مصادقة المستخدم النهائي باستخدام Azure Data Lake Storage Gen1 باستخدام Azure Active Directory

  • مقالة
  • قراءة خلال 4 دقائق

يستخدم Azure Data Lake Storage Gen1 Azure Active Directory للمصادقة. قبل تأليف تطبيق يعمل مع Data Lake Storage Gen1 أو Azure Data Lake Analytics، يجب أن تقرر كيفية مصادقة تطبيقك باستخدام Azure Active Directory (Azure AD). الخياران الرئيسيان المتاحان هما:

  • مصادقة المستخدم النهائي (هذه المقالة)
  • مصادقة الخدمة إلى الخدمة (اختر هذا الخيار من القائمة المنسدلة أعلاه)

يؤدي كلا الخيارين إلى تزويد تطبيقك برمز OAuth 2.0 مميز، والذي يتم إرفاقه بكل طلب يتم تقديمه إلى Data Lake Storage Gen1 أو Azure Data Lake Analytics.

تتناول هذه المقالة كيفية إنشاء تطبيق أصلي ل Azure AD لمصادقة المستخدم النهائي. للحصول على إرشادات حول تكوين تطبيق Azure AD لمصادقة الخدمة إلى الخدمة، راجع مصادقة الخدمة إلى الخدمة باستخدام Data Lake Storage Gen1 باستخدام Azure Active Directory.

المتطلبات الأساسية

  • اشتراك Azure. راجع الحصول على الإصدار التجريبي المجاني من Azure .

  • معرف الاشتراك الخاص بك. يمكنك استرداده من مدخل Azure. على سبيل المثال، يتوفر من شفرة الحساب Data Lake Storage Gen1.

    Get subscription ID

  • اسم مجال Azure AD الخاص بك. يمكنك استرداده عن طريق تحريك الماوس في الزاوية العلوية اليمنى من مدخل Azure. من لقطة الشاشة أدناه، يكون اسم المجال contoso.onmicrosoft.com، والمعرف الفريد العمومي (GUID) بين قوسين هو معرف المستأجر.

    Get AAD domain

  • معرف مستأجر Azure الخاص بك. للحصول على إرشادات حول كيفية استرداد معرف المستأجر، راجع الحصول على معرف المستأجر.

مصادقة المستخدم النهائي

آلية المصادقة هذه هي الطريقة الموصى بها إذا كنت تريد أن يقوم مستخدم نهائي بتسجيل الدخول إلى تطبيقك عبر Azure AD. بعد ذلك يكون تطبيقك قادرا على الوصول إلى موارد Azure بنفس مستوى الوصول الذي يتمتع به المستخدم النهائي الذي قام بتسجيل الدخول. يحتاج المستخدم النهائي إلى تقديم بيانات الاعتماد الخاصة به بشكل دوري حتى يتمكن تطبيقك من الحفاظ على الوصول.

نتيجة تسجيل دخول المستخدم النهائي هي أن تطبيقك يحصل على رمز وصول مميز ورمز مميز للتحديث. يتم إرفاق رمز الوصول المميز بكل طلب يتم تقديمه إلى Data Lake Storage Gen1 أو Data Lake Analytics ، وهو صالح لمدة ساعة واحدة بشكل افتراضي. يمكن استخدام الرمز المميز للتحديث للحصول على رمز وصول مميز جديد، وهو صالح لمدة تصل إلى أسبوعين بشكل افتراضي. يمكنك استخدام نهجين مختلفين لتسجيل دخول المستخدم النهائي.

استخدام النافذة المنبثقة OAuth 2.0

يمكن أن يؤدي تطبيقك إلى تشغيل نافذة منبثقة لتفويض OAuth 2.0 ، حيث يمكن للمستخدم النهائي إدخال بيانات الاعتماد الخاصة به. تعمل هذه النافذة المنبثقة أيضا مع عملية المصادقة الثنائية (2FA) في Azure AD، إذا لزم الأمر.

ملاحظة

هذه الطريقة غير معتمدة بعد في مكتبة مصادقة Azure AD (ADAL) ل Python أو Java.

المرور المباشر في بيانات اعتماد المستخدم

يمكن للتطبيق الخاص بك توفير بيانات اعتماد المستخدم مباشرة إلى Azure AD. تعمل هذه الطريقة فقط مع حسابات مستخدمي معرف المؤسسة. غير متوافق مع حسابات المستخدمين الشخصية / "الهوية الحقيقية" ، بما في ذلك الحسابات التي تنتهي ب @outlook.com أو @live.com. علاوة على ذلك، هذه الطريقة غير متوافقة مع حسابات المستخدمين التي تتطلب المصادقة الثنائية Azure AD (2FA).

ما الذي أحتاجه لهذا النهج؟

  • اسم مجال Azure AD. هذا المطلب مدرج بالفعل في المتطلبات الأساسية لهذه المقالة.
  • Azure AD tenant ID. هذا المطلب مدرج بالفعل في المتطلبات الأساسية لهذه المقالة.
  • Azure AD native application
  • معرف التطبيق لتطبيق Azure AD الأصلي
  • إعادة توجيه URI لتطبيق Azure AD الأصلي
  • تعيين الأذونات المفوضة

الخطوة 1: إنشاء تطبيق أصلي ل Active Directory

قم بإنشاء تطبيق أصلي ل Azure AD وتكوينه لمصادقة المستخدم النهائي باستخدام Data Lake Storage Gen1 باستخدام Azure Active Directory. للحصول على الإرشادات، راجِع إنشاء تطبيق Microsoft Azure AD.

أثناء اتباع الإرشادات الواردة في الرابط، تأكد من تحديد Native لنوع التطبيق، كما هو موضح في لقطة الشاشة التالية:

Create web app

الخطوة 2: الحصول على معرف التطبيق وإعادة توجيه عنوان URI

راجع الحصول على معرف التطبيق لاسترداد معرف التطبيق.

لاسترداد عنوان URI لإعادة التوجيه، قم بالخطوات التالية.

  1. من مدخل Azure، حدد Azure Active Directory، وانقر فوق تسجيلات التطبيقات، ثم ابحث عن تطبيق Azure AD الأصلي الذي قمت بإنشائه وانقر فوقه.

  2. من الشفرة الإعدادات للتطبيق، انقر فوق إعادة توجيه عناوين URI.

    Get Redirect URI

  3. انسخ القيمة المعروضة.

الخطوة 3: تعيين الأذونات

  1. من مدخل Azure، حدد Azure Active Directory، وانقر فوق تسجيلات التطبيقات، ثم ابحث عن تطبيق Azure AD الأصلي الذي قمت بإنشائه وانقر فوقه.

  2. من الشفرة الإعدادات للتطبيق، انقر فوق الأذونات المطلوبة، ثم انقر فوق إضافة.

    Screenshot of the Settings blade with the Redirect U R I option called out and the Redirect U R I blade with the actual U R I called out.

  3. في شفرة إضافة وصول إلى واجهة برمجة التطبيقات ، انقر فوق تحديد واجهة برمجة تطبيقات، وانقر فوق بحيرة بيانات Azure، ثم انقر فوق تحديد.

    Screenshot of the Add API access blade with the Select an API option called out and the Select an API blade with the Azure Data Lake option and the Select option called out.

  4. في شفرة إضافة وصول إلى واجهة برمجة التطبيقات ، انقر فوق تحديد الأذونات، وحدد خانة الاختيار لمنح حق الوصول الكامل إلى مخزن بحيرة البيانات، ثم انقر فوق تحديد.

    Screenshot of the Add API access blade with the Select permissions option called out and the Enable Access blade with the Have full access to the Azure Data Lake service option and the Select option called out.

    انقر فوق⁧⁩«تم»⁧⁩.

  5. كرر الخطوتين الأخيرتين لمنح أذونات Windows واجهة برمجة تطبيقات إدارة خدمة Azure أيضا.

الخطوات التالية

في هذه المقالة، قمت بإنشاء تطبيق Azure AD أصلي وقمت بتجميع المعلومات التي تحتاجها في تطبيقات العميل التي قمت بتأليفها باستخدام .NET SDK وJava SDK وREST API وما إلى ذلك. يمكنك الآن المتابعة إلى المقالات التالية التي تتحدث عن كيفية استخدام تطبيق الويب Azure AD للمصادقة أولا باستخدام Data Lake Storage Gen1 ثم إجراء عمليات أخرى على المتجر.