Che cos'è una firma di accesso condiviso (SAS) di OneLake? (anteprima)
Una firma di accesso condiviso (SAS) di OneLake offre accesso sicuro, a breve termine e delegato alle risorse in OneLake. Con una firma di accesso condiviso di OneLake, è possibile controllare in modo granulare il modo in cui un client può accedere ai dati. Ad esempio:
- Quali risorse il client può accedere.
- Quali autorizzazioni devono avere per le risorse.
- Durata della validità della firma di accesso condiviso.
Ogni firma di accesso condiviso (e chiave di delega utente) di OneLake è sempre supportata da un'identità di Microsoft Entra, ha una durata massima di 1 ora e può concedere l'accesso solo a cartelle e file all'interno di un elemento di dati, ad esempio una lakehouse.
Importante
Questa funzionalità si trova in anteprima.
Funzionamento di una firma di accesso condiviso
Una firma di accesso condiviso è un token aggiunto all'URI per una risorsa OneLake. Il token contiene un set speciale di parametri di query che indicano come il client può accedere alla risorsa. Uno dei parametri di query è la firma. Viene costruito dai parametri sas e firmato con la chiave usata per creare la firma di accesso condiviso. OneLake usa questa firma per autorizzare l'accesso alla cartella o al file in OneLake. OneLake SASs usa gli stessi formati e proprietà di Archiviazione di Azure firma di accesso condiviso delegata dall'utente, ma con più restrizioni di sicurezza per la durata e l'ambito.
Una firma di accesso condiviso di OneLake è firmata con una chiave di delega utente (UDK), supportata da una credenziale di Microsoft Entra. È possibile richiedere una chiave di delega utente con l'operazione Ottieni chiave di delega utente. Usare quindi questa chiave (mentre è ancora valida) per compilare la firma di accesso condiviso di OneLake. Le autorizzazioni dell'account Microsoft Entra, insieme alle autorizzazioni concesse in modo esplicito alla firma di accesso condiviso, determinano l'accesso del client alla risorsa.
Autorizzazione di una firma di accesso condiviso di OneLake
Quando un client o un'applicazione accede a OneLake con una firma di accesso condiviso OneLake, la richiesta viene autorizzata usando le credenziali di Microsoft Entra che hanno richiesto il tipo definito dall'utente usato per creare la firma di accesso condiviso. Pertanto, tutte le autorizzazioni di OneLake concesse all'identità di Microsoft Entra si applicano alla firma di accesso condiviso, ovvero una firma di accesso condiviso non può mai superare le autorizzazioni dell'utente che lo crea. Inoltre, quando si crea una firma di accesso condiviso si concedono in modo esplicito le autorizzazioni, consentendo di fornire autorizzazioni ancora più con ambito alla firma di accesso condiviso. Tra l'identità di Microsoft Entra, le autorizzazioni concesse in modo esplicito e la durata breve, OneLake segue le procedure consigliate per la sicurezza per fornire l'accesso delegato ai dati.
Quando usare una firma di accesso condiviso di OneLake
OneLake SASs delega l'accesso sicuro e temporaneo a OneLake, supportato da un'identità Di Microsoft Entra. Le applicazioni senza supporto nativo di Microsoft Entra possono usare una firma di accesso condiviso OneLake per ottenere l'accesso temporaneo per caricare i dati senza complesse attività di configurazione e integrazione.
OneLake SASs supporta anche le applicazioni che fungono da proxy tra gli utenti e i relativi dati. Ad esempio, alcuni fornitori di software indipendenti (ISV) vengono eseguiti tra gli utenti e l'area di lavoro Infrastruttura, fornendo funzionalità aggiuntive e possibilmente un modello di autenticazione diverso. Delegando l'accesso con una firma di accesso condiviso OneLake, questi ISV possono gestire l'accesso ai dati sottostanti e fornire l'accesso diretto ai dati, anche se gli utenti non hanno identità di Microsoft Entra.
Gestione della firma di accesso condiviso di OneLake
Due impostazioni nel tenant di Fabric gestiscono l'uso di OneLake SASs. La prima è un'impostazione a livello di tenant, Usare token di firma di accesso condiviso con delega utente di breve durata, che gestisce la generazione di chiavi di delega utente. Poiché le chiavi di delega utente vengono generate a livello di tenant, vengono controllate da un'impostazione del tenant. Questa impostazione è attivata per impostazione predefinita, poiché queste chiavi di delega utente hanno autorizzazioni equivalenti all'identità di Microsoft Entra che le richiede e sono sempre di breve durata.
Nota
La disattivazione di questa funzionalità impedirà a tutte le aree di lavoro di usare oneLake SASs, perché tutti gli utenti non potranno generare chiavi di delega utente.
La seconda impostazione è un'impostazione dell'area di lavoro delegata, Authenticate with OneLake user-delegated SAS tokens ,che controlla se un'area di lavoro accetta una firma di accesso condiviso OneLake. Questa impostazione è disattivata per impostazione predefinita e può essere attivata da un amministratore dell'area di lavoro che vuole consentire l'autenticazione con una firma di accesso condiviso OneLake nell'area di lavoro. Un amministratore tenant può attivare questa impostazione per tutte le aree di lavoro tramite l'impostazione del tenant o lasciarla attiva agli amministratori dell'area di lavoro.
È anche possibile monitorare la creazione di chiavi di delega utente tramite il Portale di conformità di Microsoft Purview. È possibile cercare il nome dell'operazione generateonelakeudk per visualizzare tutte le chiavi generate nel tenant. Poiché la creazione di una firma di accesso condiviso è un'operazione sul lato client, non è possibile monitorare o limitare la creazione di una firma di accesso condiviso OneLake, ma solo la generazione di una chiave definita dall'utente.
Procedure consigliate con OneLake SAS
- Usare sempre HTTPS per creare o distribuire una firma di accesso condiviso per proteggersi da attacchi man-in-the-middle che cercano di intercettare la firma di accesso condiviso.
- Tenere traccia dei tempi di scadenza del token, della chiave e della firma di accesso condiviso. Le chiavi di delega utente e i sas di OneLake hanno una durata massima di 1 ora. Il tentativo di richiedere una chiave definita dall'utente o creare una firma di accesso condiviso con una durata superiore a 1 ora causa l'esito negativo della richiesta. Per evitare che la firma di accesso condiviso venga usata per estendere la durata dei token OAuth in scadenza, la durata del token deve anche essere superiore alla scadenza della chiave di delega utente e della firma di accesso condiviso.
- Prestare attenzione all'ora di inizio di una firma di accesso condiviso. L'impostazione dell'ora di inizio per una firma di accesso condiviso come ora corrente può causare errori per i primi minuti, a causa di orari di inizio diversi tra i computer (asimmetria dell'orologio). L'impostazione dell'ora di inizio per alcuni minuti in passato consente di proteggersi da questi errori.
- Concedere i privilegi minimi possibili alla firma di accesso condiviso. Fornire i privilegi minimi necessari per le risorse possibili è una procedura consigliata per la sicurezza e riduce l'impatto se una firma di accesso condiviso viene compromessa.
- Monitorare la generazione di chiavi di delega utente. È possibile controllare la creazione di chiavi di delega utente nel Portale di conformità di Microsoft Purview. Cercare il nome dell'operazione 'generateonelakeudk' per visualizzare le chiavi generate nel tenant.
- Comprendere le limitazioni di OneLake SASs. Poiché OneLake SASs non può avere autorizzazioni a livello di area di lavoro, non sono compatibili con alcuni strumenti Archiviazione di Azure che prevedono autorizzazioni a livello di contenitore per attraversare i dati, ad esempio Archiviazione di Azure Explorer.