Autenticação para análise em escala de nuvem no Azure
A autenticação é o processo de verificação da identidade do usuário ou aplicativo. É preferível um único provedor de identidade de origem, que lida com o gerenciamento e a autenticação de identidade. Este provedor é conhecido como um serviço de diretório. Ele fornece métodos para armazenar dados de diretório e disponibilizar esses dados para usuários e administradores da rede.
Qualquer solução de data lake deve usar e integrar-se a um serviço de diretório existente. Para a maioria das organizações, o serviço de diretório para todos os serviços relacionados à identidade é o Ative Directory. É o banco de dados primário e centralizado para todas as contas de serviço e de usuário.
Na nuvem, o Microsoft Entra ID é um provedor de identidade centralizado e a fonte preferida para o gerenciamento de identidades. Delegar autenticação e autorização ao Microsoft Entra ID permite cenários como políticas de acesso condicional que exigem que um usuário esteja em um local específico. Ele suporta autenticação multifator para aumentar o nível de segurança de acesso. Os serviços de dados devem ser configurados com integração do Microsoft Entra ID sempre que possível.
Para serviços de dados que não suportam o Microsoft Entra ID, você deve executar a autenticação usando uma chave de acesso ou token. Você deve armazenar a chave de acesso em um repositório de gerenciamento de chaves, como o Cofre de Chaves do Azure.
Os cenários de autenticação para análises em escala de nuvem são:
- de autenticação do usuário: os usuários se autenticam por meio do Microsoft Entra ID usando suas credenciais.
- de autenticação de aplicativo para serviço: os aplicativos são autenticados usando entidades de serviço.
- de autenticação de serviço a serviço: os recursos do Azure são autenticados usando identidades gerenciadas, que são gerenciadas automaticamente pelo Azure.
Cenários de autenticação
Autenticação do utilizador
Os usuários que se conectam a um serviço ou recurso de dados devem apresentar uma credencial. Essa credencial prova que os usuários são quem afirmam ser. Em seguida, eles podem acessar o serviço ou recurso. A autenticação também permite que o serviço conheça a identidade dos usuários. O serviço decide o que um usuário pode ver e fazer depois que a identidade é verificada.
O Azure Data Lake Storage Gen2, o Banco de Dados SQL do Azure, o Azure Synapse Analytics e o Azure Databricks oferecem suporte à integração do Microsoft Entra ID. O modo de autenticação de usuário interativo exige que os usuários forneçam credenciais em uma caixa de diálogo.
Importante
Não codifice credenciais de usuário em um aplicativo para fins de autenticação.
Autenticação serviço a serviço
Mesmo quando um serviço acede a outro serviço sem interação humana, deve apresentar uma identidade válida. Essa identidade comprova a autenticidade do serviço, permitindo que o serviço acessado determine as ações permitidas.
Para autenticação de serviço a serviço, o método preferencial para autenticar serviços do Azure é identidades gerenciadas. As identidades gerenciadas para recursos do Azure permitem a autenticação em qualquer serviço que ofereça suporte à autenticação do Microsoft Entra sem credenciais explícitas. Para obter mais informações, consulte O que são identidades gerenciadas para recursos do Azure.
As identidades gerenciadas são entidades de serviço, que só podem ser usadas com recursos do Azure. Por exemplo, uma identidade gerenciada pode ser criada diretamente para uma instância do Azure Data Factory. Essa identidade gerenciada, registrada com a ID do Microsoft Entra como um objeto, representa a instância do Data Factory. Essa identidade pode ser usada para autenticar em qualquer serviço, como o Data Lake Storage, sem qualquer credencial no código. O Azure cuida das credenciais usadas pela instância de serviço. A identidade pode conceder autorização aos recursos de serviço do Azure, como uma pasta no Armazenamento do Azure Data Lake. Quando você exclui essa instância do Data Factory, o Azure limpa a identidade na ID do Microsoft Entra.
Benefícios do uso de identidades gerenciadas
As identidades gerenciadas devem ser usadas para autenticar um serviço do Azure em outro serviço ou recurso do Azure. Proporcionam os seguintes benefícios:
- Uma identidade gerenciada representa o serviço para o qual foi criada. Ele não representa um usuário interativo.
- As credenciais de identidade gerenciadas são mantidas, gerenciadas e armazenadas no Microsoft Entra ID. Não há senha para um usuário manter.
- Com identidades gerenciadas, os serviços do cliente não usam senhas.
- A identidade gerenciada atribuída ao sistema é excluída quando a instância de serviço é excluída.
Esses benefícios significam que a credencial está mais bem protegida e que o comprometimento da segurança é menos provável.
Autenticação de aplicativo para serviço
Outro cenário de acesso envolve um aplicativo, como um aplicativo móvel ou Web, acessando um serviço do Azure. A aplicação deve apresentar a sua própria identidade, que deve depois ser verificada.
Um de entidade de serviço do Azure
Diferença entre identidade gerenciada e entidade de serviço
| Service principal (Principal de serviço) | Identidade gerida |
|---|---|
| Uma identidade de segurança criada manualmente no Microsoft Entra ID para uso por aplicativos, serviços e ferramentas para acessar recursos específicos do Azure. | Um tipo especial de entidade de serviço. É uma identidade automática que é criada quando um serviço do Azure é criado. |
| Usado por qualquer aplicativo ou serviço e não está vinculado a um serviço específico do Azure. | Representa uma instância de serviço do Azure em si. Ele não pode ser usado para representar outros serviços do Azure. |
| Tem um ciclo de vida independente. Você deve excluí-lo explicitamente. | É excluído automaticamente quando a instância de serviço do Azure é excluída. |
| Autenticação baseada em senha ou certificado. | Nenhuma senha explícita a ser fornecida para autenticação. |
Nota
As identidades gerenciadas e as entidades de serviço são criadas e mantidas somente na ID do Microsoft Entra.
Práticas recomendadas para autenticação em análises em escala de nuvem
Na análise em escala de nuvem, garantir práticas de autenticação robustas e seguras é fundamental. Práticas recomendadas para autenticação em várias camadas, incluindo bancos de dados, armazenamento e serviços de análise. Usando o Microsoft Entra ID, as organizações podem melhorar a segurança com recursos como autenticação multifator (MFA) e políticas de acesso condicional.
| Camada | Serviço | Recomendações |
|---|---|---|
| Bases de dados | Azure SQL DB, SQL MI, Synapse, MySQL, PostgreSQL, etc. | Use o Microsoft Entra ID para autenticação com bancos de dados como PostgreSQL, Azure SQLe MySQL. |
| Armazenamento | Armazenamento Azure Data Lake (ADLS) | Use o Microsoft Entra ID para autenticação de entidades de segurança (usuário, grupo, entidade de serviço ou identidade gerenciada) com ADLS sobre chave compartilhada ou SAS, pois permite segurança aprimorada por meio de seu suporte para autenticação multifator (MFA) e políticas de acesso condicional. |
| Armazenamento | ADLS do Azure Databricks | Conecte-se ao ADLS usando o Unity Catalog, em vez de acesso direto ao nível de armazenamento, criando uma credencial de armazenamento com uma identidade gerida e uma localização externa . |
| Análises | Azure Databricks | Use o SCIM para sincronizar usuários e grupos do Microsoft Entra ID. Para aceder aos recursos do Databricks usando APIs REST, use OAuth com um principal de serviço Databricks. |
Importante
Permitir que os usuários do Azure Databricks tenham acesso direto no nível de armazenamento ao ADLS ignora as permissões, auditorias e recursos de segurança do Unity Catalog, incluindo controle de acesso e monitoramento. Para proteger e controlar totalmente os dados, o acesso aos dados armazenados no ADLS para usuários do espaço de trabalho do Azure Databricks deve ser gerenciado por meio do Catálogo Unity.