Azure Data Lake Storage Gen1 會使用 Microsoft Entra ID 進行驗證。 撰寫搭配 Data Lake Storage Gen1 的應用程式之前,必須決定要如何向 Microsoft Entra ID 驗證應用程式。 兩個主要選項為︰
- 終端使用者驗證
- 服務對服務驗證 (本文)
這兩個選項都會為您的應用程式提供 OAuth 2.0 權杖,該權杖會附加到每個對 Data Lake Storage Gen1 提出的請求中。
本文說明如何建立 Microsoft Entra Web 應用程式以進行服務對服務驗證。 如需適用於終端使用者驗證之 Microsoft Entra 應用程式設定的指示,請參閱使用 Microsoft Entra ID 向 Data Lake Storage Gen1 進行終端使用者驗證。
先決條件
- Azure 訂用帳戶。 請參閱取得 Azure 免費試用。
步驟 1:建立 Active Directory Web 應用程式
建立和設定 Microsoft Entra Web 應用程式,以便使用 Microsoft Entra ID 向 Azure Data Lake Storage Gen1 進行服務對服務驗證。 如需指示,請參閱建立 Microsoft Entra 應用程式。
依照上面連結中的指示進行時,請確定如以下螢幕擷取畫面所示,選取 [Web 應用程式 / API] 應用程式類型:
步驟 2:取得應用程式識別碼、驗證金鑰及租用戶識別碼
以程式設計方式登入時,您需要應用程式的識別碼。 如果應用程式是在自己的認證下執行,則您還需要一個驗證金鑰。
如需有關如何為應用程式擷取應用程式識別碼和驗證金鑰 (也稱為用戶端祕密) 的指示,請參閱取得應用程式識別碼和驗證金鑰。
如需有關如何擷取租用戶識別碼的指示,請參閱取得租用戶識別碼。
步驟 3:將 Microsoft Entra 應用程式指派給 Azure Data Lake Storage Gen1 帳戶檔案或資料夾
登入 Azure 入口網站。 開啟要與您稍早建立的 Microsoft Entra 應用程式建立關聯的 Data Lake Storage Gen1 帳戶。
在您的 [Data Lake Storage Gen1 帳戶] 面板中,按一下 [資料總管]。
在 [資料總管] 刀鋒視窗中,按一下您要將其存取權提供給 Microsoft Entra 應用程式的檔案或資料夾,然後按一下 [存取]。 若要設定對檔案的存取權,您必須從 檔案預覽 窗格按一下 存取。
[存取] 畫面會列出已指派至根的標準存取和自訂存取。 按一下 [新增] 圖示以新增自訂層級的 ACL。
按一下 新增 圖示,以開啟 新增自訂存取 窗格。 在此刀鋒視窗中,按一下 [選取使用者或群組],然後在 [選取使用者或群組] 刀鋒視窗中,尋找您稍早建立的 Microsoft Entra 應用程式。 若您需要搜尋大量的群組,請使用頂端的文字方塊來篩選群組名稱。 按一下您要新增的群組,然後按一下 [選取] 。
按一下 [選取權限],選取權限及權限的指派方式 (例如預設 ACL、存取 ACL 或兩者並用)。 按一下 [確定]。
![[新增自定義存取] 面板的螢幕快照,其中標出了 [選取權限] 選項,以及顯示 [確定] 選項的 [選取權限] 面板。](media/data-lake-store-authenticate-using-active-directory/adl.acl.4.png "將權限指派給群組")
如需 Data Lake Storage Gen1 中權限及預設/存取 ACL 的詳細資訊,請參閱 Data Lake Storage Gen1 中的存取控制。
在 [新增自訂存取] 窗格中,按一下 [確定]。 新加入的群組及其相關權限會列在 [存取] 刀鋒視窗中。
![[存取頁面] 的螢幕快照,其中在 [自定義存取] 區段中標示出新增的群組。](media/data-lake-store-authenticate-using-active-directory/adl.acl.5.png "將許可權指派給群組")
備註
如果您打算將 Microsoft Entra 應用程式限制在特定資料夾中,則還需要提供根與 Microsoft Entra 應用程式相同的執行權限,才能透過 .NET SDK 進行檔案建立存取。
備註
如果您需要使用 SDK 來建立 Data Lake Storage Gen1 帳戶,則必須將 Microsoft Entra Web 應用程式作為角色指派給您在其中建立 Data Lake Storage Gen1 帳戶的資源群組。
步驟 4:取得 OAuth 2.0 權杖端點 (只適用於 Java 型應用程式)
登入 Azure 入口網站,然後按一下左窗格中的 [Active Directory]。
從左窗格,按一下 [應用程式註冊]。
從 [應用程式註冊] 面板頂端,按一下 [端點]。
![Active Directory 的螢幕快照,其中已指出 [應用程式註冊] 選項和 [端點] 選項。](media/data-lake-store-authenticate-using-active-directory/oauth-token-endpoint.png "OAuth token endpoint")
從端點清單,複製 OAuth 2.0 權杖端點。
後續步驟
在本文中,您已建立 Microsoft Entra Web 應用程式,並收集您使用 .NET SDK、Java、Python、REST API 等撰寫的用戶端應用程式中所需的資訊。您現在可以繼續進行下列文章,這些文章說明如何使用 Microsoft Entra 原生應用程式先以 Data Lake Storage Gen1 進行驗證,再於存放區上執行其他作業。