Udostępnij za pośrednictwem

Uwierzytelnianie użytkownika końcowego za pomocą usługi Azure Data Lake Storage Gen1 przy użyciu identyfikatora Entra firmy Microsoft

  • Artykuł

Usługa Azure Data Lake Storage Gen1 używa identyfikatora Entra firmy Microsoft do uwierzytelniania. Przed utworzeniem aplikacji, która współpracuje z usługą Data Lake Storage Gen1 lub Azure Data Lake Analytics, musisz zdecydować, jak uwierzytelniać aplikację przy użyciu identyfikatora Entra firmy Microsoft. Dostępne są dwie główne opcje:

  • Uwierzytelnianie użytkownika końcowego (ten artykuł)
  • Uwierzytelnianie typu usługa-usługa (wybierz tę opcję z powyższej listy rozwijanej)

Obie te opcje powodują udostępnienie aplikacji tokenu OAuth 2.0, który jest dołączany do każdego żądania skierowanego do usługi Data Lake Storage Gen1 lub Azure Data Lake Analytics.

W tym artykule omówiono sposób tworzenia aplikacji natywnej firmy Microsoft entra na potrzeby uwierzytelniania użytkowników końcowych. Aby uzyskać instrukcje dotyczące konfiguracji aplikacji Microsoft Entra na potrzeby uwierzytelniania typu usługa-usługa, zobacz Uwierzytelnianie usługa-usługa za pomocą Data Lake Storage Gen1 przy użyciu Microsoft Entra ID.

Wymagania wstępne

  • Subskrypcja platformy Azure. Zobacz Uzyskiwanie bezpłatnej wersji próbnej platformy Azure.

  • Identyfikator subskrypcji. Możesz pobrać go z witryny Azure Portal. Na przykład, jest dostępna w panelu konta usługi Data Lake Storage Gen1.

    Uzyskiwanie identyfikatora subskrypcji

  • Twoja nazwa domeny Microsoft Entra. Możesz go pobrać, umieszczając wskaźnik myszy w prawym górnym rogu witryny Azure Portal. Na poniższym zrzucie ekranu nazwa domeny jest contoso.onmicrosoft.com, a identyfikator GUID w nawiasach jest identyfikatorem dzierżawy.

    Uzyskiwanie domeny Entra firmy Microsoft

  • Identyfikator dzierżawy platformy Azure. Aby uzyskać instrukcje dotyczące pobierania identyfikatora dzierżawy, zobacz Pobieranie identyfikatora dzierżawy.

Uwierzytelnianie użytkowników końcowych

Ten mechanizm uwierzytelniania jest zalecanym podejściem, jeśli chcesz, aby użytkownik końcowy zalogował się do aplikacji za pośrednictwem identyfikatora Entra firmy Microsoft. Aplikacja może następnie uzyskiwać dostęp do zasobów platformy Azure przy użyciu tego samego poziomu dostępu co użytkownik końcowy, który się zalogował. Użytkownik końcowy musi okresowo podać swoje poświadczenia, aby aplikacja mogła zachować dostęp.

Wynikiem logowania użytkownika końcowego jest to, że aplikacja otrzymuje token dostępu i token odświeżania. Token dostępu jest dołączany do każdego żądania skierowanego do usługi Data Lake Storage Gen1 lub Data Lake Analytics i jest on domyślnie ważny przez jedną godzinę. Token odświeżania może służyć do uzyskania nowego tokenu dostępu i domyślnie jest ważny przez maksymalnie dwa tygodnie. Możesz użyć dwóch różnych metod logowania użytkownika końcowego.

Korzystanie z wyskakującego okienka OAuth 2.0

Aplikacja może wyzwolić wyskakujące okienko autoryzacji OAuth 2.0, w którym użytkownik końcowy może wprowadzić swoje poświadczenia. To wyskakujące okienko współdziała również z procesem dwuskładnikowego uwierzytelniania Microsoft Entra (2FA), gdy jest to konieczne.

Uwaga

Ta metoda nie jest jeszcze obsługiwana w bibliotece Azure AD Authentication Library (ADAL) dla języka Python lub Java.

Bezpośrednie przekazywanie poświadczeń użytkownika

Aplikacja może bezpośrednio podać poświadczenia użytkownika do Microsoft Entra ID. Ta metoda działa tylko z kontami użytkowników identyfikatora organizacyjnego; nie jest zgodny z kontami użytkowników osobistych/"live ID", w tym kontami kończącymi się na @outlook.com lub @live.com. Ponadto ta metoda nie jest zgodna z kontami użytkowników, które wymagają uwierzytelniania dwuskładnikowego firmy Microsoft (2FA).

Czego potrzebuję w przypadku tego podejścia?

  • Nazwa domeny Entra firmy Microsoft. To wymaganie jest już wymienione w wymaganiach wstępnych tego artykułu.
  • Identyfikator najemcy Microsoft Entra. To wymaganie jest już wymienione w wymaganiach wstępnych tego artykułu.
  • Aplikacja natywna Microsoft Entra ID
  • Identyfikator aplikacji dla aplikacji natywnej firmy Microsoft Entra
  • Identyfikator URI przekierowania dla aplikacji natywnej Microsoft Entra
  • Ustaw uprawnienia delegowane.

Krok 1. Tworzenie aplikacji natywnej usługi Active Directory

Tworzenie i konfigurowanie aplikacji natywnej firmy Microsoft na potrzeby uwierzytelniania użytkowników końcowych za pomocą usługi Data Lake Storage Gen1 przy użyciu identyfikatora Entra firmy Microsoft. Aby uzyskać instrukcje, zobacz Tworzenie aplikacji firmy Microsoft Entra.

Postępując zgodnie z instrukcjami w linku, upewnij się, że wybrano opcję Natywna dla typu aplikacji, jak pokazano na poniższym zrzucie ekranu:

Tworzenie aplikacji internetowej

Krok 2. Pobieranie identyfikatora aplikacji i identyfikatora URI przekierowania

Zobacz ID aplikacji, aby pobrać identyfikator aplikacji.

Aby pobrać identyfikator URI przekierowania, wykonaj następujące kroki.

  1. W witrynie Azure Portal wybierz pozycję Microsoft Entra ID, wybierz pozycję Rejestracje aplikacji, a następnie znajdź i wybierz utworzoną aplikację natywną firmy Microsoft Entra.

  2. W bloku Ustawienia aplikacji wybierz pozycję URI przekierowania.

    Pobierz adres przekierowania

  3. Skopiuj wyświetloną wartość.

Krok 3. Ustawianie uprawnień

  1. W witrynie Azure Portal wybierz pozycję Microsoft Entra ID, wybierz pozycję Rejestracje aplikacji, a następnie znajdź i wybierz utworzoną aplikację natywną firmy Microsoft Entra.

  2. W bloku Ustawienia aplikacji wybierz pozycję Wymagane uprawnienia, a następnie wybierz pozycję Dodaj.

    Zrzut ekranu przedstawiający blok Ustawienia z zaznaczoną opcją Przekierowanie URI i blok Przekierowanie URI z zaznaczonym rzeczywistym URI.

  3. W oknie Dodaj dostęp do interfejsu API wybierz pozycję Wybierz interfejs API, wybierz Azure Data Lake, a następnie wybierz pozycję Wybierz.

    Zrzut ekranu przedstawiający panel Dodaj dostęp do interfejsu API z zaznaczoną opcją Wybierz interfejs API oraz panel Wybierz interfejs API z opcją Azure Data Lake i zaznaczoną opcją Wybierz.

  4. W panelu Dodawanie dostępu do API wybierz Wybierz uprawnienia, zaznacz pole wyboru, aby przyznać pełny dostęp do usługi Data Lake Store, a następnie wybierz Wybierz.

    Zrzut ekranu panelu Dodaj dostęp do interfejsu API z podkreśloną opcją Wybierz uprawnienia oraz panel Włącz dostęp z opcją Uzyskaj pełny dostęp do usługi Azure Data Lake i podkreśloną opcją Wybierz.

    Wybierz pozycję Gotowe.

  5. Powtórz dwa ostatnie kroki, aby udzielić uprawnień również dla Windows Azure Service Management API.

Następne kroki

W tym artykule utworzono aplikację natywną firmy Microsoft Entra i zebrano informacje potrzebne w aplikacjach klienckich tworzonych przy użyciu zestawu .NET SDK, zestawu Java SDK, interfejsu API REST itp. Teraz możesz przejść do następujących artykułów, które mówią o sposobie używania aplikacji internetowej Firmy Microsoft Entra do pierwszego uwierzytelniania w usłudze Data Lake Storage Gen1, a następnie wykonywania innych operacji w sklepie.