使用 Microsoft Entra ID 向 Azure Data Lake Storage Gen1 進行用戶驗證
Azure Data Lake Storage Gen1 使用 Microsoft Entra ID 進行驗證。 在撰寫可與 Data Lake Storage Gen1 或 Azure Data Lake Analytics 搭配運作的應用程式之前,您必須決定如何使用 Microsoft Entra ID 驗證應用程式。 兩個主要選項為︰
- 使用者驗證 (本文)
- 服務對服務驗證 (從上方的下拉式清單選擇這個選項)
兩個選項都要透過 OAuth 2.0 權杖來提供您的應用程式,權杖會附加到每個對 Data Lake Storage Gen1 或 Azure Data Lake Analytics 提出的要求。
本文說明如何建立 Microsoft Entra 原生應用程式以進行用戶驗證。 如需服務對服務驗證 Microsoft Entra 應用程式組態的指示,請參閱使用 Microsoft Entra ID 搭配 Data Lake Storage Gen1的服務對服務驗證。
必要條件
Azure 訂用帳戶。 請參閱取得 Azure 免費試用。
您的訂用帳戶識別碼。 您可以在 Azure 入口網站擷取。 例如,您可以從 [Data Lake Storage Gen1 帳戶] 刀鋒視窗取得。
您的 Microsoft Entra功能變數名稱。 將滑鼠游標暫留在 Azure 入口網站右上角,即可擷取它。 在以下螢幕擷取畫面中,網域名稱是 contoso.onmicrosoft.com,括號內的 GUID 是租用戶識別碼。
您的 Azure 租用戶識別碼。 如需有關如何擷取租用戶識別碼的指示,請參閱取得租用戶識別碼。
終端使用者驗證
如果您希望終端使用者透過 Microsoft Entra ID 登入您的應用程式,建議使用此驗證機制。 您的應用程式接著能夠以與登入的終端使用者相同的存取層級,來存取 Azure 資源。 您的終端使用者必須定期提供其認證,您的應用程式才能繼續存取。
使用者登入的結果是您的應用程式獲得存取令牌和重新整理令牌。 存取令牌會附加至對 Data Lake Storage Gen1 或 Data Lake Analytics 提出的每個要求,且預設有效期限為一小時。 重新整理令牌可用來取得新的存取令牌,而且預設最多兩周有效。 您可以針對使用者登入使用兩種不同的方法。
使用 OAuth 2.0 快顯視窗
您的應用程式可以觸發 OAuth 2.0 授權快顯視窗,讓終端使用者輸入其認證。 如有必要,此彈出視窗也適用於 Microsoft Entra 雙因素驗證 (2FA) 程式。
注意
適用於 Python 或 Java 的 Azure AD 驗證程式庫 (ADAL) 尚未支援這個方法。
直接傳遞使用者認證
您的應用程式可以直接提供使用者認證給 Microsoft Entra ID。 這個方法只適用於組織標識碼用戶帳戶;它與個人/「即時標識碼」用戶帳戶不相容,包括結尾為 @outlook.com 或 @live.com的帳戶。 此外,此方法與需要雙因素驗證 (2FA) Microsoft Entra 用戶帳戶不相容。
這個方法需要什麼?
- Microsoft Entra功能變數名稱。 此需求已列在本文的先決條件中。
- Microsoft Entra 租用戶標識碼。 此需求已列在本文的先決條件中。
- Microsoft Entra ID 原生應用程式
- Microsoft Entra 原生應用程式的應用程式識別碼
- Microsoft Entra 原生應用程式的重新導向 URI
- 設定委派權限
步驟 1:建立 Active Directory 原生應用程式
使用 Microsoft Entra ID,建立並設定 Microsoft Entra 原生應用程式,以使用 Data Lake Storage Gen1 進行用戶驗證。 如需指示,請參閱建立 Microsoft Entra 應用程式。
遵循連結中的指示進行時,請確定如以下螢幕擷取畫面所示,選取 [原生] 應用程式類型:
步驟 2:取得應用程式識別碼和重新導向 URI
若要擷取應用程式識別碼,請參閱取得應用程式識別碼。
若要擷取重新導向 URI,請進行下列步驟。
從 Azure 入口網站 選取 [Microsoft Entra ID]、選取 [應用程式註冊],然後尋找並選取您所建立 Microsoft Entra 原生應用程式。
從應用程式的 [ 設定 ] 刀鋒視窗中,選取 [ 重新導向 URI]。
複製顯示的值。
步驟 3:設定權限
從 Azure 入口網站 選取 [Microsoft Entra ID]、選取 [應用程式註冊],然後尋找並選取您所建立 Microsoft Entra 原生應用程式。
從應用程式的 [ 設定 ] 刀鋒視窗中,選取 [必要許可權],然後選取 [ 新增]。
![[設定] 刀鋒視窗的螢幕擷取畫面,其中已框選 [重新導向 URI] 選項,而 [重新導向 URI] 刀鋒視窗已框選實際 URI。](media/data-lake-store-end-user-authenticate-using-active-directory/aad-end-user-auth-set-permission-1.png)
在 [ 新增 API 存取 ] 刀鋒視窗中, 選取 [選取 API]、選取 [Azure Data Lake],然後選取 [ 選取]。
![[新增 API 存取] 刀鋒視窗的螢幕擷取畫面,其中已框選 [選取 API] 選項,而 [選取 API] 刀鋒視窗具有 [Azure Data Lake] 選項並已框選 [選取] 選項。](media/data-lake-store-end-user-authenticate-using-active-directory/aad-end-user-auth-set-permission-2.png)
在 [ 新增 API 存取 ] 刀鋒視窗中,選取 [ 選取許可權],選取複選框以授 與 Data Lake Store 的完整存取權,然後選取 [ 選取]。
![[新增 API 存取] 刀鋒視窗的螢幕擷取畫面,其中已框選 [選取權限] 選項,而 [啟用存取] 刀鋒視窗具有 [有 Azure Data Lake Service 的完整存取權] 選項並已框選 [選取] 選項。](media/data-lake-store-end-user-authenticate-using-active-directory/aad-end-user-auth-set-permission-3.png)
選取 [完成]。
重複最後兩個步驟,以便將權限也授與 Windows Azure 服務管理 API。
下一步
在本文中,您已建立 Microsoft Entra 原生應用程式,並收集您在使用 .NET SDK、Java SDK、REST API 等撰寫之用戶端應用程式中所需的資訊。您現在可以繼續進行下列文章,討論如何使用 Microsoft Entra Web 應用程式先向 Data Lake Storage Gen1 進行驗證,然後在存放區上執行其他作業。