مصادقة Stream Analytics إلى Azure Data Lake Storage Gen1 باستخدام الهويات المدارة

  • مقالة
  • قراءة خلال 5 دقائق

يدعم Azure Stream Analytics مصادقة الهوية المدارة باستخدام مخرجات Gen1 Azure Data Lake Storage (ADLS). الهوية هي تطبيق مدار مسجل في Azure Active Directory يمثل مهمة معينة في Stream Analytics، ويمكن استخدامه للمصادقة على مورد مستهدف. تزيل الهويات المدارة قيود طرق المصادقة المستندة إلى المستخدم، مثل الحاجة إلى إعادة المصادقة بسبب تغييرات كلمة المرور أو انتهاء صلاحية الرمز المميز للمستخدم التي تحدث كل 90 يوما. بالإضافة إلى ذلك، تساعد الهويات المدارة في أتمتة عمليات نشر مهام Stream Analytics التي يتم إخراجها إلى Azure Data Lake Storage Gen1.

توضح لك هذه المقالة ثلاث طرق لتمكين الهوية المدارة لمهمة Azure Stream Analytics التي يتم إخراجها إلى Azure Data Lake Storage Gen1 من خلال مدخل Azure ونشر قالب Azure Resource Manager وأدوات Azure Stream Analytics Visual Studio.

ملاحظة

تستخدم هذه المقالة الوحدة النمطية Azure Az PowerShell، وهي الوحدة النمطية PowerShell الموصى بها للتفاعل مع Azure. لبدء استخدام الوحدة النمطية Az PowerShell، راجع تثبيت Azure PowerShell. لمعرفة كيفية الترحيل إلى الوحدة النمطية Az PowerShell، راجع ترحيل Azure PowerShell من AzureRM إلى Az.

مدخل Azure

  1. ابدأ بإنشاء وظيفة جديدة في Stream Analytics أو بفتح وظيفة موجودة في مدخل Azure. من شريط القوائم الموجود على الجانب الأيمن من الشاشة، حدد الهوية المدارة الموجودة ضمن تكوين.

    Configure Stream Analytics managed identity

  2. حدد استخدام الهوية المدارة المعينة من قبل النظام من النافذة التي تظهر على اليسار. انقر فوق حفظ في أصل خدمة لمعرفة هوية مهمة Stream Analytics في Azure Active Directory. ستتم إدارة دورة حياة الهوية التي تم إنشاؤها حديثا بواسطة Azure. عند حذف مهمة Stream Analytics، يتم حذف الهوية المقترنة (أي أصل الخدمة) تلقائيا بواسطة Azure.

    عند حفظ التكوين، يتم سرد معرف الكائن (OID) لأصل الخدمة كمعرف أساسي كما هو موضح أدناه:

    Stream Analytics service principal ID

    يحمل مدير الخدمة نفس اسم وظيفة Stream Analytics. على سبيل المثال ، إذا كان اسم وظيفتك هو MyASAJob ، فإن اسم مدير الخدمة الذي تم إنشاؤه هو أيضا MyASAJob.

  3. في نافذة خصائص الإخراج الخاصة بحوض إخراج ADLS Gen1، انقر فوق القائمة المنسدلة وضع المصادقة وحدد الهوية المدارة.

  4. املأ بقية الخصائص. لمعرفة المزيد حول إنشاء مخرجات ADLS، راجع إنشاء مخرجات مخزن بحيرة البيانات باستخدام تحليلات البث. عند الانتهاء، انقر فوق حفظ.

    Configure Azure Data Lake Storage

  5. انتقل إلى صفحة نظرة عامة على ADLS Gen1 وانقر على مستكشف البيانات.

    Configure Data Lake Storage Overview

  6. في جزء مستكشف البيانات، حدد Access وانقر فوق إضافة في جزء Access.

    Configure Data Lake Storage Access

  7. في مربع النص الموجود في جزء تحديد مستخدم أو مجموعة ، اكتب اسم أصل الخدمة. تذكر أن اسم مدير الخدمة هو أيضا اسم وظيفة Stream Analytics المقابلة. عندما تبدأ في كتابة الاسم الأساسي، سيظهر أسفل مربع النص. اختر الاسم الأساسي للخدمة المطلوبة وانقر على تحديد.

    Select a service principal name

  8. في جزء الأذونات ، تحقق من أذونات الكتابةوالتنفيذ وقم بتعيينها إلى هذا المجلد وجميع الأطفال. ثم انقر فوق موافق.

    Select write and execute permissions

  9. يتم سرد مبدأ الخدمة ضمن الأذونات المعينة في جزء الوصول كما هو موضح أدناه. يمكنك الآن العودة وبدء مهمة Stream Analytics.

    Stream Analytics access list in portal

    لمعرفة المزيد حول أذونات نظام الملفات Data Lake Storage Gen1، راجع التحكم في الوصول في Azure Data Lake Storage Gen1.

أدوات تحليلات البث Visual Studio

  1. في JobConfig.json، قم بتعيين استخدام الهوية المعينة للنظام إلى True.

    Stream Analytics job config managed identities

  2. في نافذة خصائص الإخراج الخاصة بحوض إخراج ADLS Gen1، انقر فوق القائمة المنسدلة وضع المصادقة وحدد الهوية المدارة.

    ADLS output managed identities

  3. املأ بقية الخصائص، وانقر فوق حفظ.

  4. انقر فوق إرسال إلى Azure في محرر الاستعلام.

    عند إرسال الوظيفة ، تقوم الأدوات بأمرين:

    • يقوم تلقائيا بإنشاء مبدأ خدمة لهوية مهمة Stream Analytics في Azure Active Directory. ستتم إدارة دورة حياة الهوية التي تم إنشاؤها حديثا بواسطة Azure. عند حذف مهمة Stream Analytics، يتم حذف الهوية المقترنة (أي أصل الخدمة) تلقائيا بواسطة Azure.

    • قم تلقائيا بتعيين أذونات الكتابةوالتنفيذ لمسار بادئة ADLS Gen1 المستخدم في المهمة وتعيينه لهذا المجلد وجميع الأطفال.

  5. يمكنك إنشاء قوالب Resource Manager باستخدام الخاصية التالية باستخدام Stream Analytics CI.CD NuGet الإصدار 1.5.0 أو أعلى على جهاز إنشاء (خارج Visual Studio). اتبع خطوات نشر قالب Resource Manager في القسم التالي للحصول على أصل الخدمة ومنح حق الوصول إلى أصل الخدمة عبر PowerShell.

نشر قالب Azure Resource Manager

  1. يمكنك إنشاء مورد Microsoft.StreamAnalytics/streamingjobs بهوية مدارة عن طريق تضمين الخاصية التالية في قسم الموارد في قالب Resource Manager:

    "Identity": {
  "Type": "SystemAssigned",
},

    تخبر هذه الخاصية Azure Resource Manager بإنشاء الهوية وإدارتها لوظيفة Azure Stream Analytics الخاصة بك.

    عينة من الوظيفة

    {
  "Name": "AsaJobWithIdentity",
  "Type": "Microsoft.StreamAnalytics/streamingjobs",
  "Location": "West US",
  "Identity": {
    "Type": "SystemAssigned",
  },
  "properties": {
    "sku": {
      "name": "standard"
    },
    "outputs": [
      {
        "name": "string",
        "properties":{
          "datasource": {
            "type": "Microsoft.DataLake/Accounts",
            "properties": {
              "accountName": "myDataLakeAccountName",
              "filePathPrefix": "cluster1/logs/{date}/{time}",
              "dateFormat": "YYYY/MM/DD",
              "timeFormat": "HH",
              "authenticationMode": "Msi"
          }
        }
      }
    }
  }
}

    نموذج استجابة الوظيفة

    {
 "Name": "mySAJob",
 "Type": "Microsoft.StreamAnalytics/streamingjobs",
 "Location": "West US",
 "Identity": {
   "Type": "SystemAssigned",
     "principalId": "GUID",
     "tenantId": "GUID",
   },
   "properties": {
     "sku": {
       "name": "standard"
     },
  }
}

    لاحظ المعرف الرئيسي من الاستجابة للوظيفة لمنح حق الوصول إلى مورد ADLS المطلوب.

    معرف المستأجر هو معرف مستأجر Azure Active Directory حيث يتم إنشاء أصل الخدمة. يتم إنشاء أصل الخدمة في مستأجر Azure الموثوق به من قبل الاشتراك.

    يشير النوع إلى نوع الهوية المدارة كما هو موضح في أنواع الهويات المدارة. يتم دعم نوع النظام المعين فقط.

  2. توفير الوصول إلى أصل الخدمة باستخدام PowerShell. لمنح حق الوصول إلى مبدأ الخدمة عبر PowerShell، قم بتنفيذ الأمر التالي:

    Set-AzDataLakeStoreItemAclEntry -AccountName <accountName> -Path <Path> -AceType User -Id <PrinicpalId> -Permissions <Permissions>

    PrincipalId هو معرف الكائن الخاص ب Service Principal ويتم سرده على شاشة البوابة الإلكترونية بمجرد إنشاء أصل الخدمة. إذا قمت بإنشاء المهمة باستخدام نشر قالب Resource Manager، سرد معرف الكائن في خاصية الهوية الخاصة باستجابة المهمة.

    مثال

    PS > Set-AzDataLakeStoreItemAclEntry -AccountName "adlsmsidemo" -Path / -AceType
User -Id 14c6fd67-d9f5-4680-a394-cd7df1f9bacf -Permissions WriteExecute

    لمعرفة المزيد حول الأمر PowerShell أعلاه، راجع وثائق Set-AzDataLakeStoreItemAclEntry .

إزالة الهوية المدارة

يتم حذف الهوية المدارة التي تم إنشاؤها لمهمة Stream Analytics فقط عند حذف المهمة. لا توجد طريقة لحذف الهوية المدارة دون حذف المهمة. إذا لم تعد ترغب في استخدام الهوية المدارة، فيمكنك تغيير طريقة المصادقة للإخراج. ستظل الهوية المدارة موجودة حتى يتم حذف المهمة، وسيتم استخدامها إذا قررت استخدام مصادقة الهوية المدارة مرة أخرى.

التقييدات

لا تدعم هذه الميزة ما يلي:

  1. الوصول متعدد المستأجرين: سيكون أصل الخدمة الذي تم إنشاؤه لوظيفة معينة في Stream Analytics موجودا على مستأجر Azure Active Directory الذي تم إنشاء الوظيفة عليه، ولا يمكن استخدامه مقابل مورد موجود على مستأجر Azure Active Directory مختلف. لذلك، يمكنك فقط استخدام MSI على موارد ADLS Gen 1 الموجودة ضمن نفس مستأجر Azure Active Directory مثل مهمة Azure Stream Analytics الخاصة بك.

  2. الهوية المعينة من قبل المستخدم: غير مدعومة. وهذا يعني أن المستخدم غير قادر على إدخال أصل الخدمة الخاص به ليتم استخدامه من قبل وظيفة Stream Analytics الخاصة به. يتم إنشاء مبدأ الخدمة بواسطة Azure Stream Analytics.

الخطوات التالية