Identiteits- en toegangsbeheer

  • 9 minuten

In deze les leert u hoe u gebruikers verifieert en toegang verleent tot Azure-bestandsshares. Azure Files ondersteunt verificatie op basis van identiteiten voor klanten die toegang hebben tot bestandsshares via SMB. Daarnaast kunnen SMB-gebruikers zich ook verifiëren met behulp van een opslagaccountsleutel. NFS-bestandsshares zijn afhankelijk van verificatie op netwerkniveau en zijn daarom alleen toegankelijk via beperkte netwerken. Voor het gebruik van een NFS-bestandsshare is altijd een netwerkconfiguratie vereist. Toegang tot bestandsshares via REST API's maakt gebruik van handtekeningen voor gedeelde toegang en opslagaccountsleutels voor specifieke bewerkingen voor gegevensbeheer.

  • Verificatie op basis van identiteit: klanten kunnen toegang op basis van identiteiten gebruiken via het Kerberos-verificatieprotocol. Active Directory-services slaan gebruikersaccountgegevens op, zoals gebruikersnamen, wachtwoorden, contactgegevens enzovoort. Azure Files kan worden geïntegreerd met algemene adreslijstservices om de details van het gebruikersaccount te controleren en geslaagde verificatie in te schakelen. Voor SMB is verificatie op basis van identiteit de veiligste en aanbevolen optie.

  • Opslagaccountsleutel: een gebruiker met de sleutel van het opslagaccount heeft toegang tot Azure-bestandsshares met supergebruikersmachtigingen via SMB en REST. In het ideale geval moeten alleen supergebruikersbeheerders opslagaccountsleutels gebruiken omdat ze alle toegangsbeperkingen omzeilen. Voor bestandsshares die worden gebruikt door zakelijke klanten, zijn opslagaccountsleutels geen schaalbare of veilige mechanismen voor toegang voor de hele organisatie en worden daarom niet aanbevolen. De aanbevolen beveiligingsprocedures zijn om te voorkomen dat opslagaccountsleutels worden gedeeld en verificatie op basis van identiteiten te gebruiken.

  • Handtekening voor gedeelde toegang: klanten die toegang hebben tot REST, kunnen een SAS (Shared Access Signature) gebruiken om te verifiëren met Azure Files. Handtekeningen voor gedeelde toegang worden gebruikt in specifieke scenario's waarbij onafhankelijke softwareleveranciers REST API-toepassingen ontwikkelen en Azure Files als opslagoplossing gebruiken. Ze worden ook gebruikt wanneer interne partners toegang nodig hebben via REST voor gegevensbeheerbewerkingen. Een handtekening voor gedeelde toegang is een URI die beperkte toegangsrechten verleent aan Azure Storage-resources. U kunt een handtekening voor gedeelde toegang gebruiken om clients toegang te geven tot bepaalde opslagaccountbronnen zonder dat ze toegang hoeven te krijgen tot de sleutel van uw opslagaccount.

Verificatie op basis van identiteit

Azure Files ondersteunt verificatie op basis van identiteiten voor SMB-bestandsshares met behulp van het Kerberos-protocol. Wanneer een identiteit die is gekoppeld aan een gebruiker of toepassing die wordt uitgevoerd op een client toegang probeert te krijgen tot gegevens in Azure-bestandsshares, wordt de aanvraag verzonden naar de domeinservice om de identiteit te verifiëren. Als verificatie is geslaagd, wordt een Kerberos-token geretourneerd. De client verzendt een aanvraag met het Kerberos-token en Azure-bestandsshares gebruiken dat token om de aanvraag te autoriseren. Azure-bestandsshares ontvangen alleen het Kerberos-token, geen toegang tot referenties.

Azure Files ondersteunt de volgende verificatiemethoden voor SMB-bestandsshares:

  • On-premises Active Directory-domein Services (AD DS):als u AD DS-verificatie inschakelt voor een Azure-bestandsshare, kunnen gebruikers zich verifiëren met behulp van hun on-premises AD DS-referenties. De on-premises AD DS moet worden gesynchroniseerd met Microsoft Entra ID met behulp van Microsoft Entra Connect-synchronisatie. Alleen hybride gebruikers die bestaan in zowel on-premises AD DS als Microsoft Entra-id kunnen worden geverifieerd en geautoriseerd voor toegang tot Azure-bestandsshares. De klant moet zijn of haar domeincontrollers instellen en lid worden van hun machines of virtuele machines (VM's). De domeincontrollers kunnen on-premises of op VM's worden gehost, maar de clients moeten een lijn van zicht hebben op de domeincontrollers, hetzij op een on-premises netwerk of in hetzelfde virtuele netwerk.

  • Microsoft Entra Domain Services: voor Microsoft Entra Domain Services-verificatie moeten klanten Domain Services inschakelen en vervolgens lid worden van de VM's waaruit ze toegang willen krijgen tot bestandsgegevens. De aan het domein gekoppelde VM's moeten zich in hetzelfde virtuele netwerk bevinden als Domain Services. Klanten hoeven echter niet de identiteit in Domain Services te maken om het opslagaccount weer te geven. Met het activeringsproces wordt de identiteit op de achtergrond gemaakt. Bovendien kunnen alle gebruikers die bestaan in Microsoft Entra-id worden geverifieerd en geautoriseerd. De gebruiker kan alleen cloud of hybride zijn. Het platform beheert de synchronisatie van Microsoft Entra-id met Domain Services zonder dat hiervoor gebruikersconfiguratie is vereist.

  • Microsoft Entra Kerberos voor hybride gebruikersidentiteiten: Azure Files ondersteunt Verificatie van Microsoft Entra Kerberos (voorheen Azure AD Kerberos) voor hybride gebruikersidentiteiten, die on-premises AD-identiteiten zijn die met de cloud worden gesynchroniseerd. Deze configuratie maakt gebruik van Microsoft Entra ID om Kerberos-tickets uit te geven voor toegang tot de bestandsshare via SMB. Dit betekent dat eindgebruikers via internet toegang hebben tot Azure-bestandsshares zonder dat hiervoor een lijn van zicht op domeincontrollers van hybride Microsoft Entra-gekoppelde en aan Microsoft Entra gekoppelde VM's is vereist. Daarnaast kunnen klanten van Azure Virtual Desktop met deze mogelijkheid een Azure-bestandsshare maken om containers voor gebruikersprofielen op te slaan waartoe hybride gebruikersidentiteiten toegang hebben.

  • AD-verificatie voor Linux-clients: verificatie voor Linux-clients wordt ondersteund via AD DS of Microsoft Entra Domain Services.

Veelvoorkomende use cases voor verificatie op basis van identiteit

Hier volgen enkele veelvoorkomende scenario's voor het gebruik van verificatie op basis van identiteiten:

  • Migreren van on-premises bestandsservers naar Azure Files: het vervangen van on-premises bestandsservers is een veelvoorkomend gebruiksscenario voor IT-transformatie voor veel klanten. Het gebruik van on-premises AD DS om een naadloze migratie naar Azure-bestanden mogelijk te maken, biedt niet alleen een goede gebruikerservaring, maar stelt gebruikers ook in staat om toegang te krijgen tot de bestandsshare en gegevens met behulp van hun huidige referenties door hun computers te koppelen aan het domein.

  • Bedrijfstoepassingen verplaatsen naar de cloud: wanneer klanten hun on-premises systeemeigen toepassingen naar de cloud verplaatsen, hoeven verificatie op basis van identiteiten met Azure Files niet meer te worden gewijzigd om uw verificatiemechanismen te wijzigen om cloudtoepassingen te ondersteunen.

  • Back-up en herstel na noodgevallen: Azure Files kan fungeren als het back-upopslagsysteem voor on-premises bestandsservers. Het configureren van de juiste verificatie helpt bij het afdwingen van toegangsbeheer tijdens scenario's voor herstel na noodgevallen.