Identitets- och åtkomstkontroll
I den här lektionen lär du dig hur du autentiserar användare och ger åtkomst till Azure-filresurser. Azure Files stöder identitetsbaserad autentisering för kunder som har åtkomst till filresurser via SMB. Dessutom kan SMB-användare även autentisera med hjälp av en lagringskontonyckel. NFS-filresurser förlitar sig på autentisering på nätverksnivå och är därför endast tillgängliga via begränsade nätverk. Att använda en NFS-filresurs kräver alltid en viss nivå av nätverkskonfiguration. Filresursåtkomst via REST-API:er använder signaturer för delad åtkomst och lagringskontonycklar för specifika datahanteringsåtgärder.
Identitetsbaserad autentisering: Kunder kan använda identitetsbaserad åtkomst via Kerberos-autentiseringsprotokollet. Active Directory-tjänster lagrar information om användarkonton, till exempel användarnamn, lösenord, kontaktinformation och så vidare. Azure Files integreras med vanliga katalogtjänster för att verifiera användarkontoinformationen och aktivera lyckad autentisering. För SMB är identitetsbaserad autentisering det säkraste och rekommenderade alternativet.
Lagringskontonyckel: En användare med lagringskontonyckeln kan komma åt Azure-filresurser med superanvändarbehörigheter via SMB och REST. Helst bör endast superanvändaradministratörer använda lagringskontonycklar eftersom de kringgår alla åtkomstbegränsningar. För filresurser som används av företagskunder är lagringskontonycklar inte skalbara eller säkra mekanismer för organisationsomfattande åtkomst och rekommenderas därför inte. Vi rekommenderar att du undviker att dela lagringskontonycklar och använda identitetsbaserad autentisering.
Signatur för delad åtkomst: Kunder som kommer åt via REST kan använda en signatur för delad åtkomst (SAS) för att autentisera med Azure Files. Signaturer för delad åtkomst används i specifika scenarier där oberoende programvaruleverantörer utvecklar REST API-program och använder Azure Files som en lagringslösning. De används också när interna partner behöver åtkomst via REST för datahanteringsåtgärder. En signatur för delad åtkomst är en URI som ger begränsad åtkomstbehörighet till Azure Storage-resurser. Du kan använda en signatur för delad åtkomst för att ge klienter åtkomst till vissa lagringskontoresurser utan att behöva ge dem åtkomst till din lagringskontonyckel.
Identitetsbaserad autentisering
Azure Files stöder identitetsbaserad autentisering för SMB-filresurser med hjälp av Kerberos-protokollet. När en identitet som är associerad med en användare eller ett program som körs på en klient försöker komma åt data i Azure-filresurser skickas begäran till domäntjänsten för att autentisera identiteten. Om autentiseringen lyckas returneras en Kerberos-token. Klienten skickar en begäran som innehåller Kerberos-token och Azure-filresurser använder den token för att auktorisera begäran. Azure-filresurser tar bara emot Kerberos-token, inte åtkomstautentiseringsuppgifter.
Azure Files stöder följande autentiseringsmetoder för SMB-filresurser:
Lokal Active Directory-domän Services (AD DS): Om du aktiverar AD DS-autentisering för en Azure-filresurs kan användarna autentisera med sina lokala AD DS-autentiseringsuppgifter. Den lokala AD DS måste synkroniseras med Microsoft Entra-ID med Microsoft Entra Connect-synkronisering. Endast hybridanvändare som finns i både lokal AD DS och Microsoft Entra-ID kan autentiseras och auktoriseras för Åtkomst till Azure-filresurser. Kunden måste konfigurera sina domänkontrollanter och domänansluta sina datorer eller virtuella datorer . Domänkontrollanterna kan finnas lokalt eller på virtuella datorer, men klienterna måste ha en siktlinje för domänkontrollanterna, antingen i ett lokalt nätverk eller i samma virtuella nätverk.
Microsoft Entra Domain Services: För Microsoft Entra Domain Services-autentisering bör kunderna aktivera Domain Services och sedan domänansluta de virtuella datorer som de vill komma åt fildata från. De domänanslutna virtuella datorerna måste finnas i samma virtuella nätverk som Domain Services. Kunder behöver dock inte skapa identiteten i Domain Services för att representera lagringskontot. Aktiveringsprocessen skapar identiteten i bakgrunden. Dessutom kan alla användare som finns i Microsoft Entra-ID autentiseras och auktoriseras. Användaren kan endast vara molnbaserad eller hybrid. Plattformen hanterar synkroniseringen från Microsoft Entra-ID till Domain Services utan att kräva någon användarkonfiguration.
Microsoft Entra Kerberos för hybridanvändares identiteter: Azure Files stöder Microsoft Entra Kerberos-autentisering (tidigare Azure AD Kerberos) för hybridanvändares identiteter, som är lokala AD-identiteter som synkroniseras till molnet. Den här konfigurationen använder Microsoft Entra-ID för att utfärda Kerberos-biljetter för att få åtkomst till filresursen via SMB. Det innebär att slutanvändarna kan komma åt Azure-filresurser via Internet utan att behöva en siktlinje för domänkontrollanter från Microsoft Entra-hybridanslutna och Microsoft Entra-anslutna virtuella datorer. Med den här funktionen kan Azure Virtual Desktop-kunder dessutom skapa en Azure-filresurs för att lagra användarprofilcontainrar som hybridanvändares identiteter kan komma åt.
AD-autentisering för Linux-klienter: Autentisering för Linux-klienter stöds via AD DS eller Microsoft Entra Domain Services.
Vanliga användningsfall för identitetsbaserad autentisering
Följande är några vanliga scenarier för att använda identitetsbaserad autentisering:
Migrera från lokala filservrar till Azure Files: Att ersätta lokala filservrar är ett vanligt användningsfall för IT-omvandling för många kunder. Att använda lokal AD DS för att möjliggöra en sömlös migrering till Azure-filer ger inte bara en bra användarupplevelse, utan ger också användarna åtkomst till filresursen och data med sina aktuella autentiseringsuppgifter genom att domänen ansluter till deras datorer.
Flytta företagsprogram till molnet: När kunderna flyttar sina lokala inbyggda program till molnet eliminerar identitetsbaserad autentisering med Azure Files behovet av att ändra dina autentiseringsmekanismer för att stödja molnprogram.
Säkerhetskopiering och haveriberedskap: Azure Files kan fungera som lagringssystem för säkerhetskopiering för lokala filservrar. Genom att konfigurera korrekt autentisering kan du framtvinga åtkomstkontroller under haveriberedskapsscenarier.