Compartir a través de

Autenticación de usuario final con Azure Data Lake Storage Gen1 mediante Microsoft Entra ID

  • Artículo

Azure Data Lake Storage Gen1 usa Microsoft Entra ID para la autenticación. Antes de crear una aplicación que funcione con Data Lake Storage Gen1 o Azure Data Lake Analytics, debe decidir cómo autenticar la aplicación con Microsoft Entra ID. Las dos principales opciones disponibles son:

  • Autenticación de usuario final (este artículo)
  • Autenticación entre servicios (elija esta opción en la lista desplegable anterior)

Con ambas opciones, la aplicación recibe un token de OAuth 2.0 que se adjunta a cada solicitud realizada a Data Lake Storage Gen1 o Azure Data Lake Analytics.

En este artículo se explica cómo crear una aplicación nativa de Microsoft Entra para la autenticación de usuario final. Para obtener instrucciones sobre la configuración de aplicaciones de Microsoft Entra para la autenticación entre servicios, consulte Autenticación de servicio a servicio con Data Lake Storage Gen1 mediante Microsoft Entra ID.

Prerrequisitos

  • Una suscripción de Azure. Consulte Obtención de una versión de evaluación gratuita.

  • El identificador de suscripción. Puede recuperarlo en Azure Portal. Por ejemplo, está disponible en la hoja de cuenta de Data Lake Storage Gen1.

    Obtener id. de suscripción

  • Nombre de dominio de Microsoft Entra. Para recuperarlo, mantenga el puntero del mouse en la esquina superior derecha de Azure Portal. En la siguiente captura de pantalla, el nombre de dominio es contoso.onmicrosoft.com y el GUID entre paréntesis es el identificador del inquilino.

    Obtención del dominio de Microsoft Entra

  • Su Id. de inquilino de Azure. Para obtener instrucciones sobre cómo recuperar el identificador de inquilino, consulte Obtención del identificador de inquilino.

Autenticación de usuario final

Este mecanismo de autenticación es el enfoque recomendado si desea que un usuario final inicie sesión en la aplicación a través de Microsoft Entra ID. La aplicación puede acceder a los recursos de Azure con el mismo nivel de acceso que el usuario final que ha iniciado sesión. El usuario final tiene que proporcionar sus credenciales periódicamente para que la aplicación conserve el acceso.

El resultado de tener el inicio de sesión del usuario final es que la aplicación recibe un token de acceso y un token de actualización. El token de acceso se adjunta a cada solicitud realizada a Data Lake Storage Gen1 o Data Lake Analytics, y es válida durante una hora de forma predeterminada. El token de actualización se puede usar para obtener un nuevo token de acceso y es válido durante hasta dos semanas de forma predeterminada. Puede usar dos enfoques diferentes para el inicio de sesión del usuario final.

Uso de la ventana emergente de OAuth 2.0

La aplicación puede desencadenar una ventana emergente de autorización de OAuth 2.0 en la que el usuario final puede escribir sus credenciales. Este elemento emergente también funciona con el proceso de autenticación de dos fases (2FA) de Microsoft Entra, si es necesario.

Nota:

Este método todavía no es compatible con la Biblioteca de autenticación de Active Directory (ADAL) para Python o Java.

Transmisión directa de credenciales de usuario

La aplicación puede proporcionar directamente credenciales de usuario a Microsoft Entra ID. Este método solo funciona con cuentas de usuario de identificador de organización; no es compatible con las cuentas de usuario personales o “live ID”, incluidas las cuentas que terminan en @outlook.com o @live.com. Además, este método no es compatible con las cuentas de usuario que requieren la Autenticación de dos fases (2FA) de Microsoft Entra..

¿Qué se necesita para este enfoque?

  • Nombre de dominio de Microsoft Entra. Este requisito ya aparece en los requisitos previos de este artículo.
  • Identificador de inquilino de Microsoft Entra. Este requisito ya aparece en los requisitos previos de este artículo.
  • Microsoft Entra ID aplicación nativa
  • Identificador de aplicación para la aplicación nativa de Microsoft Entra
  • URI de redirección para la aplicación nativa de Microsoft Entra
  • Establecimiento de permisos delegados

Paso 1: Crear una aplicación nativa de Active Directory

Cree y configure una aplicación nativa de Microsoft Entra para la autenticación de usuario final con Data Lake Storage Gen1 mediante Microsoft Entra ID. Para obtener instrucciones, consulte Creación de una aplicación de Microsoft Entra.

Al seguir las instrucciones del vínculo, asegúrese de seleccionar Nativa como tipo de aplicación, como se muestra en la captura de pantalla siguiente:

Creación de una aplicación web

Paso 2: Obtener el identificador de aplicación y el URI de redirección

Si necesita recuperar el identificador de la aplicación, consulte Obtener el identificador de la aplicación.

Para recuperar el URI de redireccionamiento, siga estos pasos.

  1. En Azure Portal, seleccione Microsoft Entra ID, seleccione Registros de aplicaciones y, a continuación, busque y seleccione la aplicación nativa de Microsoft Entra que creó.

  2. En la hoja Configuración de la aplicación, seleccione URI de redirección.

    Obtener URI de redirección

  3. Copie el valor mostrado.

Paso 3: Establecer permisos

  1. En Azure Portal, seleccione Microsoft Entra ID, seleccione Registros de aplicaciones y, a continuación, busque y seleccione la aplicación nativa de Microsoft Entra que creó.

  2. En la hoja Configuración de la aplicación, seleccione Permisos necesarios y, a continuación, seleccione Agregar.

    Captura de pantalla del panel Configuración con la opción URI de redirección resaltada y el panel URI de redirección con el URI real resaltado.

  3. En la hoja Agregar acceso a API, seleccione Seleccionar una API, seleccione Azure Data Lake y, a continuación, seleccione Seleccionar.

    Captura de pantalla de la hoja Agregar acceso de API con la opción Seleccionar una API resaltada y la hoja Seleccionar una API con las opciones Azure Data Lake y Seleccionar resaltadas.

  4. En la hoja Agregar acceso a API, seleccione Seleccionar permisos, active la casilla para conceder Acceso completo a Data Lake Store y, a continuación, seleccione Seleccionar.

    Captura de pantalla de la hoja Agregar acceso de API con la opción Seleccionar permisos resaltada y la hoja Habilitar acceso con las opciones Have full access to the Azure Data Lake service (Tener acceso total al servicio Azure Data Lake) y Seleccionar resaltadas.

    Seleccione Listo.

  5. Repita los dos últimos pasos para conceder permisos también para Service Management API de Windows Azure.

Pasos siguientes

En este artículo, ha creado una aplicación nativa de Microsoft Entra y ha recopilado la información que necesita en las aplicaciones cliente que crea mediante el SDK de .NET, el SDK de Java, la API de REST, etc. Ahora puede continuar con los artículos siguientes que hablan sobre cómo usar la aplicación web Microsoft Entra para autenticarse primero con Data Lake Storage Gen1 y, a continuación, realizar otras operaciones en la tienda.