Autentisering för analys i molnskala i Azure
Autentisering är processen för att verifiera användarens eller programmets identitet. En enda källidentitetsprovider föredras, som hanterar identitetshantering och autentisering. Den här providern kallas för en katalogtjänst. Den innehåller metoder för att lagra katalogdata och göra dessa data tillgängliga för nätverksanvändare och administratörer.
Alla datasjölösningar bör använda och integreras med en befintlig katalogtjänst. För de flesta organisationer är katalogtjänsten för alla identitetsrelaterade tjänster Active Directory. Det är den primära och centraliserade databasen för alla tjänst- och användarkonton.
I molnet är Microsoft Entra ID en centraliserad identitetsprovider och önskad källa för identitetshantering. Om du delegerar autentisering och auktorisering till Microsoft Entra-ID kan du använda scenarier som principer för villkorlig åtkomst som kräver att en användare befinner sig på en viss plats. Den stöder multifaktorautentisering för att öka åtkomstsäkerheten. Datatjänster bör konfigureras med Microsoft Entra ID-integrering när det är möjligt.
För datatjänster som inte stöder Microsoft Entra-ID bör du utföra autentisering med hjälp av en åtkomstnyckel eller token. Du bör lagra åtkomstnyckeln i ett nyckelhanteringsarkiv, till exempel Azure Key Vault.
Autentiseringsscenarier för analys i molnskala är:
- Användarautentisering: Användare autentiserar via Microsoft Entra-ID med sina autentiseringsuppgifter.
- Program-till-tjänst-autentisering: Program autentiserar med tjänstens huvudnamn.
- Tjänst-till-tjänst-autentisering: Azure-resurser autentiserar med hanterade identiteter som hanteras automatiskt av Azure.
Autentiseringsscenarier
Användarautentisering
Användare som ansluter till en datatjänst eller resurs måste presentera en autentiseringsuppgift. Den här autentiseringsuppgiften bevisar att användarna är de som de påstår sig vara. Sedan kan de komma åt tjänsten eller resursen. Autentisering gör det också möjligt för tjänsten att känna till användarnas identitet. Tjänsten bestämmer vad en användare kan se och göra när identiteten har verifierats.
Azure Data Lake Storage Gen2, Azure SQL Database, Azure Synapse Analytics och Azure Databricks stöder Microsoft Entra ID-integrering. Det interaktiva användarautentiseringsläget kräver att användarna anger autentiseringsuppgifter i en dialogruta.
Viktigt!
Hårdkoda inte användarautentiseringsuppgifter i ett program i autentiseringssyfte.
Tjänst-till-tjänst-autentisering
Även när en tjänst får åtkomst till en annan tjänst utan mänsklig interaktion måste den presentera en giltig identitet. Den här identiteten bevisar tjänstens äkthet, vilket gör det möjligt för den använda tjänsten att fastställa de tillåtna åtgärderna.
För tjänst-till-tjänst-autentisering är den bästa metoden för att autentisera Azure-tjänster hanterade identiteter. Hanterade identiteter för Azure-resurser tillåter autentisering till alla tjänster som stöder Microsoft Entra-autentisering utan några explicita autentiseringsuppgifter. Mer information finns i Vad är hanterade identiteter för Azure-resurser.
Hanterade identiteter är tjänstens huvudnamn, som bara kan användas med Azure-resurser. Till exempel kan en hanterad identitet skapas direkt för en Azure Data Factory-instans. Den här hanterade identiteten, registrerad med Microsoft Entra-ID som ett objekt, representerar Data Factory-instansen. Den här identiteten kan sedan användas för att autentisera till alla tjänster, till exempel Data Lake Storage, utan några autentiseringsuppgifter i koden. Azure tar hand om de autentiseringsuppgifter som används av tjänstinstansen. Identiteten kan bevilja auktorisering till Azure-tjänstresurser, till exempel en mapp i Azure Data Lake Storage. När du tar bort den här Data Factory-instansen rensar Azure identiteten i Microsoft Entra-ID:t.
Fördelar med att använda hanterade identiteter
Hanterade identiteter ska användas för att autentisera en Azure-tjänst till en annan Azure-tjänst eller resurs. De ger följande fördelar:
- En hanterad identitet representerar den tjänst som den skapas för. Den representerar inte en interaktiv användare.
- Autentiseringsuppgifter för hanterade identiteter underhålls, hanteras och lagras i Microsoft Entra-ID. Det finns inget lösenord för en användare att behålla.
- Med hanterade identiteter använder klienttjänsterna inte lösenord.
- Den systemtilldelade hanterade identiteten tas bort när tjänstinstansen tas bort.
Dessa fördelar innebär att autentiseringsuppgifterna skyddas bättre och att säkerhetskompromisser är mindre sannolika.
Program-till-tjänst-autentisering
Ett annat åtkomstscenario omfattar ett program, till exempel en mobil- eller webbapp, som har åtkomst till en Azure-tjänst. Programmet måste presentera sin identitet, som sedan måste verifieras.
Ett Azure tjänstens huvud är alternativet för applikationer och tjänster som inte stöder hanterade identiteter för att autentisera mot Azure-resurser. Det är en identitet som skapats specifikt för program, värdbaserade tjänster och automatiserade verktyg för åtkomst till Azure-resurser. De roller som tilldelats service principalen styr dess åtkomst. Av säkerhetsskäl rekommenderas det att använda tjänstens huvudkonton med automatiserade verktyg eller applikationer i stället för att tillåta dem att logga in med en användaridentitet. Mer information finns i Program- och tjänsthuvudnamnsobjekt i Microsoft Entra-ID.
Skillnad mellan hanterad identitet och tjänstens huvudnamn
| Tjänstens huvudnamn | Hanterade identiteter |
|---|---|
| En säkerhetsidentitet som skapats manuellt i Microsoft Entra-ID för användning av program, tjänster och verktyg för att få åtkomst till specifika Azure-resurser. | En särskild typ av tjänstens huvudnamn. Det är en automatisk identitet som skapas när en Azure-tjänst skapas. |
| Används av program eller tjänster och är inte knutna till en specifik Azure-tjänst. | Representerar en azure-tjänstinstans. Det kan inte användas för att representera andra Azure-tjänster. |
| Har en oberoende livscykel. Du måste ta bort den explicit. | Tas bort automatiskt när Azure-tjänstinstansen tas bort. |
| Lösenordsbaserad eller certifikatbaserad autentisering. | Inget uttryckligt lösenord ska anges för autentisering. |
Kommentar
Både hanterade identiteter och tjänstens huvudnamn skapas och underhålls endast i Microsoft Entra-ID.
Metodtips för autentisering i analys i molnskala
I analys i molnskala är det av största vikt att säkerställa robusta och säkra autentiseringsmetoder. Metodtips för autentisering över olika lager, inklusive databaser, lagring och analystjänster. Genom att använda Microsoft Entra-ID kan organisationer förbättra säkerheten med funktioner som multifaktorautentisering (MFA) och principer för villkorlig åtkomst.
| Lager | Tjänst | Rekommendationer |
|---|---|---|
| Databaser | Azure SQL DB, SQL MI, Synapse, MySQL, PostgreSQL osv. | Använd Microsoft Entra-ID för autentisering med databaser som PostgreSQL, Azure SQLoch MySQL. |
| Lagring | Azure Data Lake Storage (ADLS) | Använd Microsoft Entra-ID för autentisering för säkerhetsobjekt (användare, grupp, tjänstens huvudnamn eller hanterad identitet) med ADLS över delad nyckel eller SAS eftersom det möjliggör förbättrad säkerhet genom dess stöd för multifaktorautentisering (MFA) och principer för villkorlig åtkomst. |
| Lagring | ADLS från Azure Databricks | Anslut till ADLS-med Unity Catalog i stället för direkt åtkomst på lagringsnivå genom att skapa en lagringsautentiseringsuppgift genom en hanterad identitet och en extern plats. |
| Analytics | Azure Databricks | Använd SCIM för att synkronisera användare och grupper från Microsoft Entra ID. Om du vill komma åt Databricks-resurser med hjälp av REST-API:er använda OAuth med ett Databricks-tjänsthuvudnamn. |
Viktigt!
Om Azure Databricks-användare får direkt åtkomst på lagringsnivå till ADLS kringgås Unity Catalogs behörigheter, granskningar och säkerhetsfunktioner, inklusive åtkomstkontroll och övervakning. För att helt skydda och styra data bör åtkomst till data som lagras i ADLS för Azure Databricks-arbetsyteanvändare hanteras via Unity Catalog.