Tjänst-till-tjänst-autentisering med Azure Data Lake Storage Gen1 med microsoft entra-ID
Azure Data Lake Storage Gen1 använder Microsoft Entra-ID för autentisering. Innan du skapar ett program som fungerar med Data Lake Storage Gen1 måste du bestämma hur du ska autentisera ditt program med Microsoft Entra-ID. De två huvudsakliga tillgängliga alternativen är:
- Slutanvändarautentisering
- Tjänst-till-tjänst-autentisering (den här artikeln)
Båda dessa alternativ resulterar i att ditt program får en OAuth 2.0-token, som kopplas till varje begäran som görs till Data Lake Storage Gen1.
I den här artikeln beskrivs hur du skapar ett Microsoft Entra-webbprogram för tjänst-till-tjänst-autentisering. Anvisningar om Microsoft Entra-programkonfiguration för slutanvändarautentisering finns i Slutanvändarautentisering med Data Lake Storage Gen1 med Microsoft Entra-ID.
Förutsättningar
- Ett Azure-abonnemang. Se Hämta en kostnadsfri utvärderingsversion av Azure.
Steg 1: Skapa ett Active Directory-webbprogram
Skapa och konfigurera ett Microsoft Entra-webbprogram för tjänst-till-tjänst-autentisering med Azure Data Lake Storage Gen1 med hjälp av Microsoft Entra-ID. Anvisningar finns i Skapa ett Microsoft Entra-program.
När du följer anvisningarna på föregående länk måste du välja Webbapp/API för programtyp, som du ser i följande skärmbild:
Steg 2: Hämta program-ID, autentiseringsnyckel och klient-ID
När du loggar in programmatiskt behöver du ID:t för ditt program. Om programmet körs under sina egna autentiseringsuppgifter behöver du också en autentiseringsnyckel.
Anvisningar om hur du hämtar program-ID och autentiseringsnyckel (kallas även klienthemlighet) för ditt program finns i Hämta program-ID och autentiseringsnyckel.
Anvisningar om hur du hämtar klientorganisations-ID finns i Hämta klientorganisations-ID.
Steg 3: Tilldela Microsoft Entra-programmet till Azure Data Lake Storage Gen1-kontofilen eller mappen
Logga in på Azure Portal. Öppna det Data Lake Storage Gen1-konto som du vill associera med Microsoft Entra-programmet som du skapade tidigare.
På din Data Lake Storage Gen1-kontoblad klickar du på Datautforskaren.
På bladet Datautforskaren klickar du på den fil eller mapp som du vill ge åtkomst till Microsoft Entra-programmet för och klickar sedan på Åtkomst. Om du vill konfigurera åtkomst till en fil måste du klicka på Åtkomst från bladet Förhandsgranskning av fil.
På bladet Åtkomst visas den standardåtkomst och anpassade åtkomst som redan har tilldelats roten. Klicka på ikonen Lägg till för att lägga till ACL:er på anpassad nivå.
Klicka på ikonen Lägg till för att öppna bladet Lägg till anpassad åtkomst. På det här bladet klickar du på Välj användare eller grupp och letar sedan efter Microsoft Entra-programmet som du skapade tidigare på bladet Välj användare eller grupp . Om du har många grupper att söka från använder du textrutan längst upp för att filtrera efter gruppnamnet. Klicka på den grupp som du vill lägga till och klicka sedan på Välj.
Klicka på Välj behörigheter, välj behörigheter och om du vill tilldela behörigheterna som en standard-ACL, åtkomst till ACL eller båda. Klicka på OK.
Mer information om behörigheter i Data Lake Storage Gen1 och ACL:er för standard/åtkomst finns i Åtkomstkontroll i Data Lake Storage Gen1.
På bladet Lägg till anpassad åtkomst klickar du på OK. De nyligen tillagda grupperna, med tillhörande behörigheter, visas på bladet Åtkomst .
Anmärkning
Om du planerar att begränsa ditt Microsoft Entra-program till en specifik mapp måste du också ge samma Microsoft Entra-program Kör behörighet till roten för att aktivera åtkomst till filskapande via .NET SDK.
Anmärkning
Om du vill använda SDK:erna för att skapa ett Data Lake Storage Gen1-konto måste du tilldela Microsoft Entra-webbprogrammet som en roll till resursgruppen där du skapar Data Lake Storage Gen1-kontot.
Steg 4: Hämta OAuth 2.0-tokenslutpunkten (endast för Java-baserade program)
Logga in på Azure Portal och klicka på Active Directory i det vänstra fönstret.
Klicka på Appregistreringar i den vänstra rutan.
Längst upp på bladet Appregistreringar klickar du på Slutpunkter.
Kopiera OAuth 2.0-tokenslutpunkten från listan över slutpunkter.
Nästa steg
I den här artikeln skapade du ett Microsoft Entra-webbprogram och samlade in den information du behöver i dina klientprogram som du skapar med hjälp av .NET SDK, Java, Python, REST API osv. Nu kan du gå vidare till följande artiklar som beskriver hur du använder det inbyggda Microsoft Entra-programmet för att först autentisera med Data Lake Storage Gen1 och sedan utföra andra åtgärder i arkivet.
- Tjänst-till-tjänst-autentisering med Data Lake Storage Gen1 med Java
- Tjänst-till-tjänst-autentisering med Data Lake Storage Gen1 med hjälp av .NET SDK
- Tjänst-till-tjänst-autentisering med Data Lake Storage Gen1 med Python
- Tjänst-till-tjänst-autentisering med Data Lake Storage Gen1 med hjälp av REST API