Gestione delle identità e controllo di accesso
In questa unità si apprenderà come autenticare gli utenti e fornire l'accesso alle condivisioni file di Azure. File di Azure supporta l'autenticazione basata sull'identità per i clienti che accedono alle condivisioni file su SMB. Inoltre, gli utenti SMB possono anche eseguire l'autenticazione usando una chiave dell'account di archiviazione. Le condivisioni file NFS si basano sull'autenticazione a livello di rete e sono quindi accessibili solo tramite reti con restrizioni. L'uso di una condivisione file NFS richiede sempre un livello di configurazione di rete. Per l'accesso alle condivisioni file sulle API REST vengono usate firme di accesso condiviso e chiavi dell'account di archiviazione per operazioni di gestione dei dati specifiche.
Autenticazione basata sull'identità: i clienti possono usare l'accesso basato sull'identità tramite il protocollo di autenticazione Kerberos. I servizi Active Directory archiviano le informazioni sugli account utente, ad esempio nomi utente, password, informazioni sul contatto e così via. File di Azure si integra con i servizi directory comuni per verificare i dettagli dell'account utente e consentire una corretta autenticazione. Per SMB, l'autenticazione basata sull'identità è l'opzione più sicura e consigliata.
Chiave dell'account di archiviazione: un utente che dispone di una chiave dell'account di archiviazione può accedere alle condivisioni file di Azure con autorizzazioni di utente con privilegi avanzati su SMB e REST. Idealmente, solo gli amministratori con privilegi avanzati devono usare le chiavi dell'account di archiviazione perché ignorano tutte le restrizioni di accesso. Per le condivisioni file usate dai clienti aziendali, le chiavi dell'account di archiviazione non sono meccanismi scalabili o sicuri per l'accesso a livello di organizzazione e pertanto non sono consigliate. Come procedura consigliata per la sicurezza, evitare la condivisione di chiavi dell'account di archiviazione e usare l'autenticazione basata sull'identità.
Firma di accesso condiviso: i clienti che accedono tramite REST possono usare una firma di accesso condiviso (SAS) per eseguire l'autenticazione a File di Azure. Le firme di accesso condiviso vengono usate in scenari specifici in cui i fornitori di software indipendenti sviluppano applicazioni API REST e usano File di Azure come soluzione di archiviazione. Vengono usati anche quando i partner interni devono accedere tramite REST per le operazioni di gestione dei dati. Una firma di accesso condiviso è un URI che concede diritti di accesso limitati alle risorse di Archiviazione di Azure. È possibile usare una firma di accesso condiviso per concedere ai client l'accesso a determinate risorse dell'account di archiviazione senza doverli concedere l'accesso alla chiave dell'account di archiviazione.
Autenticazione basata sull'identità
File di Azure supporta l'autenticazione basata sull'identità per le condivisioni file SMB tramite il protocollo Kerberos. Quando un'identità associata a un utente o a un'applicazione in esecuzione su un client tenta di accedere ai dati nelle condivisioni file di Azure, la richiesta viene inviata al servizio di dominio per l'autenticazione dell'identità. Se l'autenticazione ha esito positivo, viene restituito un token Kerberos. Il client invia una richiesta che include il token Kerberos e le condivisioni file di Azure usano il token per autorizzare la richiesta. Le condivisioni file di Azure ricevono solo il token Kerberos, non accedono alle credenziali.
File di Azure supporta i metodi di autenticazione seguenti per le condivisioni file SMB:
Istanza locale di Active Directory Domain Services: L’abilitazione dell'autenticazione di Active Directory Domain Services per una condivisione file di Azure consente agli utenti di eseguire l'autenticazione usando le credenziali di Active Directory Domain Services locale. L'istanza locale di Active Directory Domain Services deve essere sincronizzata con Microsoft Entra ID usando Microsoft Entra Connect Sync. Solo gli utenti ibridi presenti sia nell'istanza locale di Active Directory Domain Services che in Microsoft Entra ID possono essere autenticati e autorizzati per l'accesso alla condivisione file di Azure. Il cliente deve configurare i controller di dominio e aggiungere al dominio i computer o le macchine virtuali. I controller di dominio possono essere ospitati in locale o in macchine virtuali, ma i client devono avere una linea di vista per i controller di dominio, in una rete locale o nella stessa rete virtuale.
Microsoft Entra Domain Services: Per l'autenticazione di Microsoft Entra Domain Services, i clienti devono abilitare Microsoft Entra Domain Services e quindi aggiungere al dominio le macchine virtuali da cui intendono accedere ai dati dei file. Le macchine virtuali aggiunte al dominio devono trovarsi nella stessa rete virtuale di Servizi di dominio. I clienti non devono tuttavia creare l'identità in Domain Services per rappresentare l'account di archiviazione. Il processo di abilitazione crea l'identità in background. Inoltre, tutti gli utenti presenti in Microsoft Entra ID possono essere autenticati e autorizzati. L'utente può essere solo cloud o ibrido. La piattaforma gestisce la sincronizzazione da Microsoft Entra ID a Servizi di dominio senza richiedere alcuna configurazione utente.
Microsoft Entra Kerberos per le identità utente ibride: File di Azure supporta l'autenticazione Microsoft Entra Kerberos (in precedenza Azure AD Kerberos) per le identità utente ibride, che sono identità di Active Directory locali sincronizzate nel cloud. Questa configurazione usa Microsoft Entra ID per rilasciare i ticket Kerberos per l'accesso alla condivisione file su SMB. Ciò significa che gli utenti finali possono accedere alle condivisioni file di Azure tramite Internet senza richiedere una visibilità diretta sui controller di dominio da macchine virtuali aggiunte a Microsoft Entra ibride e non. Con questa funzionalità, inoltre, i clienti di Desktop virtuale Azure possono creare una condivisione file di Azure per archiviare i contenitori dei profili utente a cui possono accedere le identità utente ibride.
Autenticazione di Active Directory per i client Linux: L'autenticazione per i client Linux è supportata tramite Active Directory Domain Services o Microsoft Entra Domain Services.
Casi d'uso comuni per l'autenticazione basata sull'identità
Di seguito sono riportati alcuni scenari comuni relativi all'uso dell'autenticazione basata sull'identità:
Migrazione da file server locali a File di Azure: la sostituzione di file server locali è un caso d'uso comune per la trasformazione IT per molti clienti. L'uso di Active Directory Domain Services locale per consentire una migrazione semplice ai file di Azure non solo offre un'esperienza utente ottimale, ma consente anche agli utenti di accedere alla condivisione file e ai dati con le credenziali correnti aggiungendo i propri computer al dominio.
Spostamento delle applicazioni aziendali nel cloud: quando i clienti spostano le applicazioni native locali nel cloud, l'autenticazione basata sull'identità con File di Azure elimina la necessità di modificare i meccanismi di autenticazione per supportare le applicazioni cloud.
Backup e ripristino di emergenza: File di Azure può fungere da sistema di archiviazione di backup per i file server locali. La configurazione dell'autenticazione appropriata consente di applicare i controlli di accesso durante gli scenari di ripristino di emergenza.