Поделиться через


Проверка подлинности между службами с помощью Azure Data Lake Storage 1-го поколения с использованием Microsoft Entra ID

Azure Data Lake Storage 1-го поколения использует Microsoft Entra ID для проверки подлинности. Перед созданием приложения, которое работает с Data Lake Storage 1-го поколения, необходимо решить, как проверить подлинность приложения с помощью Microsoft Entra ID. Доступно два основных варианта:

  • Проверка подлинности конечных пользователей
  • Аутентификация между службами (в этой статье)

Оба варианта позволят приложению получить маркер OAuth 2.0, который используется в каждом запросе к Data Lake Storage 1-го поколения.

В этой статье описывается создание веб-приложения Microsoft Entra для проверки подлинности между службами. Инструкции по Microsoft Entra конфигурации приложения для проверки подлинности конечных пользователей см. в статье Проверка подлинности конечных пользователей с помощью Data Lake Storage 1-го поколения с помощью Microsoft Entra ID.

Предварительные требования

Шаг 1. Создание веб-приложения Active Directory

Создание и настройка веб-приложения Microsoft Entra для проверки подлинности между службами с помощью Azure Data Lake Storage 1-го поколения с помощью Microsoft Entra ID. Инструкции см. в разделе Создание приложения Microsoft Entra.

При выполнении инструкций по ссылке выше обязательно выберите тип приложения Веб-приложение или API, как показано на следующем снимке экрана:

Создание веб-приложения

Шаг 2. Получение идентификатора приложения, ключа проверки подлинности и идентификатора клиента

При программном входе необходимо указывать идентификатор приложения. Если приложение работает с использованием собственных учетных данных, потребуется также ключ проверки подлинности.

Шаг 3. Назначение приложения Microsoft Entra файлу или папке учетной записи Azure Data Lake Storage 1-го поколения

  1. Выполните вход на портал Azure. Откройте учетную запись Data Lake Storage 1-го поколения, которую вы хотите связать с приложением Microsoft Entra, созданным ранее.

  2. В колонке учетной записи Data Lake Storage 1-го поколения щелкните Azure Data Explorer.

    Создание каталогов в Data Lake Storage 1-го поколения учетной записи

  3. В колонке Data Explorer выберите файл или папку, для которых требуется предоставить доступ к Microsoft Entra приложению, и нажмите кнопку Доступ. Чтобы настроить доступ к файлу, необходимо нажать кнопку Доступ в колонке Предварительный просмотр файла.

    Настройка списков управления доступом в файловой системе Data Lake

  4. В колонке Доступ перечислены стандартные и пользовательские варианты доступа, уже назначенные корню. Щелкните значок Добавить , чтобы добавить ACL пользовательского уровня.

    Список стандартного и настраиваемого доступа

  5. Щелкните значок Добавить, чтобы открыть колонку Добавить настраиваемый доступ. В этой колонке щелкните Выбрать пользователя или группу, а затем в колонке Выбор пользователя или группы найдите созданное ранее приложение Microsoft Entra. Если у вас много групп для поиска, воспользуйтесь текстовым полем в верхней части для фильтрации по имени группы. Выберите группу, которую необходимо добавить, и нажмите кнопку Выбрать.

    Добавление группы

  6. Щелкните Выберите разрешения, выберите необходимые разрешения, а затем укажите, назначить ли разрешения как список ACL по умолчанию, список ACL для доступа или оба этих параметра. Нажмите кнопку ОК.

    Снимок экрана: колонка

    Дополнительные сведения о разрешениях в Data Lake Storage 1-го поколения и списках ACL (по умолчанию и для доступа) см. в статье Контроль доступа в Data Lake Storage 1-го поколения.

  7. В колонке Добавить настраиваемый доступ нажмите кнопку ОК. Теперь добавленные группы с соответствующими разрешениями отобразятся в колонке Доступ.

    Снимок экрана: колонка

Примечание

Если вы планируете ограничить Microsoft Entra приложение определенной папкой, необходимо также предоставить тому же приложению разрешение на выполнение Microsoft Entra корневому каталогу, чтобы разрешить доступ к созданию файлов с помощью пакета SDK для .NET.

Примечание

Если вы хотите использовать пакеты SDK для создания учетной записи Data Lake Storage 1-го поколения, необходимо назначить Microsoft Entra веб-приложение в качестве роли группе ресурсов, в которой создается учетная запись Data Lake Storage 1-го поколения.

Шаг 4. Получение конечной точки маркера OAuth 2.0 (только для приложений на основе Java)

  1. Войдите на портал Azure и щелкните "Active Directory" в области слева.

  2. В левой области щелкните Регистрация приложений.

  3. В верхней части колонки "Регистрация приложений" щелкните Конечные точки.

    Снимок экрана: Active Directory с параметром Регистрация приложений и параметром Конечные точки.

  4. Из списка конечных точек скопируйте значение конечной точки маркера OAuth 2.0.

    Снимок экрана: колонка

Дальнейшие действия

В этой статье вы создали веб-приложение Microsoft Entra и собрали необходимые сведения в клиентских приложениях, которые вы создаете с помощью пакета SDK для .NET, Java, Python, REST API и т. д. Теперь вы можете перейти к следующим статьям о том, как использовать Microsoft Entra машинное приложение для проверки подлинности с помощью Data Lake Storage 1-го поколения, а затем выполнить другие операции в хранилище.