Autenticación entre servicios con Azure Data Lake Storage Gen1 mediante Microsoft Entra ID
Azure Data Lake Storage Gen1 usa Microsoft Entra ID para la autenticación. Antes de crear una aplicación que funcione con Data Lake Storage Gen1, debe decidir cómo autenticar la aplicación con Microsoft Entra ID. Las dos principales opciones disponibles son:
- Autenticación de usuario final
- Autenticación entre servicios (este artículo)
Con ambas opciones, la aplicación recibe un token de OAuth 2.0, que se adjunta a cada solicitud realizada a Data Lake Storage Gen1.
En este artículo se explica cómo crear una aplicación web de Microsoft Entra para la autenticación de servicio a servicio. Para obtener instrucciones sobre la configuración de aplicaciones de Microsoft Entra para la autenticación del usuario final, consulte Autenticación de usuario final con Data Lake Storage Gen1 mediante Microsoft Entra ID.
Prerrequisitos
- Una suscripción de Azure. Consulte Obtención de una versión de evaluación gratuita.
Paso 1: Crear una aplicación web de Active Directory
Cree y configure una aplicación web de Microsoft Entra para la autenticación entre servicios con Azure Data Lake Storage Gen1 mediante Microsoft Entra ID. Para obtener instrucciones, consulte Creación de una aplicación de Microsoft Entra.
Al seguir las instrucciones que aparecen en el vínculo anterior, asegúrese de seleccionar Aplicación web/API para el tipo de aplicación, como se muestra en la captura de pantalla siguiente:
Paso 2: Obtener el identificador de aplicación, la clave de autenticación y el identificador de inquilino
Al iniciar sesión mediante programación, se necesita el identificador de su aplicación. Si la aplicación se ejecuta con sus propias credenciales, también necesitará una clave de autenticación.
Para obtener instrucciones sobre cómo recuperar el ID y la clave de autenticación (también llamada secreto del cliente) de su aplicación, consulte Obtención del ID y la clave de autenticación.
Para obtener instrucciones sobre cómo recuperar el identificador de inquilino, consulte Obtención del identificador de inquilino.
Paso 3: Asignación de la aplicación Microsoft Entra al archivo o carpeta de la cuenta de Azure Data Lake Storage Gen1
Inicie sesión en Azure Portal. Abra la cuenta de Data Lake Storage Gen1 que desea asociar a la aplicación Microsoft Entra que creó anteriormente.
En la hoja de su cuenta de Data Lake Storage Gen1, haga clic en Explorador de datos.
En la hoja Explorador de datos, haga clic en el archivo o carpeta para el que desea proporcionar acceso a la aplicación Microsoft Entra y, a continuación, haga clic en Acceso. Para configurar el acceso a un archivo, debe hacer clic en la opción Acceso de la hoja de vista previa de archivos.
La hoja Acceso enumera el acceso estándar y el acceso personalizado ya asignados a la raíz. Haga clic en el icono Agregar para agregar las ACL de nivel personalizado.
Haga clic en el icono Agregar para abrir la hoja Agregar acceso personalizado. En esta hoja, haga clic en Seleccionar usuario o grupo y, a continuación, en hoja Seleccionar usuario o grupo, busque la aplicación Microsoft Entra que creó anteriormente. Si tiene muchos grupos en los que buscar, use el cuadro de texto de la parte superior para filtrar por nombre de grupo. Haga clic en el grupo que desee agregar y después en Seleccionar.
Haga clic en Seleccionar permisos, seleccione los permisos y si desea asignarlos como una ACL predeterminada, ACL de acceso o ambos. Haz clic en Aceptar.
Para obtener más información sobre los permisos de Data Lake Storage Gen1 y las ACL predeterminadas y de acceso, consulte Control de acceso en Azure Data Lake Storage Gen1.
En la hoja Agregar acceso personalizado, haga clic en Aceptar. Los grupos recién agregados, con los permisos asociados, se enumeran en la hoja Acceso.
Nota:
Si tiene previsto restringir la aplicación de Microsoft Entra a una carpeta específica, también tendrá que conceder a esa misma aplicación de Microsoft Entra el permiso Ejecutar a la raíz para habilitar el acceso de creación de archivos a través del SDK de .NET.
Nota:
Si desea usar los SDK para crear una cuenta de Data Lake Storage Gen1, debe asignar la aplicación web de Microsoft Entra como rol al grupo de recursos en el que se crea la cuenta de Data Lake Storage Gen1.
Paso 4: Obtener el punto de conexión del token de OAuth 2.0 (solo para aplicaciones basadas en Java)
Inicie sesión en Azure Portal y haga clic en Active Directory en el panel izquierdo.
En el panel izquierdo, haga clic en Registros de aplicaciones.
En la parte superior de la hoja Registros de aplicaciones, haga clic en Puntos de conexión.
En la lista de puntos de conexión, copie el punto final del token de OAuth 2.0.
Pasos siguientes
En este artículo, ha creado una aplicación web de Microsoft Entra y ha recopilado la información que necesita en las aplicaciones cliente que crea con el SDK de .NET, Java, Python, API de REST, etc. Ahora puede continuar con los siguientes artículos que hablan sobre cómo usar la aplicación nativa de Microsoft Entra para autenticarse primero con Data Lake Storage Gen1 y, a continuación, realizar otras operaciones en el almacén.
- Service-to-service authentication with Data Lake Storage Gen1 using Java (Autenticación entre servicios con Data Lake Storage Gen1 mediante Java)
- Service-to-service authentication with Data Lake Storage Gen1 using .NET SDK (Autenticación entre servicios con Data Lake Storage Gen1 mediante el SDK de .NET)
- Service-to-service authentication with Data Lake Storage Gen1 using Python (Autenticación entre servicios con Data Lake Storage Gen1 mediante Python)
- Service-to-service authentication with Data Lake Storage Gen1 using REST API (Autenticación entre servicios con Data Lake Storage Gen1 mediante la API REST)