Compartir a través de


Autenticación entre servicios con Azure Data Lake Storage Gen1 mediante Microsoft Entra ID

Azure Data Lake Storage Gen1 usa Microsoft Entra ID para la autenticación. Antes de crear una aplicación que funcione con Data Lake Storage Gen1, debe decidir cómo autenticar la aplicación con Microsoft Entra ID. Las dos principales opciones disponibles son:

  • Autenticación de usuario final
  • Autenticación entre servicios (este artículo)

Con ambas opciones, la aplicación recibe un token de OAuth 2.0, que se adjunta a cada solicitud realizada a Data Lake Storage Gen1.

En este artículo se explica cómo crear una aplicación web de Microsoft Entra para la autenticación de servicio a servicio. Para obtener instrucciones sobre la configuración de aplicaciones de Microsoft Entra para la autenticación del usuario final, consulte Autenticación de usuario final con Data Lake Storage Gen1 mediante Microsoft Entra ID.

Prerrequisitos

Paso 1: Crear una aplicación web de Active Directory

Cree y configure una aplicación web de Microsoft Entra para la autenticación entre servicios con Azure Data Lake Storage Gen1 mediante Microsoft Entra ID. Para obtener instrucciones, consulte Creación de una aplicación de Microsoft Entra.

Al seguir las instrucciones que aparecen en el vínculo anterior, asegúrese de seleccionar Aplicación web/API para el tipo de aplicación, como se muestra en la captura de pantalla siguiente:

Creación de una aplicación web

Paso 2: Obtener el identificador de aplicación, la clave de autenticación y el identificador de inquilino

Al iniciar sesión mediante programación, se necesita el identificador de su aplicación. Si la aplicación se ejecuta con sus propias credenciales, también necesitará una clave de autenticación.

Paso 3: Asignación de la aplicación Microsoft Entra al archivo o carpeta de la cuenta de Azure Data Lake Storage Gen1

  1. Inicie sesión en Azure Portal. Abra la cuenta de Data Lake Storage Gen1 que desea asociar a la aplicación Microsoft Entra que creó anteriormente.

  2. En la hoja de su cuenta de Data Lake Storage Gen1, haga clic en Explorador de datos.

    Creación de directorios en la cuenta de Data Lake Storage Gen1

  3. En la hoja Explorador de datos, haga clic en el archivo o carpeta para el que desea proporcionar acceso a la aplicación Microsoft Entra y, a continuación, haga clic en Acceso. Para configurar el acceso a un archivo, debe hacer clic en la opción Acceso de la hoja de vista previa de archivos.

    Establecimiento de las ACL en el sistema de archivos de Data Lake

  4. La hoja Acceso enumera el acceso estándar y el acceso personalizado ya asignados a la raíz. Haga clic en el icono Agregar para agregar las ACL de nivel personalizado.

    Mostrar acceso estándar y personalizado

  5. Haga clic en el icono Agregar para abrir la hoja Agregar acceso personalizado. En esta hoja, haga clic en Seleccionar usuario o grupo y, a continuación, en hoja Seleccionar usuario o grupo, busque la aplicación Microsoft Entra que creó anteriormente. Si tiene muchos grupos en los que buscar, use el cuadro de texto de la parte superior para filtrar por nombre de grupo. Haga clic en el grupo que desee agregar y después en Seleccionar.

    Agregar un grupo

  6. Haga clic en Seleccionar permisos, seleccione los permisos y si desea asignarlos como una ACL predeterminada, ACL de acceso o ambos. Haz clic en Aceptar.

    Captura de pantalla de la hoja Agregar acceso personalizado con la opción Seleccionar permisos seleccionada y la hoja Seleccionar permisos con la opción Aceptar seleccionada.

    Para obtener más información sobre los permisos de Data Lake Storage Gen1 y las ACL predeterminadas y de acceso, consulte Control de acceso en Azure Data Lake Storage Gen1.

  7. En la hoja Agregar acceso personalizado, haga clic en Aceptar. Los grupos recién agregados, con los permisos asociados, se enumeran en la hoja Acceso.

    Captura de pantalla de la hoja Acceso con el grupo recién agregado seleccionado en la sección Acceso personalizado.

Nota:

Si tiene previsto restringir la aplicación de Microsoft Entra a una carpeta específica, también tendrá que conceder a esa misma aplicación de Microsoft Entra el permiso Ejecutar a la raíz para habilitar el acceso de creación de archivos a través del SDK de .NET.

Nota:

Si desea usar los SDK para crear una cuenta de Data Lake Storage Gen1, debe asignar la aplicación web de Microsoft Entra como rol al grupo de recursos en el que se crea la cuenta de Data Lake Storage Gen1.

Paso 4: Obtener el punto de conexión del token de OAuth 2.0 (solo para aplicaciones basadas en Java)

  1. Inicie sesión en Azure Portal y haga clic en Active Directory en el panel izquierdo.

  2. En el panel izquierdo, haga clic en Registros de aplicaciones.

  3. En la parte superior de la hoja Registros de aplicaciones, haga clic en Puntos de conexión.

    Captura de pantalla de Active Directory con la opción Registros de aplicaciones y la opción Puntos de conexión seleccionados.

  4. En la lista de puntos de conexión, copie el punto final del token de OAuth 2.0.

    Captura de pantalla del panel Endpoints con el icono de copia del punto de conexión del token de OAuth 2.0 resaltado.

Pasos siguientes

En este artículo, ha creado una aplicación web de Microsoft Entra y ha recopilado la información que necesita en las aplicaciones cliente que crea con el SDK de .NET, Java, Python, API de REST, etc. Ahora puede continuar con los siguientes artículos que hablan sobre cómo usar la aplicación nativa de Microsoft Entra para autenticarse primero con Data Lake Storage Gen1 y, a continuación, realizar otras operaciones en el almacén.