使用 Microsoft Entra ID 通过 Azure Data Lake Storage Gen1 进行服务到服务身份验证

Azure Data Lake Storage Gen1 使用 Microsoft Entra ID 进行身份验证。 在创作适用于 Data Lake Storage Gen1 的应用程序之前,必须决定如何使用 Microsoft Entra ID 对应用程序进行身份验证。 可用的两个主要选项是:

  • 最终用户身份验证
  • 服务到服务身份验证(本文所述)

这两个选项都会将 OAuth 2.0 令牌提供给应用程序,此令牌会附加到对 Data Lake Storage Gen1 作出的每个请求。

本文介绍如何创建用于服务到服务身份验证的 Microsoft Entra Web 应用程序。 有关Microsoft Entra最终用户身份验证的应用程序配置的说明,请参阅使用 Microsoft Entra ID 通过Data Lake Storage Gen1进行最终用户身份验证

先决条件

步骤 1:创建 Active Directory Web 应用程序

使用 Microsoft Entra ID 通过 Azure Data Lake Storage Gen1 创建并配置Microsoft Entra Web 应用程序,以便进行服务到服务身份验证。 有关说明,请参阅创建Microsoft Entra应用程序

遵循以上链接的说明时,请确保为应用程序类型选择“Web 应用/API”,如以下屏幕截图所示

创建 Web 应用

步骤 2:获取应用程序 ID、身份验证密钥和租户 ID

以编程方式登录时,需要应用程序的 ID。 如果应用程序在其自己的凭据下运行,则还需要身份验证密钥。

步骤 3:将Microsoft Entra应用程序分配到 Azure Data Lake Storage Gen1 帐户文件或文件夹

  1. 登录到 Azure 门户。 打开要与之前创建的 Microsoft Entra 应用程序关联的 Data Lake Storage Gen1 帐户。

  2. 在 Data Lake Storage Gen1 帐户边栏选项卡中,单击“数据资源管理器”

    在 Data Lake Storage Gen1 帐户中创建目录

  3. “数据资源管理器”边栏选项卡中,单击要为其提供Microsoft Entra应用程序访问权限的文件或文件夹,然后单击“访问”。 若要配置对文件的访问,必须在“文件预览”边栏选项卡中单击“访问”

    对 Data Lake 文件系统设置 ACL

  4. “访问”边栏选项卡会列出已分配给根的标准访问和自定义访问。 单击“添加”图标添加自定义级别的 ACL。

    列出标准及自定义访问权限

  5. 单击“添加”图标打开“添加自定义访问”边栏选项卡。 在此边栏选项卡中,单击“选择用户或组”,然后在“选择用户或组”边栏选项卡中,查找之前创建的Microsoft Entra应用程序。 如果搜索范围中存在大量的组,请使用顶部的文本框筛选组名称。 单击要添加的组,并单击“选择”

    添加组

  6. 单击“选择权限”,选择权限以及是将这些权限分配为默认 ACL、访问 ACL 还是同时分配为这两类。 单击 “确定”

    “添加自定义访问权限”边栏选项卡(其中标注了“选择权限”选项)和“选择权限”边栏选项卡(其中标注了“确定”选项)的屏幕截图。

    有关 Data Lake Storage Gen1 中的权限和默认/访问 ACL 的详细信息,请参阅 Data Lake Storage Gen1 中的访问控制

  7. 在“添加自定义访问”边栏选项卡中,单击“确定”。 新添加的组以及相关的权限在“访问权限”边栏选项卡中列出。

    “访问权限”边栏选项卡的屏幕截图,新添加的组在“自定义访问权限”部分进行了标注。

注意

如果计划将Microsoft Entra应用程序限制为特定文件夹,则还需要向该Microsoft Entra应用程序授予对根目录的“执行”权限,以便通过 .NET SDK 启用文件创建访问权限。

注意

如果要使用 SDK 创建Data Lake Storage Gen1帐户,必须将Microsoft Entra Web 应用程序作为角色分配给在其中创建Data Lake Storage Gen1帐户的资源组。

步骤 4:获取 OAuth 2.0 令牌终结点(仅适用于基于 Java 的应用程序)

  1. 登录 Azure 门户,在左侧窗格中单击“Active Directory”。

  2. 在左侧窗格中,单击“应用注册”

  3. 在“应用注册”边栏选项卡顶部,单击“终结点”

    Active Directory 的屏幕截图,其中标注了“应用注册”选项和“终结点”选项。

  4. 从终结点列表中,复制 OAuth 2.0 令牌终结点。

    “终结点”边栏选项卡的屏幕截图,其中标注了 OAuth 2.0 令牌终结点复制图标。

后续步骤

在本文中,你创建了一个Microsoft Entra Web 应用程序,并在使用 .NET SDK、Java、Python、REST API 等创作的客户端应用程序中收集了所需的信息。现在可以继续阅读以下文章,这些文章介绍如何使用 Microsoft Entra 本机应用程序先对 Data Lake Storage Gen1 进行身份验证,然后在存储区上执行其他操作。