Microsoft Entra ID.
Diferencias entre identidades administradas y entidades de servicio
| Entidad de servicio | Identidad administrada |
|---|---|
| Identidad de seguridad que se crea manualmente en microsoft Entra ID para aplicaciones, servicios y herramientas que necesitan acceder a recursos específicos de Azure. | Tipo especial de entidad de servicio. Se trata de una identidad automática que se crea cuando se crea un servicio de Azure. |
| Usado por cualquier aplicación o servicio y no está vinculado a un servicio específico de Azure. | Representa una instancia de un servicio de Azure. No se puede usar para representar otros servicios de Azure. |
| Tiene un ciclo de vida independiente. Debe eliminarla de forma explícita. | Se elimina automáticamente al eliminar la instancia de servicio de Azure. |
| Autenticación basada en contraseña o en certificados. | No es necesario proporcionar ninguna contraseña explícita para la autenticación. |
Nota:
Tanto las identidades administradas como las entidades de servicio se crean y se mantienen únicamente en Microsoft Entra ID.
Procedimientos recomendados para la autenticación en análisis a escala de nube
En el análisis a escala de la nube, la implementación de prácticas de autenticación sólidas y seguras es fundamental. Los procedimientos recomendados para la autenticación se aplican a varias capas de una solución, incluidas las bases de datos, el almacenamiento y los servicios de análisis. Mediante el uso de Microsoft Entra ID, las organizaciones pueden mejorar la seguridad mediante características como la autenticación multifactor y las directivas de acceso condicional.
| Nivel | Servicio | Recomendación |
|---|---|---|
| Bases de datos | - SQL Database - Instancia administrada de SQL - Azure Synapse Analytics - Azure Database for MySQL - Azure Database for PostgreSQL |
Use microsoft Entra ID para la autenticación con bases de datos como Azure Database for PostgreSQL, Azure SQLy Azure Database for MySQL. |
| Storage | Data Lake Storage | Use Microsoft Entra ID para la autenticación de entidades de seguridad, como usuarios, grupos e identidades administradas, con Data Lake Storage en lugar de una clave compartida o firmas de acceso compartido. Este enfoque ayuda a mejorar la seguridad porque admite la autenticación multifactor y las directivas de acceso condicional. |
| Storage | Data Lake Storage desde Azure Databricks | Conéctese a Data Lake Storage mediante Unity Catalog en lugar de acceso directo a nivel de almacenamiento mediante la creación de una credencial de almacenamiento que use una identidad administrada y una ubicación externa. |
| Análisis de datos | Azure Databricks | Use el sistema para Administración de identidades entre dominios para sincronizar usuarios y grupos de Microsoft Entra ID. Para acceder a los recursos de Azure Databricks mediante las API REST, use OAuth con una entidad de servicio de Azure Databricks. |
Importante
Al dar a los usuarios de Azure Databricks acceso directo a nivel de almacenamiento en Data Lake Storage, se eluden los permisos, las auditorías y las características de seguridad del Unity Catalog, incluido el control de acceso y la supervisión. Para proteger y controlar mejor los datos, Unity Catalog debe administrar el acceso a los datos almacenados en Data Lake Storage para los usuarios del área de trabajo de Azure Databricks.