Verificatie van eindgebruikers met Azure Data Lake Storage Gen1 met behulp van Microsoft Entra-id

Artikel
2018-05-29

Azure Data Lake Storage Gen1 maakt gebruik van Microsoft Entra-id voor verificatie. Voordat u een toepassing ontwerpt die werkt met Data Lake Storage Gen1 of Azure Data Lake Analytics, moet u beslissen hoe u uw toepassing verifieert met Microsoft Entra-id. De twee belangrijkste opties zijn:

Verificatie van eindgebruikers (dit artikel)
Service-naar-service-verificatie (kies deze optie in de vervolgkeuzelijst hierboven)

Beide opties leiden ertoe dat uw toepassing wordt geleverd met een OAuth 2.0-token, dat wordt gekoppeld aan elke aanvraag die is gedaan bij Data Lake Storage Gen1 of Azure Data Lake Analytics.

In dit artikel wordt beschreven hoe u een systeemeigen Microsoft Entra-toepassing maakt voor verificatie door eindgebruikers. Zie Service-naar-serviceverificatie met Data Lake Storage Gen1 met behulp van Microsoft Entra ID voor instructies over de configuratie van Microsoft Entra-toepassingen voor service-naar-serviceverificatie.

Vereiste voorwaarden

Een Azure-abonnement. Zie Gratis proefversie van Azure ophalen.
Uw abonnements-id. U kunt deze ophalen uit Azure Portal. Deze is bijvoorbeeld beschikbaar via de blade Data Lake Storage Gen1-account.
Uw Microsoft Entra-domeinnaam. U kunt deze ophalen door de muisaanwijzer in de rechterbovenhoek van Azure Portal te plaatsen. In de onderstaande schermopname is de domeinnaam contoso.onmicrosoft.com en is de GUID binnen vierkante haken de tenant ID.
Uw Azure-tenant-id. Zie Tenant-id ophalen voor instructies over het verkrijgen van de tenant-id.

Verificatie van de eindgebruiker

Dit verificatiemechanisme is de aanbevolen methode als u wilt dat een eindgebruiker zich via Microsoft Entra ID aanmeldt bij uw toepassing. Uw toepassing heeft vervolgens toegang tot Azure-resources met hetzelfde toegangsniveau als de eindgebruiker die zich heeft aangemeld. Uw eindgebruiker moet regelmatig referenties opgeven om de toegang te behouden voor uw toepassing.

Het resultaat van het aanmelden van eindgebruikers is dat uw toepassing een toegangstoken en een vernieuwingstoken krijgt. Het toegangstoken wordt gekoppeld aan elke aanvraag die is gedaan bij Data Lake Storage Gen1 of Data Lake Analytics en is standaard één uur geldig. Het vernieuwingstoken kan worden gebruikt om een nieuw toegangstoken te verkrijgen en het is standaard maximaal twee weken geldig. U kunt twee verschillende benaderingen gebruiken voor het aanmelden van eindgebruikers.

Het pop-upvenster OAuth 2.0 gebruiken

Uw toepassing kan een pop-upvenster voor OAuth 2.0-autorisatie activeren, waarin de eindgebruiker zijn referenties kan invoeren. Deze pop-up werkt indien nodig ook met het Microsoft Entra Two-Factor Authentication-proces (2FA).

Notitie

Deze methode wordt nog niet ondersteund in de Azure AD Authentication Library (ADAL) voor Python of Java.

Gebruikersreferenties rechtstreeks doorgeven

Uw toepassing kan rechtstreeks gebruikersreferenties opgeven voor Microsoft Entra-id. Deze methode werkt alleen met gebruikersaccounts voor organisatie-id's; het is niet compatibel met persoonlijke /live ID-gebruikersaccounts, inclusief de accounts die eindigen op @outlook.com of @live.com. Bovendien is deze methode niet compatibel met gebruikersaccounts waarvoor Microsoft Entra Two-Factor Authentication (2FA) is vereist.

Wat heb ik nodig voor deze aanpak?

Microsoft Entra-domeinnaam. Deze vereiste wordt al vermeld in de vereisten van dit artikel.
Tenant-id van Microsoft Entra. Deze vereiste wordt al vermeld in de vereisten van dit artikel.
Microsoft Entra ID-systeemeigen toepassing
Toepassings-id voor de systeemeigen Microsoft Entra-toepassing
Omleidings-URI voor de systeemeigen Microsoft Entra-toepassing
Gedelegeerde machtigingen instellen

Stap 1: Een systeemeigen Active Directory-toepassing maken

Maak en configureer een systeemeigen Microsoft Entra-toepassing voor verificatie door eindgebruikers met Data Lake Storage Gen1 met behulp van Microsoft Entra-id. Zie Een Microsoft Entra-toepassing maken voor instructies.

Zorg er tijdens het volgen van de instructies in de koppeling voor dat u Systeemeigen selecteert voor toepassingstype, zoals wordt weergegeven in de volgende schermopname:

Een web-app maken

Stap 2: toepassings-id en omleidings-URI ophalen

Zie De toepassings-id ophalen om de toepassings-id op te halen.

Als u de omleidings-URI wilt ophalen, voert u de volgende stappen uit.

Selecteer microsoft Entra-id in de Azure-portal, selecteer App-registraties en zoek en selecteer vervolgens de systeemeigen Microsoft Entra-toepassing die u hebt gemaakt.
Selecteer omleidings-URI's op de blade Instellingen voor de toepassing.
Kopieer de weergegeven waarde.

Stap 3: Machtigingen instellen

Selecteer microsoft Entra-id in de Azure-portal, selecteer App-registraties en zoek en selecteer vervolgens de systeemeigen Microsoft Entra-toepassing die u hebt gemaakt.
Selecteer Vereiste machtigingen op de blade Instellingen voor de toepassing en selecteer vervolgens Toevoegen.
In het API-toegang toevoegen-venster, selecteer Selecteer een API, selecteer Azure Data Lake en selecteer vervolgens Selecteren.
In de blade API-toegang toevoegen, selecteer Machtigingen selecteren, schakel het selectievakje in om volledige toegang tot Data Lake Store te verlenen, en selecteer vervolgens Selecteren.

Kies Gereed.
Herhaal de laatste twee stappen om ook machtigingen te verlenen voor de Windows Azure Service Management-API .

Volgende stappen

In dit artikel hebt u een systeemeigen Microsoft Entra-toepassing gemaakt en de informatie verzameld die u nodig hebt in uw clienttoepassingen die u maakt met behulp van .NET SDK, Java SDK, REST API, enzovoort. U kunt nu doorgaan met de volgende artikelen over het gebruik van de Microsoft Entra-webtoepassing om eerst te verifiëren met Data Lake Storage Gen1 en vervolgens andere bewerkingen uit te voeren in de store.

Delen via