Condividi tramite

Autenticazione da servizio a servizio con Azure Data Lake Storage Gen1 con Microsoft Entra ID

  • Articolo

Azure Data Lake Storage Gen1 usa Microsoft Entra ID per l'autenticazione. Prima di creare un'applicazione che funziona con Data Lake Storage Gen1, è necessario decidere come autenticare l'applicazione con Microsoft Entra ID. Le opzioni disponibili sono due:

  • Autenticazione dell'utente finale
  • Autenticazione da servizio a servizio (questo articolo)

Entrambe queste opzioni comportano che l'applicazione venga fornita con un token OAuth 2.0, che viene associato a ogni richiesta inviata a Data Lake Storage Gen1.

Questo articolo illustra come creare un'applicazione Web Microsoft Entra per l'autenticazione da servizio a servizio. Per istruzioni sulla configurazione dell'applicazione Microsoft Entra per l'autenticazione dell'utente finale, vedere Autenticazione dell'utente finale con Data Lake Storage Gen1 con Microsoft Entra ID.

Prerequisiti

Passaggio 1: Creare un'applicazione Web di Active Directory

Creare e configurare un'applicazione Web Microsoft Entra per l'autenticazione da servizio a servizio con Azure Data Lake Storage Gen1 usando Microsoft Entra ID. Per istruzioni, vedere Creare un’applicazione Microsoft Entra.

Mentre si seguono le istruzioni nel collegamento precedente, assicurarsi di selezionare App Web/API come tipo di applicazione, come illustrato nella schermata seguente:

Crea app Web

Passaggio 2: Ottenere l'ID applicazione, la chiave di autenticazione e l'ID tenant

Quando esegui l'accesso programmaticamente, è necessario l'ID della tua applicazione. Se l'applicazione viene eseguita con le proprie credenziali, è necessaria anche una chiave di autenticazione.

Passaggio 3: Assegnare l'applicazione Microsoft Entra al file o alla cartella dell'account Azure Data Lake Storage Gen1

  1. Accedere al portale di Azure. Aprire l'account Data Lake Storage Gen1 da associare all'applicazione Microsoft Entra creata in precedenza.

  2. Nel pannello dell'account Data Lake Storage Gen1 fare clic su Esplora dati.

    Creare directory nell'account Data Lake Storage Gen1

  3. Nel pannello Esplora dati fare clic sul file o sulla cartella per cui si desidera fornire l'accesso all'applicazione Microsoft Entra, quindi fare clic su Access . Per configurare l'accesso a un file, è necessario fare clic su Accesso dal pannello Anteprima file.

    Impostare elenchi di controllo accesso nel file system di Data Lake

  4. La scheda Accesso elenca gli accessi standard e personalizzati già assegnati alla radice. Fare clic sull'icona Aggiungi per aggiungere elenchi di controllo per l'accesso personalizzato.

    Elencare profili di accesso standard e personalizzato

  5. Fare clic sull'icona Aggiungi per aprire il pannello Aggiungi accesso personalizzato. In questo pannello fare clic su Seleziona utente o gruppo e quindi nel pannello Seleziona utente o gruppo cercare l'applicazione Microsoft Entra creata in precedenza. Se è presente un elevato numero di gruppi, usare la casella di testo nella parte superiore per filtrare in base al nome del gruppo. Fare clic sul gruppo che si desidera aggiungere e quindi su Seleziona.

    Aggiungi un gruppo

  6. Fare clic su Selezionare le autorizzazioni, selezionare le autorizzazioni e se si desidera assegnare le autorizzazioni come un ACL predefinito, ACL di accesso o entrambi. Fare clic su OK.

    Screenshot del pannello Aggiungi accesso personalizzato con l'opzione Seleziona autorizzazioni evidenziata e il pannello Seleziona autorizzazioni con l'opzione OK evidenziata.

    Per altre informazioni sulle autorizzazioni in Data Lake Storage Gen1 e gli ACL predefiniti/di accesso, vedere Controllo di accesso in Data Lake Storage Gen1.

  7. Nel pannello Aggiungi accesso personalizzato fare clic su OK. I gruppi appena aggiunti, con le autorizzazioni associate, sono elencati nel pannello Accesso .

    Screenshot del pannello Accesso con il gruppo appena aggiunto visualizzato nella sezione Accesso personalizzato.

Nota

Se si prevede di limitare l'applicazione Microsoft Entra a una cartella specifica, sarà anche necessario concedere alla radice l'autorizzazione Execute della stessa applicazione Microsoft Entra per abilitare l'accesso alla creazione di file tramite .NET SDK.

Nota

Per usare gli SDK per creare un account Data Lake Storage Gen1, è necessario assegnare l'applicazione Web Microsoft Entra come ruolo al gruppo di risorse in cui si crea l'account Data Lake Storage Gen1.

Passaggio 4: Ottenere l'endpoint di token OAuth 2.0 (solo per applicazioni basate su Java)

  1. Accedere al portale di Azure e fare clic su Active Directory dal riquadro a sinistra.

  2. Nel riquadro a sinistra fare clic su Registrazioni per l'app.

  3. Nella parte superiore del pannello Registrazioni per l'app fare clic su Endpoint.

    Screenshot di Active Directory con l'opzione Registrazioni app e le opzioni Endpoint evidenziate.

  4. Copiare l'endpoint di token OAuth 2.0 dall'elenco di endpoint.

    Screenshot della schermata Endpoint con l'icona di copia dell'endpoint OAUTH 2.0 TOKEN evidenziata.

Passaggi successivi

In questo articolo è stata creata un'applicazione Web Microsoft Entra e sono state raccolte le informazioni necessarie nelle applicazioni client create con .NET SDK, Java, Python, API REST e così via. È ora possibile passare agli articoli seguenti che illustrano come usare l'applicazione nativa Microsoft Entra per eseguire prima l'autenticazione con Data Lake Storage Gen1 e quindi eseguire altre operazioni nello store.