Проверка подлинности между службами с помощью Azure Data Lake Storage 1-го поколения с помощью идентификатора Microsoft Entra

• Аутентификация пользователей
• Аутентификация между службами

Azure Data Lake Storage 1-го поколения использует идентификатор Microsoft Entra для проверки подлинности. Прежде чем создавать приложение, которое работает с Data Lake Storage 1-го поколения, необходимо решить, как пройти проверку подлинности приложения с помощью идентификатора Microsoft Entra. Доступно два основных варианта:

• Проверка подлинности конечных пользователей
• Аутентификация между службами (в этой статье)

Оба варианта позволят приложению получить маркер OAuth 2.0, который используется в каждом запросе к Data Lake Storage 1-го поколения.

В этой статье рассказывается о создании веб-приложения Microsoft Entra для проверки подлинности между службами. Инструкции по настройке приложения Microsoft Entra для аутентификации конечных пользователей см. в разделе Аутентификация конечных пользователей с помощью Microsoft Entra ID и Data Lake Storage Gen1.

Предпосылки

• Подписка Azure. См. бесплатную пробную версию Azure.

Шаг 1. Создание веб-приложения Active Directory

Создайте и настройте веб-приложение Microsoft Entra для проверки подлинности между службами с помощью Azure Data Lake Storage 1-го поколения с помощью идентификатора Microsoft Entra. Инструкции см. в разделе "Создание приложения Microsoft Entra".

При выполнении инструкций по ссылке выше обязательно выберите тип приложения Веб-приложение или API, как показано на следующем снимке экрана:

Шаг 2. Получение идентификатора приложения, ключа проверки подлинности и идентификатора клиента

При программном входе необходимо указывать идентификатор приложения. Если приложение работает с использованием собственных учетных данных, потребуется также ключ проверки подлинности.

• Инструкции о том, как получить идентификатор приложения и ключ проверки подлинности (который также называется секретом клиента) для приложения, см. в разделе Получение идентификатора приложения и ключа проверки подлинности.

• Инструкции о том, как получить код клиента, см. в разделе Получение идентификатора клиента.

Шаг 3. Назначьте приложение Microsoft Entra к файлу или папке учетной записи хранилища данных Azure Data Lake Storage первого поколения

1. Выполните вход на портал Azure. Откройте учетную запись Data Lake Storage 1-го поколения, которую вы хотите связать с созданным ранее приложением Microsoft Entra.

2. На панели учетной записи Data Lake Storage Gen1 щелкните Data Explorer.

   

3. В колонке обозревателя данных щелкните файл или папку, для которой требуется предоставить доступ к приложению Microsoft Entra, а затем нажмите кнопку Access. Чтобы настроить доступ к файлу, необходимо нажать кнопку Доступ в колонке Предварительный просмотр файла.

   

4. В колонке Доступ перечислены стандартные и пользовательские варианты доступа, уже назначенные корню. Щелкните значок Добавить , чтобы добавить ACL пользовательского уровня.

   

5. Щелкните значок Добавить, чтобы открыть колонку Добавить настраиваемый доступ. В этой колонке щелкните "Выбрать пользователя или группу", а затем в колонке "Выбрать пользователя" или "Группа" найдите созданное ранее приложение Microsoft Entra. Если у вас много групп для поиска, воспользуйтесь текстовым полем в верхней части для фильтрации по имени группы. Выберите группу, которую необходимо добавить, и нажмите кнопку Выбрать.

   

6. Щелкните Выберите разрешения, выберите необходимые разрешения, а затем укажите, назначить ли разрешения как список ACL по умолчанию, список ACL для доступа или оба этих параметра. Щелкните OK.

   

   Дополнительные сведения о разрешениях в Data Lake Storage 1-го поколения и списках ACL (по умолчанию и для доступа) см. в статье Контроль доступа в Data Lake Storage 1-го поколения.

7. В колонке Добавить настраиваемый доступ нажмите кнопку ОК. Теперь добавленные группы с соответствующими разрешениями отобразятся в колонке Доступ.

   

Примечание.

Если вы планируете ограничить приложение Microsoft Entra определенной папкой, вам также потребуется предоставить тому же приложению Microsoft Entra разрешение Execute для корневого каталога, чтобы разрешить доступ к созданию файлов с помощью пакета SDK для .NET.

Примечание.

Если вы хотите использовать пакеты SDK для создания учетной записи Data Lake Storage 1-го поколения, необходимо назначить веб-приложение Microsoft Entra в качестве роли группе ресурсов, в которой создается учетная запись Data Lake Storage 1-го поколения.

Шаг 4. Получение конечной точки маркера OAuth 2.0 (только для приложений на основе Java)

1. Войдите на портал Azure и щелкните "Active Directory" в области слева.

2. В левой области щелкните Регистрация приложений.

3. В верхней части панели "Регистрация приложений" щелкните Конечные точки.

   

4. Из списка конечных точек скопируйте значение конечной точки маркера OAuth 2.0.

   

Дальнейшие действия

В этой статье вы создали веб-приложение Microsoft Entra и собрали необходимые сведения в клиентских приложениях, которые вы создаете с помощью пакета SDK для .NET, Java, Python, REST API и т. д. Теперь вы можете перейти к следующим статьям, которые говорят о том, как использовать собственное приложение Microsoft Entra для первой проверки подлинности с помощью Data Lake Storage 1-го поколения, а затем выполнять другие операции в магазине.

• Аутентификация между службами в Data Lake Storage 1-го поколения с помощью Java
• Аутентификация между службами в Data Lake Storage 1-го поколения с помощью пакета SDK для .NET
• Аутентификация между службами в Data Lake Storage 1-го поколения с помощью Python
• Аутентификация между службами в Data Lake Storage 1-го поколения с помощью REST API