Поделиться через

Проверка подлинности конечных пользователей с помощью Azure Data Lake Storage 1-го поколения с помощью идентификатора Microsoft Entra

  • Статья

Azure Data Lake Storage 1-го поколения использует идентификатор Microsoft Entra для проверки подлинности. Прежде чем создавать приложение, которое работает с Data Lake Storage 1-го поколения или Azure Data Lake Analytics, необходимо решить, как пройти проверку подлинности приложения с помощью идентификатора Microsoft Entra. Доступно два основных варианта:

  • Аутентификация конечного пользователя (в этой статье)
  • аутентификация между службами (выберите этот параметр в раскрывающемся списке выше).

Оба этих варианта позволят приложению получить маркер OAuth 2.0, который вкладывается в каждый запрос к Data Lake Storage 1-го поколения или Azure Data Lake Analytics.

В этой статье описывается создание собственного приложения Microsoft Entra для проверки подлинности конечных пользователей. Инструкции по настройке приложения Microsoft Entra для проверки подлинности между службами см. в разделе "Проверка подлинности между службами" с помощью Data Lake Storage 1-го поколения с помощью идентификатора Microsoft Entra.

Предпосылки

  • Подписка Azure. Посмотрите Получение бесплатной пробной версии Azure.

  • Идентификатор подписки. Его можно получить на портале Azure. Например, эта функция доступна на панели учетной записи Data Lake Storage Gen1.

    Получение идентификатора подписки

  • Доменное имя Microsoft Entra. Его можно получить, наведя указатель мыши на правый верхний угол страницы портала Azure. На приведенном ниже снимке экрана указано имя домена contoso.onmicrosoft.com, а идентификатор GUID в скобках — это идентификатор клиента.

    Получение домена Microsoft Entra

  • Ваш идентификатор клиента Azure. Инструкции о том, как получить идентификатор клиента, см. в разделе Получение идентификатора клиента.

Проверка подлинности конечных пользователей

Этот механизм проверки подлинности рекомендуется использовать, если требуется, чтобы конечный пользователь вошел в приложение с помощью идентификатора Microsoft Entra. Приложение будет иметь тот же уровень доступа к ресурсам Azure, что и вошедший пользователь. Пользователю необходимо периодически вводить свои учетные данные, чтобы у вашего приложения оставался доступ.

Результатом входа конечного пользователя является то, что приложение получает маркер доступа и маркер обновления. Маркер доступа присоединяется к каждому запросу, сделанному для Data Lake Storage 1-го поколения или Data Lake Analytics, и по умолчанию он действителен в течение одного часа. Токен обновления можно использовать для получения нового токена доступа, и он действует в течение двух недель по умолчанию. Вы можете использовать два различных подхода для входа пользователей.

Использование всплывающего окна OAuth 2.0

Приложение может активировать всплывающее окно авторизации OAuth 2.0, в котором пользователь может ввести свои учетные данные. При необходимости это всплывающее окно также работает с процессом Двухфакторной проверки подлинности (2FA) Microsoft Entra.

Примечание.

Этот метод еще не поддерживается в библиотеке аутентификации Azure AD (ADAL) для Java или Python.

Непосредственная передача учетных данных пользователя

Приложение может напрямую предоставить учетные данные пользователя идентификатору Microsoft Entra. Этот метод работает только с учетными записями пользователей с идентификатором организации; он не совместим с личными учетными записями пользователей или учетными записями «Live ID», включая учетные записи, заканчивающиеся на @outlook.com или @live.com. Кроме того, этот метод несовместим с учетными записями пользователей, для которых требуется двухфакторная проверка подлинности Microsoft Entra (2FA).

Что мне нужно для применения этого подхода?

  • Доменное имя Microsoft Entra. Это требование уже указано в предварительных требованиях к этой статье.
  • Идентификатор клиента Microsoft Entra. Это требование уже указано в предварительных требованиях этой статьи.
  • Собственное приложение Microsoft Entra ID
  • Идентификатор приложения для нативного приложения Microsoft Entra
  • URI перенаправления для локального приложения Microsoft Entra
  • Установить делегированные разрешения.

Шаг 1. Создание собственного приложения Active Directory

Создайте и настройте собственное приложение Microsoft Entra для проверки подлинности конечных пользователей с помощью Data Lake Storage 1-го поколения с помощью идентификатора Microsoft Entra. Инструкции см. в разделе "Создание приложения Microsoft Entra".

При выполнении инструкций по ссылке обязательно выберите тип приложения Native (Нативный), как показано на снимке экрана ниже.

Создание веб-приложения

Шаг 2. Получение идентификатора приложения и URI перенаправления

Ознакомьтесь с разделом Получение идентификатора приложения, чтобы получить идентификатор приложения.

Чтобы получить URI перенаправления, выполните следующие действия.

  1. В портал Azure выберите идентификатор Microsoft Entra, выберите Регистрация приложений, а затем найдите и выберите созданное вами собственное приложение Microsoft Entra.

  2. На панели Настройки приложения выберите URI перенаправления.

    Получите URI перенаправления

  3. Скопируйте отображенное значение.

Шаг 3. Установка разрешений

  1. В портал Azure выберите идентификатор Microsoft Entra, выберите Регистрация приложений, а затем найдите и выберите созданное вами собственное приложение Microsoft Entra.

  2. В колонке "Параметры " для приложения выберите необходимые разрешения и нажмите кнопку "Добавить".

    Скриншот панели

  3. В колонке "Добавление доступа к API" выберите API, выберите Azure Data Lake и выберите " Выбрать".

    Снимок экрана: колонка

  4. В колонке "Добавление доступа к API" установите флажок "Выбрать разрешения", чтобы предоставить полный доступ к Data Lake Store, а затем нажмите кнопку "Выбрать".

    Снимок экрана: колонка

    Нажмите кнопку Готово.

  5. Повторите последние два шага, чтобы также предоставить разрешения для API управления службами Microsoft Azure.

Дальнейшие действия

В этой статье вы создали собственное приложение Microsoft Entra и собрали необходимые сведения в клиентских приложениях, которые вы создаете с помощью пакета SDK для .NET, пакета SDK для Java, REST API и т. д. Теперь вы можете перейти к следующим статьям, которые говорят о том, как использовать веб-приложение Microsoft Entra для первой проверки подлинности с помощью Data Lake Storage 1-го поколения, а затем выполнять другие операции в магазине.