Compartir vía


Autenticación entre servicios con Azure Data Lake Storage Gen1 mediante Microsoft Entra ID

Azure Data Lake Storage Gen1 usa Microsoft Entra ID para la autenticación. Antes de crear una aplicación que funcione con Data Lake Storage Gen1, debe decidir cómo autenticar la aplicación con Microsoft Entra ID. Las dos principales opciones disponibles son:

  • Autenticación de usuario final
  • Autenticación entre servicios (este artículo)

Con ambas opciones, la aplicación recibe un token de OAuth 2.0, que se adjunta a cada solicitud realizada a Data Lake Storage Gen1.

En este artículo se explica cómo crear una aplicación web de Microsoft Entra para la autenticación de servicio a servicio. Para obtener instrucciones sobre Microsoft Entra configuración de aplicaciones para la autenticación del usuario final, consulte Autenticación de usuario final con Data Lake Storage Gen1 mediante Microsoft Entra ID.

Requisitos previos

Paso 1: Crear una aplicación web de Active Directory

Cree y configure una aplicación web de Microsoft Entra para la autenticación de servicio a servicio con Azure Data Lake Storage Gen1 mediante Microsoft Entra ID. Para obtener instrucciones, consulte Creación de una aplicación de Microsoft Entra.

Al seguir las instrucciones que aparecen en el vínculo anterior, asegúrese de seleccionar Aplicación web/API para el tipo de aplicación, como se muestra en la captura de pantalla siguiente:

Crear aplicación web

Paso 2: Obtener el identificador de aplicación, la clave de autenticación y el identificador de inquilino

Al iniciar sesión mediante programación, necesita el identificador de la aplicación. Si esta se ejecuta con sus propias credenciales, también necesitará una clave de autenticación.

Paso 3: Asignar la aplicación de Microsoft Entra al archivo o carpeta de la cuenta de Azure Data Lake Storage Gen1

  1. Inicie sesión en Azure Portal. Abra la cuenta de Data Lake Storage Gen1 que desea asociar a la aplicación de Microsoft Entra que creó anteriormente.

  2. En la hoja de su cuenta de Data Lake Storage Gen1, haga clic en Explorador de datos.

    Crear directorios en una cuenta de Data Lake Storage Gen1

  3. En la hoja Data Explorer, haga clic en el archivo o carpeta para el que desea proporcionar acceso a la aplicación de Microsoft Entra y, a continuación, haga clic en Obtener acceso. Para configurar el acceso a un archivo, debe hacer clic en la opción Acceso de la hoja de vista previa de archivos.

    Configurar ACL en el sistema de archivos de Data Lake

  4. La hoja Acceso enumera el acceso estándar y el acceso personalizado ya asignados a la raíz. Haga clic en el icono Agregar para agregar las ACL de nivel personalizado.

    Lista de accesos estándar y personalizados

  5. Haga clic en el icono Agregar para abrir la hoja Agregar acceso personalizado. En esta hoja, haga clic en Seleccionar usuario o grupo y, a continuación, en la hoja Seleccionar usuario o grupo, busque la Microsoft Entra aplicación que creó anteriormente. Si tiene muchos grupos en los que buscar, use el cuadro de texto de la parte superior para filtrar por nombre de grupo. Haga clic en el grupo que desee agregar y después en Seleccionar.

    Agregar un grupo

  6. Haga clic en Seleccionar permisos, seleccione los permisos y si desea asignarlos como una ACL predeterminada, ACL de acceso o ambos. Haga clic en OK.

    Captura de pantalla de la hoja Agregar acceso personalizado con la opción Seleccionar permisos resaltada y la hoja Seleccionar permisos con la opción Aceptar resaltada.

    Para obtener más información sobre los permisos de Data Lake Storage Gen1 y las ACL predeterminadas y de acceso, consulte Control de acceso en Azure Data Lake Storage Gen1.

  7. En la hoja Agregar acceso personalizado, haga clic en Aceptar. Los grupos recién agregados, con los permisos asociados, se enumeran en la hoja Acceso.

    Captura de pantalla de la hoja Acceso con el grupo recién agregado resaltado en la sección Acceso personalizado.

Nota

Si tiene previsto restringir la aplicación de Microsoft Entra a una carpeta específica, también deberá conceder ese mismo permiso de ejecución Microsoft Entra aplicación a la raíz para habilitar el acceso a la creación de archivos a través del SDK de .NET.

Nota

Si desea usar los SDK para crear una cuenta de Data Lake Storage Gen1, debe asignar la aplicación web Microsoft Entra como rol al grupo de recursos en el que se crea la cuenta de Data Lake Storage Gen1.

Paso 4: Obtener el punto de conexión del token de OAuth 2.0 (solo para aplicaciones basadas en Java)

  1. Inicie sesión en Azure Portal y haga clic en Active Directory en el panel izquierdo.

  2. En el panel izquierdo, haga clic en Registros de aplicaciones.

  3. En la parte superior de la hoja Registros de aplicaciones, haga clic en Puntos de conexión.

    Captura de pantalla de Active Directory con la opción Registros de aplicaciones y la opción Puntos de conexión resaltadas.

  4. En la lista de puntos de conexión, copie el correspondiente al token de OAuth 2.0.

    Captura de pantalla de la hoja Puntos de conexión con el icono de copia de punto de conexión de token de OAuth 2.0 resaltado.

Pasos siguientes

En este artículo, ha creado una aplicación web de Microsoft Entra y ha recopilado la información que necesita en las aplicaciones cliente que cree mediante el SDK de .NET, Java, Python, la API REST, etc. Ahora puede continuar con los siguientes artículos que hablan sobre cómo usar la aplicación nativa de Microsoft Entra para autenticarse primero con Data Lake Storage Gen1 y, a continuación, realizar otras operaciones en el almacén.