Uwierzytelnianie na potrzeby analizy w skali chmury na platformie Azure
Uwierzytelnianie to proces weryfikowania tożsamości użytkownika lub aplikacji. Zalecamy używanie dostawcy tożsamości z jednym źródłem do obsługi zarządzania tożsamościami i uwierzytelniania. Ten dostawca jest znany jako usługa katalogowa . Udostępnia ona sposoby przechowywania danych katalogu i udostępnia te dane użytkownikom sieci i administratorom.
Każde rozwiązanie data lake powinno używać i integrować się z istniejącą usługą katalogową. W przypadku większości organizacji usługa katalogowa dla wszystkich usług związanych z tożsamościami to Microsoft Entra ID. Jest to podstawowa i scentralizowana baza danych dla wszystkich kont usług i użytkowników.
W chmurze identyfikator Entra firmy Microsoft jest scentralizowanym dostawcą tożsamości i preferowanym źródłem zarządzania tożsamościami. Delegowanie uwierzytelniania i autoryzacji do identyfikatora Entra firmy Microsoft w celu korzystania z funkcji, takich jak zasady dostępu warunkowego, które wymagają, aby użytkownik był w określonej lokalizacji. Identyfikator entra firmy Microsoft obsługuje również uwierzytelnianie wieloskładnikowe, co zwiększa poziom zabezpieczeń dostępu. Usługi danych należy skonfigurować, integrując identyfikator Entra firmy Microsoft zawsze, gdy jest to możliwe.
Jeśli usługi danych nie obsługują identyfikatora Entra firmy Microsoft, należy przeprowadzić uwierzytelnianie przy użyciu klucza dostępu lub tokenu. Klucz dostępu należy przechowywać w magazynie zarządzania kluczami, takim jak usługa Azure Key Vault.
Scenariusze uwierzytelniania dla analizy w skali chmury to:
- Uwierzytelnianie użytkownika. W tym scenariuszu identyfikator Entra firmy Microsoft uwierzytelnia użytkowników przy użyciu poświadczeń.
- Uwierzytelnianie typu usługa-usługa. W tym scenariuszu zasoby platformy Azure uwierzytelniają usługi przy użyciu tożsamości zarządzanych, którymi platforma Azure automatycznie zarządza.
- Uwierzytelnianie aplikacji do usługi. W tym scenariuszu aplikacje uwierzytelniają usługi przy użyciu podmiotów usługi.
Scenariusze uwierzytelniania
W poniższych sekcjach opisano poszczególne scenariusze uwierzytelniania: uwierzytelnianie użytkowników, uwierzytelnianie między usługami i uwierzytelnianie między aplikacjami.
Uwierzytelnianie użytkownika
Użytkownicy, którzy łączą się z usługą danych lub zasobem, muszą przedstawić poświadczenia. To poświadczenie potwierdza, że użytkownicy są tym, którzy twierdzą, że są. Następnie mogą uzyskać dostęp do usługi lub zasobu. Uwierzytelnianie umożliwia również usłudze poznanie tożsamości użytkowników. Usługa decyduje, co użytkownik może zobaczyć i zrobić po zweryfikowaniu tożsamości.
Usługi Azure Data Lake Storage, Azure SQL Database, Azure Synapse Analytics i Azure Databricks obsługują integrację identyfikatorów Entra firmy Microsoft. Tryb uwierzytelniania interakcyjnego użytkownika wymaga od użytkowników podania poświadczeń w oknie dialogowym.
Ważne
Nie umieszczaj twardych poświadczeń użytkownika w aplikacji na potrzeby uwierzytelniania.
Uwierzytelnianie między usługami
Gdy usługa uzyskuje dostęp do innej usługi bez interakcji z człowiekiem, musi przedstawić prawidłową tożsamość. Ta tożsamość potwierdza autentyczność usługi i umożliwia jej określenie, jakie działania są dozwolone.
W scenariuszach uwierzytelniania między usługami zalecamy używanie tożsamości zarządzanych do uwierzytelniania usług platformy Azure. Tożsamości zarządzane dla zasobów platformy Azure umożliwiają uwierzytelnianie w dowolnej usłudze obsługującej uwierzytelnianie firmy Microsoft Entra bez żadnych jawnych poświadczeń. Aby uzyskać więcej informacji, zobacz Co to są tożsamości zarządzane dla zasobów platformy Azure.
Tożsamości zarządzane to jednostki usługi, których można używać tylko z zasobami platformy Azure. Można na przykład utworzyć tożsamość zarządzaną dla wystąpienia Azure Data Factory. Microsoft Entra ID rejestruje tę tożsamość zarządzaną jako obiekt, który reprezentuje instancję Data Factory. Następnie możesz użyć tej tożsamości do uwierzytelniania w dowolnej usłudze, takiej jak Data Lake Storage, bez żadnych poświadczeń w kodzie. Platforma Azure zarządza poświadczeniami używanymi przez wystąpienie usługi. Tożsamość może uwierzytelniać zasoby usługi platformy Azure, takie jak folder w usłudze Data Lake Storage. Po usunięciu usługi Data Factory platforma Azure usuwa tożsamość w usłudze Microsoft Entra ID.
Zalety korzystania z tożsamości zarządzanych
Użyj tożsamości zarządzanych, aby uwierzytelnić usługę platformy Azure w innej usłudze lub zasobie platformy Azure. Tożsamości zarządzane zapewniają następujące korzyści:
- Tożsamość zarządzana reprezentuje usługę, dla której została utworzona. Nie reprezentuje użytkownika interakcyjnego.
- Poświadczenia tożsamości zarządzanej są przechowywane, zarządzane i przechowywane w identyfikatorze Entra firmy Microsoft. Nie ma hasła do przechowywania przez użytkownika.
- W przypadku korzystania z tożsamości zarządzanych usługi klienckie nie używają haseł.
- Tożsamość zarządzana przypisana przez system jest usuwana po usunięciu wystąpienia usługi.
Te korzyści oznaczają, że poświadczenia są lepiej chronione, a ryzyko naruszenia bezpieczeństwa jest mniejsze.
Uwierzytelnianie aplikacji do usługi
Inny scenariusz dostępu polega na tym, że aplikacja, taka jak aplikacja mobilna lub internetowa, uzyskuje dostęp do usługi platformy Azure. Aplikacja musi przedstawić swoją tożsamość, która musi zostać zweryfikowana.
Jednostka usługi platformy Azure to alternatywna opcja dla aplikacji i usług, które nie obsługują tożsamości zarządzanych do uwierzytelniania w zasobach platformy Azure. Jednostka usługi to tożsamość utworzona specjalnie dla aplikacji, usług hostowanych i zautomatyzowanych narzędzi umożliwiających dostęp do zasobów platformy Azure. Role przypisane do obiektu usługi kontrolują jego dostęp. Ze względów bezpieczeństwa zalecamy używanie jednostek usługi z zautomatyzowanymi narzędziami lub aplikacjami zamiast umożliwiać im logowanie się przy użyciu tożsamości użytkownika. Aby uzyskać więcej informacji, zobacz Application and service principal objects in Microsoft Entra ID (Obiekty aplikacji i jednostki usługi w usłudze Microsoft Entra ID).
Różnice między tożsamościami zarządzanymi i jednostkami usługi
| Jednostka usługi | Tożsamość zarządzana |
|---|---|
| Tożsamość zabezpieczeń utworzona ręcznie w usłudze Microsoft Entra ID dla aplikacji, usług i narzędzi, które muszą uzyskiwać dostęp do określonych zasobów platformy Azure. | Specjalny typ jednostki usługi. Jest to automatyczna tożsamość utworzona podczas tworzenia usługi platformy Azure. |
| Używana przez dowolną aplikację lub usługę i nie jest powiązana z określoną usługą platformy Azure. | Reprezentuje samo wystąpienie usługi platformy Azure. Nie można jej użyć do reprezentowania innych usług platformy Azure. |
| Ma niezależny cykl życia. Należy je jawnie usunąć. | Jest usuwany automatycznie po usunięciu wystąpienia usługi platformy Azure. |
| Uwierzytelnianie oparte na hasłach lub oparte na certyfikatach. | Do uwierzytelniania nie trzeba podawać jawnego hasła. |
Uwaga
Zarówno tożsamości zarządzane, jak i jednostki usługi są tworzone i obsługiwane tylko w identyfikatorze Entra firmy Microsoft.
Najlepsze rozwiązania dotyczące uwierzytelniania w analizie w skali chmury
W analizie w skali chmury najważniejsze jest zaimplementowanie niezawodnych i bezpiecznych praktyk uwierzytelniania. Najlepsze rozwiązania dotyczące uwierzytelniania dotyczą różnych warstw rozwiązania, w tym baz danych, magazynu i usług analitycznych. Korzystając z identyfikatora Entra firmy Microsoft, organizacje mogą zwiększyć bezpieczeństwo przy użyciu funkcji, takich jak uwierzytelnianie wieloskładnikowe i zasady dostępu warunkowego.
| Warstwa | Usługa | Zalecenie |
|---|---|---|
| Baz danych | — SQL Database - Zarządzana instancja SQL — Azure Synapse Analytics — Azure Database for MySQL — Azure Database for PostgreSQL |
Użyj identyfikatora Entra firmy Microsoft do uwierzytelniania z bazami danych, takimi jak Azure Database for PostgreSQL, Azure SQLi Azure Database for MySQL. |
| Składowanie | Data Lake Storage | Użyj identyfikatora Entra firmy Microsoft do uwierzytelniania dla podmiotów zabezpieczeń, takich jak użytkownik, grupa i jednostki usługi lub tożsamości zarządzane, z usługą Data Lake Storage zamiast kluczem udostępnionym lub sygnaturami dostępu współdzielonego. Takie podejście pomaga zwiększyć bezpieczeństwo, ponieważ obsługuje uwierzytelnianie wieloskładnikowe i zasady dostępu warunkowego. |
| Składowanie | Usługa Data Lake Storage z usługi Azure Databricks | Nawiąż połączenie z usługą Data Lake Storage przy użyciu usługi Unity Catalog zamiast bezpośredniego dostępu na poziomie magazynu, tworząc poświadczenie magazynu korzystające z tożsamości zarządzanej i lokalizacji zewnętrznej . |
| Analityka | Azure Databricks | Użyj systemu do zarządzania tożsamościami między domenami, aby zsynchronizować użytkowników i grupy z identyfikatora Entra firmy Microsoft. Aby uzyskać dostęp do zasobów usługi Azure Databricks przy użyciu interfejsów API REST, użyj protokołu OAuth z jednostką usługi Azure Databricks. |
Ważne
Zapewnienie użytkownikom usługi Azure Databricks bezpośredniego dostępu na poziomie magazynu do usługi Data Lake Storage pomija uprawnienia, inspekcje i funkcje zabezpieczeń Unity Catalog, w tym kontrolę dostępu i monitorowanie. Aby lepiej zabezpieczyć dane i nimi zarządzać, Unity Catalog powinien zarządzać dostępem do danych przechowywanych w usłudze Data Lake Storage dla użytkowników obszaru roboczego Azure Databricks.
Następny krok
Autoryzacja na potrzeby analizy w skali chmury na platformie Azure