Uwierzytelnianie na potrzeby analizy w skali chmury na platformie Azure
Uwierzytelnianie to proces weryfikowania tożsamości użytkownika lub aplikacji. Preferowany jest jeden źródłowy dostawca tożsamości, który obsługuje zarządzanie tożsamościami i uwierzytelnianie. Ten dostawca jest znany jako usługa katalogowa. Udostępnia metody przechowywania danych katalogu i udostępniania tych danych użytkownikom sieci i administratorom.
Każde rozwiązanie data lake powinno używać i integrować się z istniejącą usługą katalogową. W przypadku większości organizacji usługa katalogowa dla wszystkich usług związanych z tożsamościami jest usługą Active Directory. Jest to podstawowa i scentralizowana baza danych dla wszystkich kont usług i użytkowników.
W chmurze identyfikator Entra firmy Microsoft jest scentralizowanym dostawcą tożsamości i preferowanym źródłem zarządzania tożsamościami. Delegowanie uwierzytelniania i autoryzacji do identyfikatora Entra firmy Microsoft umożliwia scenariusze, takie jak zasady dostępu warunkowego, które wymagają od użytkownika bycia w określonej lokalizacji. Obsługuje uwierzytelnianie wieloskładnikowe w celu zwiększenia poziomu zabezpieczeń dostępu. Usługi danych powinny być konfigurowane przy użyciu integracji z identyfikatorem Entra firmy Microsoft, jeśli jest to możliwe.
W przypadku usług danych, które nie obsługują identyfikatora Entra firmy Microsoft, należy przeprowadzić uwierzytelnianie przy użyciu klucza dostępu lub tokenu. Klucz dostępu należy przechowywać w magazynie zarządzania kluczami, takim jak usługa Azure Key Vault.
Scenariusze uwierzytelniania dla analizy w skali chmury to:
- Uwierzytelnianie użytkowników: użytkownicy uwierzytelniają się za pośrednictwem identyfikatora Entra firmy Microsoft przy użyciu swoich poświadczeń.
- uwierzytelnianie typu aplikacja-usługa: aplikacje uwierzytelniają się przy użyciu jednostek usługi.
- uwierzytelnianie między usługami: zasoby platformy Azure uwierzytelniają się przy użyciu tożsamości zarządzanych, które są automatycznie zarządzane przez platformę Azure.
Scenariusze uwierzytelniania
Uwierzytelnianie użytkownika
Użytkownicy, którzy łączą się z usługą danych lub zasobem, muszą przedstawić poświadczenia. To poświadczenie potwierdza, że użytkownicy są tym, którzy twierdzą, że są. Następnie mogą uzyskać dostęp do usługi lub zasobu. Uwierzytelnianie umożliwia również usłudze poznanie tożsamości użytkowników. Usługa decyduje, co użytkownik może zobaczyć i zrobić po zweryfikowaniu tożsamości.
Usługa Azure Data Lake Storage Gen2, Azure SQL Database, Azure Synapse Analytics i Azure Databricks obsługują integrację identyfikatorów Entra firmy Microsoft. Tryb uwierzytelniania interakcyjnego użytkownika wymaga od użytkowników podania poświadczeń w oknie dialogowym.
Ważne
Nie umieszczaj twardych poświadczeń użytkownika w aplikacji na potrzeby uwierzytelniania.
Uwierzytelnianie między usługami
Nawet jeśli usługa uzyskuje dostęp do innej usługi bez interakcji z człowiekiem, musi przedstawić prawidłową tożsamość. Ta tożsamość potwierdza autentyczność usługi, umożliwiając dostępnej usłudze określenie dozwolonych działań.
W przypadku uwierzytelniania między usługami preferowaną metodą uwierzytelniania usług platformy Azure jest tożsamości zarządzanych. Tożsamości zarządzane dla zasobów platformy Azure umożliwiają uwierzytelnianie w dowolnej usłudze obsługującej uwierzytelnianie firmy Microsoft Entra bez żadnych jawnych poświadczeń. Aby uzyskać więcej informacji, zobacz Co to są tożsamości zarządzane dla zasobów platformy Azure.
Tożsamości zarządzane to jednostki usługi, których można używać tylko z zasobami platformy Azure. Na przykład tożsamość zarządzana można utworzyć bezpośrednio dla wystąpienia usługi Azure Data Factory. Ta tożsamość zarządzana, zarejestrowana jako obiekt w Microsoft Entra ID, reprezentuje instancję Data Factory. Ta tożsamość może następnie służyć do uwierzytelniania w dowolnej usłudze, takiej jak Data Lake Storage, bez żadnych poświadczeń w kodzie. Platforma Azure zajmuje się poświadczeniami używanymi przez wystąpienie usługi. Tożsamość może udzielić autoryzacji do zasobów usługi platformy Azure, takich jak folder w usłudze Azure Data Lake Storage. Po usunięciu tego wystąpienia usługi Data Factory platforma Azure czyści tożsamość w identyfikatorze Entra firmy Microsoft.
Zalety korzystania z tożsamości zarządzanych
Tożsamości zarządzane powinny służyć do uwierzytelniania usługi platformy Azure w innej usłudze lub zasobie platformy Azure. Zapewniają one następujące korzyści:
- Tożsamość zarządzana reprezentuje usługę, dla której została utworzona. Nie reprezentuje użytkownika interakcyjnego.
- Poświadczenia tożsamości zarządzanej są przechowywane, zarządzane i przechowywane w identyfikatorze Entra firmy Microsoft. Nie ma hasła do przechowywania przez użytkownika.
- W przypadku tożsamości zarządzanych usługi klienckie nie używają haseł.
- Tożsamość zarządzana przypisana przez system jest usuwana po usunięciu wystąpienia usługi.
Te korzyści oznaczają, że poświadczenie jest lepiej chronione, a naruszenie zabezpieczeń jest mniej prawdopodobne.
Uwierzytelnianie aplikacji do usługi
Inny scenariusz dostępu obejmuje aplikację, taką jak aplikacja mobilna lub internetowa, która uzyskuje dostęp do usługi platformy Azure. Aplikacja musi przedstawić swoją tożsamość, która musi zostać zweryfikowana.
Jednostka usługi Azure jest alternatywą dla aplikacji i usług, które nie obsługują zarządzanych tożsamości do uwierzytelniania do zasobów platformy Azure. Jest to tożsamość utworzona specjalnie dla aplikacji, hostowanych usług i zautomatyzowanych narzędzi do uzyskiwania dostępu do zasobów platformy Azure. Role przypisane do obiektu usługi kontrolują jego dostęp. Ze względów bezpieczeństwa zaleca się używanie jednostek usługi z zautomatyzowanymi narzędziami lub aplikacjami, zamiast zezwalać im na logowanie się przy użyciu tożsamości użytkownika. Aby uzyskać więcej informacji, zobacz Application and service principal objects in Microsoft Entra ID (Obiekty aplikacji i jednostki usługi w usłudze Microsoft Entra ID).
Różnica między tożsamością zarządzaną a jednostką usługi
| Jednostka usługi | Tożsamość zarządzana |
|---|---|
| Tożsamość zabezpieczeń utworzona ręcznie w identyfikatorze Entra firmy Microsoft do użycia przez aplikacje, usługi i narzędzia w celu uzyskania dostępu do określonych zasobów platformy Azure. | Specjalny typ jednostki usługi. Jest to automatyczna tożsamość tworzona podczas tworzenia usługi platformy Azure. |
| Używana przez dowolną aplikację lub usługę i nie jest powiązana z określoną usługą platformy Azure. | Reprezentuje samo wystąpienie usługi platformy Azure. Nie można jej użyć do reprezentowania innych usług platformy Azure. |
| Ma niezależny cykl życia. Należy je jawnie usunąć. | Jest usuwany automatycznie po usunięciu wystąpienia usługi platformy Azure. |
| Uwierzytelnianie oparte na hasłach lub oparte na certyfikatach. | Nie podano jawnego hasła do uwierzytelniania. |
Uwaga
Zarówno tożsamości zarządzane, jak i jednostki usługi są tworzone i obsługiwane tylko w identyfikatorze Entra firmy Microsoft.
Najlepsze rozwiązania dotyczące uwierzytelniania w analizie w skali chmury
W analizie w skali chmury najważniejsze jest zapewnienie niezawodnych i bezpiecznych praktyk uwierzytelniania. Najlepsze praktyki uwierzytelniania w różnych warstwach, w tym w bazach danych, przechowywaniu i usługach analitycznych. Korzystając z identyfikatora Entra firmy Microsoft, organizacje mogą zwiększyć bezpieczeństwo dzięki funkcjom, takim jak uwierzytelnianie wieloskładnikowe (MFA) i zasady dostępu warunkowego.
| Warstwa | Usługa | Zalecenia |
|---|---|---|
| Baz danych | Azure SQL DB, SQL MI, Synapse, MySQL, PostgreSQL itp. | Użyj identyfikatora Entra firmy Microsoft do uwierzytelniania z bazami danych, takimi jak PostgreSQL, Azure SQLi MySQL. |
| Składowanie | Azure Data Lake Storage (ADLS) | Użyj identyfikatora Entra firmy Microsoft do uwierzytelniania dla podmiotów zabezpieczeń (użytkownika, grupy, jednostki usługi lub tożsamości zarządzanej) z usługą ADLS za pośrednictwem klucza współużytkowanego lub sygnatury dostępu współdzielonego, ponieważ umożliwia zwiększenie zabezpieczeń dzięki obsłudze uwierzytelniania wieloskładnikowego (MFA) i zasad dostępu warunkowego. |
| Magazynowanie | Usługa ADLS z Azure Databricks | Połącz się z ADLS przy użyciu katalogu Unity zamiast bezpośredniego dostępu na poziomie magazynu, tworząc poświadczenie magazynu przy użyciu tożsamości zarządzanej i lokalizacji zewnętrznej . |
| Analityka | Azure Databricks | Użyj SCIM, aby synchronizować użytkowników i grupy z Microsoft Entra ID. Aby uzyskać dostęp do zasobów usługi Databricks przy użyciu interfejsów API REST, należy użyć protokołu OAuth z głównym przedstawicielem usługi Databricks. |
Ważne
Zezwalanie użytkownikom Azure Databricks na bezpośredni dostęp do pamięci ADLS pomija uprawnienia, inspekcje i funkcje zabezpieczeń Unity Catalog, w tym kontrolę dostępu i monitorowanie. Aby w pełni zabezpieczyć i zarządzać danymi, dostęp do danych przechowywanych w usłudze ADLS dla użytkowników obszaru roboczego Azure Databricks powinien być zarządzany za pośrednictwem wykazu Unity Catalog.
Następne kroki
Autoryzacja na potrzeby analizy w skali chmury na platformie Azure