Udostępnij za pośrednictwem


Uwierzytelnianie użytkowników końcowych za pomocą Azure Data Lake Storage Gen1 przy użyciu Tożsamość Microsoft Entra

Azure Data Lake Storage Gen1 używa Tożsamość Microsoft Entra do uwierzytelniania. Przed utworzeniem aplikacji, która współpracuje z Data Lake Storage Gen1 lub azure Data Lake Analytics, musisz zdecydować, jak uwierzytelnić aplikację przy użyciu Tożsamość Microsoft Entra. Dostępne są dwie główne opcje:

  • Uwierzytelnianie użytkownika końcowego (w tym artykule)
  • Uwierzytelnianie typu usługa-usługa (wybierz tę opcję z powyższej listy rozwijanej)

Obie te opcje powodują, że aplikacja jest dostarczana z tokenem OAuth 2.0, który jest dołączany do każdego żądania złożonego do Data Lake Storage Gen1 lub usługi Azure Data Lake Analytics.

W tym artykule omówiono sposób tworzenia aplikacji natywnej Microsoft Entra na potrzeby uwierzytelniania użytkowników końcowych. Aby uzyskać instrukcje dotyczące Microsoft Entra konfiguracji aplikacji na potrzeby uwierzytelniania typu usługa-usługa, zobacz Uwierzytelnianie typu usługa-usługa z Data Lake Storage Gen1 przy użyciu Tożsamość Microsoft Entra.

Wymagania wstępne

Uwierzytelnianie użytkowników końcowych

Ten mechanizm uwierzytelniania jest zalecanym podejściem, jeśli chcesz, aby użytkownik końcowy zalogował się do aplikacji za pośrednictwem Tożsamość Microsoft Entra. Aplikacja może następnie uzyskiwać dostęp do zasobów platformy Azure przy użyciu tego samego poziomu dostępu co użytkownik końcowy, który się zalogował. Użytkownik końcowy musi okresowo podać swoje poświadczenia, aby aplikacja mogła zachować dostęp.

Wynikiem logowania użytkownika końcowego jest to, że aplikacja otrzymuje token dostępu i token odświeżania. Token dostępu jest dołączany do każdego żądania złożonego do Data Lake Storage Gen1 lub Data Lake Analytics i jest on domyślnie ważny przez jedną godzinę. Token odświeżania może służyć do uzyskania nowego tokenu dostępu i jest on ważny domyślnie przez maksymalnie dwa tygodnie. Do logowania użytkownika końcowego można użyć dwóch różnych metod.

Korzystanie z wyskakującego okienka OAuth 2.0

Aplikacja może wyzwolić wyskakujące okienko autoryzacji OAuth 2.0, w którym użytkownik końcowy może wprowadzić swoje poświadczenia. To wyskakujące okienko działa również z procesem Microsoft Entra uwierzytelnianie dwuskładnikowe (2FA), jeśli jest to konieczne.

Uwaga

Ta metoda nie jest jeszcze obsługiwana w bibliotece uwierzytelniania Azure AD (ADAL) dla języka Python lub Java.

Bezpośrednie przekazywanie poświadczeń użytkownika

Aplikacja może bezpośrednio podać poświadczenia użytkownika do Tożsamość Microsoft Entra. Ta metoda działa tylko z kontami użytkowników o identyfikatorze organizacyjnym; nie jest zgodny z kontami użytkowników osobistych/"live ID", w tym kontami kończącymi się na @outlook.com lub @live.com. Ponadto ta metoda nie jest zgodna z kontami użytkowników, które wymagają Microsoft Entra uwierzytelniania dwuskładnikowego (2FA).

Czego potrzebuję w przypadku tego podejścia?

  • Microsoft Entra nazwa domeny. To wymaganie jest już wymienione w wymaganiach wstępnych tego artykułu.
  • Microsoft Entra identyfikator dzierżawy. To wymaganie jest już wymienione w wymaganiach wstępnych tego artykułu.
  • Tożsamość Microsoft Entra aplikacji natywnej
  • Identyfikator aplikacji dla aplikacji natywnej Microsoft Entra
  • Identyfikator URI przekierowania dla aplikacji natywnej Microsoft Entra
  • Ustaw uprawnienia delegowane.

Krok 1. Tworzenie aplikacji natywnej usługi Active Directory

Utwórz i skonfiguruj aplikację natywną Microsoft Entra na potrzeby uwierzytelniania użytkowników końcowych przy użyciu Data Lake Storage Gen1 przy użyciu Tożsamość Microsoft Entra. Aby uzyskać instrukcje, zobacz Tworzenie aplikacji Microsoft Entra.

Postępując zgodnie z instrukcjami w linku, upewnij się, że wybrano pozycję Natywna dla typu aplikacji, jak pokazano na poniższym zrzucie ekranu:

Tworzenie aplikacji internetowej Tworzenie

Krok 2. Pobieranie identyfikatora aplikacji i identyfikatora URI przekierowania

Zobacz Pobieranie identyfikatora aplikacji, aby pobrać identyfikator aplikacji.

Aby pobrać identyfikator URI przekierowania, wykonaj następujące kroki.

  1. W Azure Portal wybierz pozycję Tożsamość Microsoft Entra, wybierz pozycję Rejestracje aplikacji, a następnie znajdź i wybierz utworzoną aplikację natywną Microsoft Entra.

  2. W bloku Ustawienia aplikacji wybierz pozycję Identyfikatory URI przekierowania.

    Uzyskiwanie identyfikatora URI przekierowania

  3. Skopiuj wyświetloną wartość.

Krok 3. Ustawianie uprawnień

  1. W Azure Portal wybierz pozycję Tożsamość Microsoft Entra, wybierz pozycję Rejestracje aplikacji, a następnie znajdź i wybierz utworzoną aplikację natywną Microsoft Entra.

  2. W bloku Ustawienia aplikacji wybierz pozycję Wymagane uprawnienia, a następnie wybierz pozycję Dodaj.

    Zrzut ekranu przedstawiający blok Ustawienia z wywołaną opcją Przekierowanie U R I i blok Przekierowanie U R I z rzeczywistym wywołaniam użytkownika języka R.

  3. W bloku Dodawanie dostępu do interfejsu API wybierz pozycję Wybierz interfejs API, wybierz pozycję Azure Data Lake, a następnie wybierz pozycję Wybierz.

    Zrzut ekranu przedstawiający blok Dodawanie dostępu do interfejsu API z wywołaną opcją Wybierz interfejs API i blok Wybierz interfejs API z opcją Azure Data Lake i wybraną opcją Wybierz.

  4. W bloku Dodawanie dostępu do interfejsu API wybierz pozycję Wybierz uprawnienia, zaznacz pole wyboru, aby przyznać pełny dostęp do usługi Data Lake Store, a następnie wybierz pozycję Wybierz.

    Zrzut ekranu przedstawiający blok Dodawanie dostępu do interfejsu API z wywołaną opcją Wybierz uprawnienia i blok Włącz dostęp z opcją Zapewnianie pełnego dostępu do usługi Azure Data Lake i wybraną opcją Wybierz.

    Kliknij Gotowe.

  5. Powtórz dwa ostatnie kroki, aby udzielić uprawnień do interfejsu API usługi Windows Azure Service Management .

Następne kroki

W tym artykule utworzono aplikację natywną Microsoft Entra i zebrano informacje potrzebne w aplikacjach klienckich utworzonych przy użyciu zestawu SDK platformy .NET, zestawu Java SDK, interfejsu API REST itp. Teraz możesz przejść do następujących artykułów, które zawierają informacje na temat używania aplikacji internetowej Microsoft Entra do pierwszego uwierzytelnienia za pomocą Data Lake Storage Gen1, a następnie wykonywania innych operacji w sklepie.