Co to jest sygnatura dostępu współdzielonego (SAS)? (wersja zapoznawcza)
Sygnatura dostępu współdzielonego (SAS) usługi OneLake zapewnia bezpieczny, krótkoterminowy i delegowany dostęp do zasobów w usłudze OneLake. Dzięki sygnaturze dostępu współdzielonego OneLake masz szczegółową kontrolę nad sposobem uzyskiwania dostępu do danych przez klienta. Na przykład:
- Do jakich zasobów może uzyskiwać dostęp klient.
- Jakie uprawnienia mają do zasobów.
- Jak długo sygnatura dostępu współdzielonego jest prawidłowa.
Każda sygnatura dostępu współdzielonego usługi OneLake (i klucz delegowania użytkownika) jest zawsze wspierana przez tożsamość entra firmy Microsoft, ma maksymalny okres istnienia wynoszący 1 godzinę i może udzielać dostępu tylko do folderów i plików w elemencie danych, takich jak lakehouse.
Ważne
Ta funkcja jest dostępna w wersji zapoznawczej.
Jak działa sygnatura dostępu współdzielonego
Sygnatura dostępu współdzielonego to token dołączany do identyfikatora URI zasobu OneLake. Token zawiera specjalny zestaw parametrów zapytania, które wskazują, jak klient może uzyskać dostęp do zasobu. Jednym z parametrów zapytania jest podpis. Jest on skonstruowany na podstawie parametrów sygnatury dostępu współdzielonego i podpisany przy użyciu klucza użytego do utworzenia sygnatury dostępu współdzielonego. Usługa OneLake używa tego podpisu do autoryzowania dostępu do folderu lub pliku w usłudze OneLake. Usługa OneLake SAS używa tego samego formatu i właściwości co delegowana przez użytkownika sygnatura dostępu współdzielonego usługi Azure Storage, ale z większą ograniczeniami zabezpieczeń dotyczącymi ich okresu istnienia i zakresu.
Sygnatura dostępu współdzielonego usługi OneLake jest podpisana przy użyciu klucza delegowania użytkownika (UDK), który jest wspierany przez poświadczenie firmy Microsoft Entra. Klucz delegowania użytkownika można zażądać za pomocą operacji Pobierz klucz delegowania użytkownika. Następnie użyjesz tego klucza (mimo że jest on nadal prawidłowy), aby skompilować sygnaturę dostępu współdzielonego OneLake. Uprawnienia tego konta Microsoft Entra wraz z uprawnieniami jawnie udzielonymi sygnaturom dostępu współdzielonego określają dostęp klienta do zasobu.
Autoryzowanie sygnatury dostępu współdzielonego usługi OneLake
Gdy klient lub aplikacja uzyskuje dostęp do usługi OneLake przy użyciu sygnatury dostępu współdzielonego Usługi OneLake, żądanie jest autoryzowane przy użyciu poświadczeń usługi Microsoft Entra, które zażądały klucza zdefiniowanego przez użytkownika użytego do utworzenia sygnatury dostępu współdzielonego. W związku z tym wszystkie uprawnienia usługi OneLake przyznane tej tożsamości microsoft Entra mają zastosowanie do sygnatury dostępu współdzielonego, co oznacza, że sygnatura dostępu współdzielonego nigdy nie może przekraczać uprawnień użytkownika, który go tworzy. Ponadto podczas tworzenia sygnatury dostępu współdzielonego jawnie udzielasz uprawnień, co pozwala na zapewnienie jeszcze większej liczby uprawnień do sygnatury dostępu współdzielonego. Między tożsamością firmy Microsoft Entra, jawnie udzielonymi uprawnieniami i krótkim okresem istnienia usługa OneLake jest zgodna z najlepszymi rozwiązaniami w zakresie zabezpieczeń zapewniającymi delegowany dostęp do danych.
Kiedy używać sygnatury dostępu współdzielonego usługi OneLake
Usługa OneLake SAS deleguje bezpieczny i tymczasowy dostęp do usługi OneLake, wspieranej przez tożsamość firmy Microsoft Entra. Aplikacje bez natywnej pomocy technicznej firmy Microsoft Entra mogą korzystać z sygnatury dostępu współdzielonego OneLake w celu uzyskania tymczasowego dostępu do ładowania danych bez skomplikowanej konfiguracji i pracy integracji.
Usługa OneLake SASs obsługuje również aplikacje obsługujące serwery proxy między użytkownikami i ich danymi. Na przykład niektórzy niezależni dostawcy oprogramowania (ISV) działają między użytkownikami a obszarem roboczym sieci szkieletowej, zapewniając dodatkowe funkcje i prawdopodobnie inny model uwierzytelniania. Delegowanie dostępu przy użyciu sygnatury dostępu współdzielonego usługi OneLake umożliwia dostawcom oprogramowania zarządzanego dostęp do danych źródłowych i zapewnienie bezpośredniego dostępu do danych, nawet jeśli ich użytkownicy nie mają tożsamości firmy Microsoft Entra.
Zarządzanie sygnaturą dostępu współdzielonego usługi OneLake
Dwa ustawienia w dzierżawie usługi Fabric zarządzają użyciem usługi OneLake SASs. Pierwszym z nich jest ustawienie na poziomie dzierżawy, Użyj krótkoterminowych tokenów SAS delegowanych przez użytkownika, które zarządza generowaniem kluczy delegowania użytkownika. Ponieważ klucze delegowania użytkownika są generowane na poziomie dzierżawy, są one kontrolowane przez ustawienie dzierżawy. To ustawienie jest domyślnie włączone, ponieważ te klucze delegowania użytkownika mają równoważne uprawnienia do żądania tożsamości firmy Microsoft i są zawsze krótkotrwałe.
Uwaga
Wyłączenie tej funkcji uniemożliwi wszystkim obszarom roboczym korzystanie z usługi OneLake SAS, ponieważ wszyscy użytkownicy nie będą mogli wygenerować kluczy delegowania użytkownika.
Drugie ustawienie to ustawienie delegowanego obszaru roboczego Uwierzytelnij się przy użyciu tokenów SAS delegowanych przez użytkownika usługi OneLake, które kontroluje, czy obszar roboczy akceptuje sygnaturę dostępu współdzielonego usługi OneLake. To ustawienie jest domyślnie wyłączone i może być włączone przez administratora obszaru roboczego, który chce zezwolić na uwierzytelnianie za pomocą sygnatury dostępu współdzielonego OneLake w swoim obszarze roboczym. Administrator dzierżawy może włączyć to ustawienie dla wszystkich obszarów roboczych za pośrednictwem ustawienia dzierżawy lub pozostawić je administratorom obszaru roboczego, aby włączyć.
Możesz również monitorować tworzenie kluczy delegowania użytkownika za pośrednictwem portal zgodności Microsoft Purview. Możesz wyszukać nazwę operacji generateonelakeudk , aby wyświetlić wszystkie klucze wygenerowane w dzierżawie. Ponieważ tworzenie sygnatury dostępu współdzielonego jest operacją po stronie klienta, nie można monitorować ani ograniczać tworzenia sygnatury dostępu współdzielonego usługi OneLake, tylko generowania klucza zdefiniowanego przez użytkownika.
Najlepsze rozwiązania dotyczące sygnatury dostępu współdzielonego usługi OneLake
- Zawsze używaj protokołu HTTPS do tworzenia lub dystrybuowania sygnatury dostępu współdzielonego w celu ochrony przed atakami typu man-in-the-middle, które próbują przechwycić sygnaturę dostępu współdzielonego.
- Śledzenie czasu wygaśnięcia tokenu, klucza i sygnatury dostępu współdzielonego. Klucze delegowania użytkownika usługi OneLake i usługi SAS mają maksymalny okres istnienia 1 godziny. Próba zażądania klucza zdefiniowanego przez użytkownika lub skompilowania sygnatury dostępu współdzielonego z okresem istnienia dłuższym niż 1 godzina powoduje niepowodzenie żądania. Aby zapobiec użyciu sygnatury dostępu współdzielonego w celu przedłużenia okresu istnienia wygasających tokenów OAuth, okres istnienia tokenu musi być również dłuższy niż czas wygaśnięcia klucza delegowania użytkownika i sygnatury dostępu współdzielonego.
- Zachowaj ostrożność przy użyciu czasu rozpoczęcia sygnatury dostępu współdzielonego. Ustawienie czasu rozpoczęcia sygnatury dostępu współdzielonego jako bieżącego czasu może spowodować błędy w ciągu pierwszych kilku minut ze względu na różne czasy uruchamiania między maszynami (niesymetryczność zegara). Ustawienie czasu rozpoczęcia na kilka minut w przeszłości pomaga chronić przed tymi błędami.
- Przyznaj najmniejsze możliwe uprawnienia do sygnatury dostępu współdzielonego. Zapewnienie minimalnych wymaganych uprawnień do najmniejszych możliwych zasobów jest najlepszym rozwiązaniem w zakresie zabezpieczeń i zmniejsza wpływ w przypadku naruszenia zabezpieczeń sygnatury dostępu współdzielonego.
- Monitorowanie generowania kluczy delegowania użytkownika. Możesz przeprowadzić inspekcję tworzenia kluczy delegowania użytkownika w portal zgodności Microsoft Purview. Wyszukaj nazwę operacji "generateonelakeudk", aby wyświetlić klucze wygenerowane w dzierżawie.
- Zapoznaj się z ograniczeniami usługi OneLake SASs. Ponieważ usługi SAS usługi OneLake nie mogą mieć uprawnień na poziomie obszaru roboczego, nie są one zgodne z niektórymi narzędziami usługi Azure Storage, które oczekują uprawnień na poziomie kontenera do przechodzenia danych, takich jak Eksplorator usługi Azure Storage.