Проверка подлинности для аналитики в масштабе облака в Azure
Проверка подлинности — это процесс проверки удостоверения пользователя или приложения. Рекомендуем использовать единого поставщика удостоверений для управления удостоверениями и аутентификации. Данный поставщик известен как служба каталогов . Он предоставляет способы хранения данных каталога и делает эти данные доступными для сетевых пользователей и администраторов.
Любое решение озера данных должно использоваться и интегрироваться с существующей службой каталогов. Для большинства организаций служба каталогов для всех служб, связанных с удостоверениями, — это Microsoft Entra ID. Это основная и централизованная база данных для всех учетных записей служб и пользователей.
В облаке Идентификатор Microsoft Entra — это централизованный поставщик удостоверений и предпочтительный источник для управления удостоверениями. Делегировать проверку подлинности и авторизацию Microsoft Entra ID для использования таких возможностей, как политики условного доступа, для которых требуется, чтобы пользователь находился в определенном местоположении. Идентификатор Microsoft Entra также поддерживает многофакторную проверку подлинности, что повышает уровень безопасности доступа. Службы данных следует настроить, интегрируя идентификатор Microsoft Entra по возможности.
Если службы данных не поддерживают идентификатор Microsoft Entra, необходимо выполнить проверку подлинности с помощью ключа доступа или маркера. Ключ доступа следует хранить в хранилище управления ключами, например Azure Key Vault.
Сценарии проверки подлинности для облачной аналитики:
- Проверка подлинности пользователей. В этом сценарии идентификатор Microsoft Entra проверяет подлинность пользователей с помощью учетных данных.
- Аутентификация между службами. В этом сценарии ресурсы Azure проходят проверку подлинности служб с помощью управляемых удостоверений, которым Azure автоматически управляет.
- Аутентификация приложения для службы. В этом сценарии приложения проходят проверку подлинности служб с помощью субъектов-служб.
Сценарии проверки подлинности
В следующих разделах описаны все сценарии аутентификации: аутентификация пользователей, аутентификация между службами, и аутентификация приложений к службам.
Проверка подлинности пользователя
Пользователи, подключающиеся к службе данных или ресурсу, должны представлять учетные данные. Эти учетные данные свидетельствуют о том, что пользователи являются теми, за кого себя выдают. Затем они могут получить доступ к службе или ресурсу. Проверка подлинности также позволяет службе узнавать идентификатор пользователей. Служба определяет, что пользователь может видеть и что делать после проверки удостоверения.
Azure Data Lake Storage, База данных SQL Azure, Azure Synapse Analytics и Azure Databricks поддерживают интеграцию идентификатора Microsoft Entra. Режим интерактивной проверки подлинности пользователя требует, чтобы пользователи предоставляли учетные данные в диалоговом окне.
Внимание
Не жёстко зашивайте учетные данные пользователя в приложение для целей аутентификации.
Аутентификация между службами
Когда служба обращается к другой службе без взаимодействия с человеком, она должна предъявлять действительное удостоверение. Это удостоверение подтверждает подлинность службы и позволяет используемой службе определить, какие действия разрешены.
В сценариях проверки подлинности между службами рекомендуется использовать управляемые удостоверения для проверки подлинности служб Azure. Управляемые удостоверения для ресурсов Azure позволяют выполнять проверку подлинности в любой службе, поддерживающей проверку подлинности Microsoft Entra без явных учетных данных. Дополнительные сведения см. в статье Что такое управляемые удостоверения для ресурсов Azure?.
Управляемые удостоверения — это принципы службы, которые можно использовать только с ресурсами Azure. Например, можно создать управляемое удостоверение для экземпляра Azure Data Factory. Идентификатор Microsoft Entra регистрирует это управляемое удостоверение в качестве объекта, представляющего экземпляр Фабрики данных. Затем вы можете использовать это удостоверение для проверки подлинности в любой службе, например Data Lake Storage, без каких-либо учетных данных в коде. Azure управляет учетными данными, которые использует экземпляр службы. Удостоверение может аутентифицировать такие ресурсы службы Azure, как папка в Data Lake Storage. При удалении экземпляра Data Factory, Azure удаляет удостоверение в Microsoft Entra ID.
Преимущества использования управляемых удостоверений
Используйте управляемые удостоверения для аутентификации службы Azure в другой службе или ресурсе Azure. Управляемые удостоверения предоставляют следующие преимущества:
- Управляемое удостоверение представляет службу, для которой оно создано. Оно не представляет интерактивного пользователя.
- Учетные данные управляемого удостоверения поддерживаются, управляются и хранятся в идентификаторе Microsoft Entra. Нет пароля для сохранения пользователем.
- При использовании управляемых удостоверений клиентские службы не используют пароли.
- Управляемое удостоверение, назначаемое системой, удаляется при удалении экземпляра службы.
Эти преимущества означают, что учетные данные лучше защищены, а угроза безопасности менее вероятна.
Проверка подлинности между приложением и службой
Другой сценарий доступа заключается в том, что приложение, например мобильное или веб-приложение, обращается к службе Azure. Приложение должно представить свою идентификацию, которая затем должна быть проверена.
Учетная запись службы Azure — это альтернативный вариант для приложений и служб, которые не поддерживают управляемые удостоверения для аутентификации в ресурсах Azure. Служебный принципал — это удостоверение, созданное специально для приложений, хостинговых служб и автоматизированных средств для доступа к ресурсам Azure. Роли, назначенные служебному принципалу, управляют его доступом. По соображениям безопасности мы рекомендуем использовать учётные записи служб с автоматизированными инструментами или приложениями, а не разрешать им входить с использованием пользовательской учётной записи. Дополнительные сведения см. в разделе "Объекты приложения и субъекта-службы" в идентификаторе Microsoft Entra.
Различия между управляемыми удостоверениями и объектами-службы
| Субъект-служба | Управляемое удостоверение |
|---|---|
| Удостоверение безопасности, которое создается вручную в идентификаторе Microsoft Entra для приложений, служб и инструментов, которым требуется доступ к определенным ресурсам Azure. | Особый тип субъекта-службы. Это автоматическое удостоверение, созданное при создании службы Azure. |
| Используется любым приложением или службой и не привязан к определенной службе Azure. | Представляет сам экземпляр службы Azure. Его нельзя использовать для представления других служб Azure. |
| Имеет независимый жизненный цикл. Его необходимо удалить явным образом. | Удаляется автоматически при удалении экземпляра службы Azure. |
| Проверка подлинности на основе пароля или сертификата. | Для проверки подлинности не требуется предоставлять явный пароль. |
Примечание.
Управляемые удостоверения и субъекты-службы создаются и поддерживаются только в идентификаторе Microsoft Entra.
Рекомендации по проверке подлинности в облачной аналитике
В облачной аналитике реализация надежных и безопасных методов проверки подлинности является первостепенной задачей. Рекомендации по проверке подлинности применяются к различным уровням решения, включая базы данных, хранилища и службы аналитики. С помощью идентификатора Microsoft Entra организации могут повысить безопасность с помощью таких функций, как многофакторная проверка подлинности и политики условного доступа.
| Слой | Служба | Рекомендация |
|---|---|---|
| Баз данных | — База данных SQL — Управляемый экземпляр SQL — Azure Synapse Analytics — База данных Azure для MySQL — База данных Azure для PostgreSQL |
Используйте идентификатор Microsoft Entra для проверки подлинности с такими базами данных, как База данных Azure для PostgreSQL, Azure SQLи База данных Azure для MySQL. |
| Хранение | Data Lake Storage | Используйте идентификатор Microsoft Entra для проверки подлинности для субъектов безопасности, таких как пользователи, группы и субъекты-службы или управляемые удостоверения, с Data Lake Storage вместо общего ключа или подписанных URL-адресов. Этот подход помогает повысить безопасность, так как она поддерживает многофакторную проверку подлинности и политики условного доступа. |
| Хранение | Data Lake Storage из Azure Databricks | Подключитесь к Data Lake Storage, используя Unity Catalog вместо прямого доступа на уровне хранилища, создав учетные данные хранилища , которые используют управляемую идентичность и внешнее расположение. |
| Аналитика | Azure Databricks | Используйте систему управления удостоверениями в междоменной среде, чтобы синхронизировать пользователей и группы из Microsoft Entra ID. Чтобы получить доступ к ресурсам Azure Databricks с помощью REST API, используйте OAuth с учетной записью службы Azure Databricks. |
Внимание
Предоставление пользователям Azure Databricks прямого доступа к Data Lake Storage на уровне хранилища обходит разрешения, аудиты и функции безопасности каталога Unity, включая контроль доступа и мониторинг. Чтобы повысить безопасность и управление данными, каталог Unity должен управлять доступом к данным, хранящимся в Data Lake Storage для пользователей рабочей области Azure Databricks.
Следующий шаг
авторизация для облачной аналитики в Azure