Проверка подлинности для аналитики в масштабе облака в Azure
Проверка подлинности — это процесс проверки удостоверений пользователя или приложения. Для управления удостоверениями и проверкой подлинности рекомендуется использование одного поставщика удостоверений источника. Этот поставщик называется службой каталогов. Он предоставляет методы для хранения данных каталога и предоставления доступа к этим данным сетевым пользователям и администраторам.
Любое решение озера данных должно использоваться и интегрироваться с существующей службой каталогов. Для большинства организаций сервис каталогов для всего, что связано с управлением идентичностью, — это Active Directory. Это основная и централизованная база данных для всех учетных записей служб и пользователей.
В облаке Идентификатор Microsoft Entra — это централизованный поставщик удостоверений и предпочтительный источник для управления удостоверениями. Делегирование проверки подлинности и авторизации идентификатору Microsoft Entra позволяет сценариям, таким как политики условного доступа, требующие, чтобы пользователь был в определенном расположении. Он поддерживает многофакторную проверку подлинности для повышения уровня безопасности доступа. Службы данных должны быть настроены с интеграцией идентификатора Microsoft Entra по возможности.
Для служб данных, не поддерживающих идентификатор Microsoft Entra, необходимо выполнить проверку подлинности с помощью ключа доступа или маркера. Ключ доступа следует хранить в хранилище управления ключами, например Azure Key Vault.
Сценарии проверки подлинности для облачной аналитики:
- Аутентификация пользователей: пользователи аутентифицируются через систему Microsoft Entra ID, используя свои учетные данные.
- аутентификация приложений для служб: приложения проходят проверку подлинности с помощью принципов службы.
- аутентификация между службами: ресурсы Azure аутентифицируются с помощью управляемых удостоверений, которые автоматически управляются системой Azure.
Сценарии проверки подлинности
Проверка подлинности пользователя
Пользователи, подключающиеся к службе данных или ресурсу, должны представлять учетные данные. Эти учетные данные свидетельствуют о том, что пользователи являются теми, за кого себя выдают. Затем они могут получить доступ к службе или ресурсу. Проверка подлинности также позволяет службе узнавать идентификатор пользователей. Служба определяет, что пользователь может видеть и что делать после проверки удостоверения.
Azure Data Lake Storage 2-го поколения, База данных SQL Azure, Azure Synapse Analytics и Azure Databricks поддерживают интеграцию идентификатора Microsoft Entra ID. Режим интерактивной проверки подлинности пользователя требует, чтобы пользователи предоставляли учетные данные в диалоговом окне.
Внимание
Не жёстко зашивайте учетные данные пользователя в приложение для целей аутентификации.
Аутентификация между службами
Даже если служба обращается к другой службе без взаимодействия с человеком, она должна представлять действительное удостоверение. Это удостоверение подтверждает подлинность службы, позволяя доступной службе определять разрешенные действия.
Для проверки подлинности между службами предпочтительный способ проверки подлинности служб Azure управляемых удостоверений. Управляемые удостоверения для ресурсов Azure позволяют выполнять проверку подлинности в любой службе, поддерживающей проверку подлинности Microsoft Entra без явных учетных данных. Дополнительные сведения см. в статье Что такое управляемые удостоверения для ресурсов Azure?.
Управляемые удостоверения — это субъекты-службы, которые можно использовать только с ресурсами Azure. Например, управляемое удостоверение можно создать непосредственно для экземпляра Фабрики данных Azure. Это управляемое удостоверение, зарегистрированное в идентификаторе Microsoft Entra в качестве объекта, представляет экземпляр Фабрики данных. Это удостоверение можно использовать для проверки подлинности в любой службе, например Data Lake Storage, без каких бы то ни было учетных данных в коде. Azure обрабатывает учетные данные, используемые экземпляром службы. Удостоверение может предоставить разрешение на доступ к ресурсам службы Azure, например к папке в Azure Data Lake Storage. При удалении этого экземпляра Фабрики данных Azure очищает удостоверение в идентификаторе Microsoft Entra.
Преимущества использования управляемых удостоверений
Управляемые удостоверения следует использовать для проверки подлинности службы Azure в другой службе или ресурсе Azure. Они обеспечивают следующие преимущества:
- Управляемое удостоверение представляет службу, для которой оно создано. Оно не представляет интерактивного пользователя.
- Учетные данные управляемого удостоверения поддерживаются, управляются и хранятся в идентификаторе Microsoft Entra. Нет пароля для сохранения пользователем.
- При использовании управляемых удостоверений службы клиента не используют пароли.
- Управляемое удостоверение, назначаемое системой, удаляется при удалении экземпляра службы.
Эти преимущества означают, что учетные данные лучше защищены, и вероятность нарушения безопасности снижается.
Проверка подлинности между приложением и службой
Другой сценарий доступа включает приложение, например мобильное или веб-приложение, доступ к службе Azure. Приложение должно представить свою идентификацию, которая затем должна быть проверена.
Учетная запись службы Azure — это альтернатива для приложений и служб, которые не поддерживают управляемые удостоверения, для аутентификации в службах Azure. Это идентификатор, созданный специально для приложений, хостинговых служб и автоматизированных инструментов для доступа к ресурсам платформы Azure. Роли, назначенные служебному принципалу, управляют его доступом. По соображениям безопасности рекомендуется использовать субъекты-службы с автоматизированными инструментами или приложениями, а не разрешать им вход с помощью удостоверения пользователя. Дополнительные сведения см. в разделе "Объекты приложения и субъекта-службы" в идентификаторе Microsoft Entra.
Различие между управляемым удостоверением и субъектом-службой
| Субъект-служба | Управляемое удостоверение |
|---|---|
| Удостоверение безопасности, созданное вручную в идентификаторе Microsoft Entra для использования приложениями, службами и инструментами для доступа к определенным ресурсам Azure. | Особый тип субъекта-службы. Это автоматическое удостоверение, создаваемое при создании службы Azure. |
| Используется любым приложением или службой и не привязан к определенной службе Azure. | Представляет сам экземпляр службы Azure. Его нельзя использовать для представления других служб Azure. |
| Имеет независимый жизненный цикл. Его необходимо удалить явным образом. | Удаляется автоматически при удалении экземпляра службы Azure. |
| Проверка подлинности на основе пароля или сертификата. | Для проверки подлинности не указан явный пароль. |
Примечание.
Управляемые удостоверения и субъекты-службы создаются и поддерживаются только в идентификаторе Microsoft Entra.
Рекомендации по проверке подлинности в облачной аналитике
В облачной аналитике обеспечение надежной и безопасной проверки подлинности является первостепенной задачей. Рекомендации по проверке подлинности на различных уровнях, включая базы данных, хранилище и службы аналитики. С помощью идентификатора Microsoft Entra организации могут повысить безопасность с помощью таких функций, как многофакторная проверка подлинности (MFA) и политики условного доступа.
| Слой | Служба | Рекомендации |
|---|---|---|
| Баз данных | База данных SQL Azure, SQL MI, Synapse, MySQL, PostgreSQL и т. д. | Используйте идентификатор Microsoft Entra для проверки подлинности с базами данных, такими как PostgreSQL, SQL Azure и MySQL. |
| Хранение | Azure Data Lake Storage (ADLS) | Используйте идентификатор Microsoft Entra для аутентификации субъектов безопасности (пользователей, групп, сервисных учётных записей или управляемых удостоверений) в ADLS с использованием общего ключа или SAS, поскольку это позволяет повысить безопасность благодаря поддержке многофакторной аутентификации (MFA) и политик условного доступа. |
| Хранение | ADLS из Azure Databricks | Подключитесь к ADLS с помощью каталога Unity вместо прямого доступа на уровне хранилища, создав учетные данные для хранилища с помощью управляемого удостоверения и внешнего расположения данных . |
| Аналитика | Azure Databricks | Используйте SCIM для синхронизации пользователей и групп из идентификатора Microsoft Entra ID. Чтобы получить доступ к ресурсам Databricks с помощью REST API, используйте OAuth со служебным принципалом Databricks. |
Внимание
Разрешение пользователям Azure Databricks предоставлять прямой доступ на уровне хранилища к ADLS обходя разрешения, аудит и функции безопасности каталога Unity, включая контроль доступа и мониторинг. Чтобы полностью защитить и управлять данными, доступ к данным, хранящимся в ADLS для пользователей рабочей области Azure Databricks, следует управлять с помощью каталога Unity.
Следующие шаги
авторизация для облачной аналитики в Azure