Identidade e Controlo de Acesso
Nesta unidade, você aprenderá sobre como autenticar usuários e fornecer acesso a compartilhamentos de arquivos do Azure. Os Arquivos do Azure dão suporte à autenticação baseada em identidade para clientes que acessam compartilhamentos de arquivos por SMB. Além disso, os usuários SMB também podem se autenticar usando uma chave de conta de armazenamento. As partilhas de ficheiros NFS dependem da autenticação ao nível da rede e, por conseguinte, só são acessíveis através de redes restritas. Usar um compartilhamento de arquivos NFS sempre requer algum nível de configuração de rede. O acesso de compartilhamento de arquivos por APIs REST usa assinaturas de acesso compartilhado e chaves de conta de armazenamento para operações específicas de gerenciamento de dados.
Autenticação baseada em identidade: os clientes podem usar o acesso baseado em identidade por meio do protocolo de autenticação Kerberos. Os serviços do Ative Directory armazenam informações de conta de usuário, como nomes de usuário, senhas, informações de contato e assim por diante. Os Arquivos do Azure se integram a serviços de diretório comuns para verificar os detalhes da conta de usuário e habilitar a autenticação bem-sucedida. Para o SMB, a autenticação baseada em identidade é a opção mais segura e recomendada.
Chave da conta de armazenamento: um usuário com a chave da conta de armazenamento pode acessar compartilhamentos de arquivos do Azure com permissões de superusuário sobre SMB e REST. Idealmente, apenas os administradores de superusuários devem usar chaves de conta de armazenamento porque ignoram todas as restrições de acesso. Para compartilhamentos de arquivos usados por clientes corporativos, as chaves de conta de armazenamento não são mecanismos escaláveis ou seguros para acesso em toda a organização e, portanto, não são recomendadas. A prática recomendada de segurança é evitar o compartilhamento de chaves de conta de armazenamento e usar autenticação baseada em identidade.
Assinatura de acesso compartilhado: os clientes que acessam por REST podem usar uma assinatura de acesso compartilhado (SAS) para autenticar com os Arquivos do Azure. As assinaturas de acesso compartilhado são usadas em cenários específicos em que fornecedores de software independentes desenvolvem aplicativos de API REST e usam os Arquivos do Azure como uma solução de armazenamento. Eles também são usados quando os parceiros internos precisam de acesso por REST para operações de gerenciamento de dados. Uma assinatura de acesso compartilhado é um URI que concede direitos de acesso restrito aos recursos do Armazenamento do Azure. Você pode usar uma assinatura de acesso compartilhado para dar aos clientes acesso a determinados recursos da conta de armazenamento sem precisar dar a eles acesso à chave da conta de armazenamento.
Autenticação baseada em identidade
Os Arquivos do Azure dão suporte à autenticação baseada em identidade para compartilhamentos de arquivos SMB usando o protocolo Kerberos. Quando uma identidade associada a um usuário ou aplicativo em execução em um cliente tenta acessar dados em compartilhamentos de arquivos do Azure, a solicitação é enviada ao serviço de domínio para autenticar a identidade. Se a autenticação for bem-sucedida, ela retornará um token Kerberos. O cliente envia uma solicitação que inclui o token Kerberos e os compartilhamentos de arquivos do Azure usam esse token para autorizar a solicitação. Os compartilhamentos de arquivos do Azure recebem apenas o token Kerberos, não as credenciais de acesso.
O Azure Files dá suporte aos seguintes métodos de autenticação para compartilhamentos de arquivos SMB:
Serviços de Domínio Ative Directory (AD DS) locais: habilitar a autenticação do AD DS para um compartilhamento de arquivos do Azure permite que os usuários se autentiquem usando suas credenciais do AD DS local. O AD DS local deve ser sincronizado com a ID do Microsoft Entra usando a sincronização do Microsoft Entra Connect. Somente os usuários híbridos que existem no AD DS local e na ID do Microsoft Entra podem ser autenticados e autorizados para acesso ao compartilhamento de arquivos do Azure. O cliente precisa configurar seus controladores de domínio e ingressar em suas máquinas ou máquinas virtuais (VMs). Os controladores de domínio podem ser hospedados no local ou em VMs, mas os clientes precisam ter uma linha de visão para os controladores de domínio, seja em uma rede local ou na mesma rede virtual.
Serviços de Domínio Microsoft Entra: Para autenticação dos Serviços de Domínio Microsoft Entra, os clientes devem habilitar os Serviços de Domínio e, em seguida, ingressar no domínio as VMs das quais desejam acessar dados de arquivo. As VMs ingressadas no domínio devem residir na mesma rede virtual que os Serviços de Domínio. No entanto, os clientes não precisam criar a identidade nos Serviços de Domínio para representar a conta de armazenamento. O processo de ativação cria a identidade em segundo plano. Além disso, todos os usuários que existem no Microsoft Entra ID podem ser autenticados e autorizados. O usuário pode ser apenas nuvem ou híbrido. A plataforma gerencia a sincronização do ID do Microsoft Entra para os Serviços de Domínio sem exigir qualquer configuração do usuário.
Microsoft Entra Kerberos para identidades de usuário híbridas: o Azure Files dá suporte à autenticação Microsoft Entra Kerberos (anteriormente Azure AD Kerberos) para identidades de usuário híbridas, que são identidades do AD local sincronizadas com a nuvem. Essa configuração usa o ID do Microsoft Entra para emitir tíquetes Kerberos para acessar o compartilhamento de arquivos por SMB. Isso significa que os usuários finais podem acessar compartilhamentos de arquivos do Azure pela Internet sem exigir uma linha de visão para controladores de domínio do Microsoft Entra híbrido ingressado e Microsoft Entra ingressou VMs. Além disso, com esse recurso, os clientes da Área de Trabalho Virtual do Azure podem criar um compartilhamento de arquivos do Azure para armazenar contêineres de perfil de usuário que as identidades de usuário híbridas podem acessar.
Autenticação do AD para clientes Linux: A autenticação para clientes Linux é suportada através do AD DS ou dos Serviços de Domínio Microsoft Entra.
Casos de uso comuns para autenticação baseada em identidade
A seguir estão alguns cenários comuns para usar a autenticação baseada em identidade:
Migrando de servidores de arquivos locais para Arquivos do Azure: a substituição de servidores de arquivos locais é um caso de uso comum de transformação de TI para muitos clientes. Usar o AD DS local para habilitar uma migração perfeita para arquivos do Azure não apenas fornece uma boa experiência ao usuário, mas também permite que os usuários acessem o compartilhamento de arquivos e os dados usando suas credenciais atuais ingressando em suas máquinas.
Movendo aplicativos corporativos para a nuvem: à medida que os clientes movem seus aplicativos nativos locais para a nuvem, a autenticação baseada em identidade com os Arquivos do Azure elimina a necessidade de alterar seus mecanismos de autenticação para dar suporte a aplicativos em nuvem.
Backup e recuperação de desastres: os Arquivos do Azure podem atuar como o sistema de armazenamento de backup para servidores de arquivos locais. Configurar a autenticação adequada ajuda a impor controles de acesso durante cenários de recuperação de desastres.