Autenticação serviço a serviço com o Azure Data Lake Storage Gen1 com Microsoft Entra ID
Azure Data Lake Storage Gen1 utiliza Microsoft Entra ID para autenticação. Antes de criar uma aplicação que funcione com Data Lake Storage Gen1, tem de decidir como autenticar a sua aplicação com Microsoft Entra ID. As duas opções principais disponíveis são:
- Autenticação de utilizador final
- Autenticação serviço a serviço (este artigo)
Ambas as opções resultam no fornecimento de um token OAuth 2.0 à sua aplicação, que é anexado a cada pedido efetuado ao Data Lake Storage Gen1.
Este artigo aborda como criar uma aplicação Web Microsoft Entra para autenticação serviço a serviço. Para obter instruções sobre Microsoft Entra configuração da aplicação para autenticação do utilizador final, veja Autenticação do utilizador final com Data Lake Storage Gen1 através de Microsoft Entra ID.
Pré-requisitos
- Uma subscrição do Azure. Consulte Obter versão de avaliação gratuita do Azure.
Passo 1: Criar uma aplicação Web do Active Directory
Crie e configure uma aplicação Web Microsoft Entra para autenticação serviço a serviço com o Azure Data Lake Storage Gen1 com Microsoft Entra ID. Para obter instruções, veja Criar uma aplicação Microsoft Entra.
Ao seguir as instruções na ligação anterior, certifique-se de que seleciona Aplicação Web/API para o tipo de aplicação, conforme mostrado na seguinte captura de ecrã:
Passo 2: Obter o ID da aplicação, a chave de autenticação e o ID do inquilino
Ao iniciar sessão através de programação, precisa do ID da sua aplicação. Se a aplicação for executada com as suas próprias credenciais, também precisa de uma chave de autenticação.
Para obter instruções sobre como obter o ID da aplicação e a chave de autenticação (também denominado segredo do cliente) para a sua aplicação, veja Obter o ID da aplicação e a chave de autenticação.
Para obter instruções sobre como obter o ID do inquilino, veja Obter o ID do inquilino.
Passo 3: atribuir a aplicação Microsoft Entra à pasta ou ficheiro de conta do Azure Data Lake Storage Gen1
Inicie sessão no portal do Azure. Abra a conta Data Lake Storage Gen1 que pretende associar à aplicação Microsoft Entra que criou anteriormente.
No painel da sua conta Data Lake Storage Gen1, clique em Data Explorer.
No painel Data Explorer, clique no ficheiro ou pasta para o qual pretende fornecer acesso à aplicação Microsoft Entra e, em seguida, clique em Acesso. Para configurar o acesso a um ficheiro, tem de clicar em Acesso no painel Pré-visualização de Ficheiros .
O painel Acesso lista o acesso padrão e o acesso personalizado já atribuídos à raiz. Clique no ícone Adicionar para adicionar ACLs de nível personalizado.
Clique no ícone Adicionar para abrir o painel Adicionar Acesso Personalizado . Neste painel, clique em Selecionar Utilizador ou Grupo e, em seguida, no painel Selecionar Utilizador ou Grupo, procure a aplicação Microsoft Entra que criou anteriormente. Se tiver muitos grupos a partir dos quais procurar, utilize a caixa de texto na parte superior para filtrar o nome do grupo. Clique no grupo que pretende adicionar e, em seguida, clique em Selecionar.
Clique em Selecionar Permissões, selecione as permissões e se pretende atribuir as permissões como uma ACL predefinida, aceder à ACL ou ambas. Clique em OK.
Para obter mais informações sobre permissões no Data Lake Storage Gen1 e ACLs predefinidas/de acesso, veja Controlo de Acesso no Data Lake Storage Gen1.
No painel Adicionar Acesso Personalizado , clique em OK. Os grupos adicionados recentemente, com as permissões associadas, estão listados no painel Acesso .
Nota
Se planear restringir a sua aplicação Microsoft Entra a uma pasta específica, também terá de conceder essa mesma permissão de execução Microsoft Entra aplicação à raiz para permitir o acesso à criação de ficheiros através do SDK .NET.
Nota
Se quiser utilizar os SDKs para criar uma conta Data Lake Storage Gen1, tem de atribuir a aplicação Web Microsoft Entra como uma função ao Grupo de Recursos no qual cria a conta Data Lake Storage Gen1.
Passo 4: obter o ponto final do token OAuth 2.0 (apenas para aplicações baseadas em Java)
Inicie sessão no portal do Azure e clique em Active Directory no painel esquerdo.
No painel esquerdo, clique em Registos de aplicações.
Na parte superior do painel Registos de aplicações, clique em Pontos finais.
Na lista de pontos finais, copie o ponto final do token OAuth 2.0.
Passos seguintes
Neste artigo, criou uma aplicação Web Microsoft Entra e recolheu as informações de que precisa nas aplicações cliente que criou com o SDK .NET, Java, Python, API REST, etc. Agora, pode avançar para os seguintes artigos que falam sobre como utilizar o Microsoft Entra aplicação nativa para efetuar primeiro a autenticação com Data Lake Storage Gen1 e, em seguida, realizar outras operações no arquivo.