Endbenutzerauthentifizierung mit Azure Data Lake Storage Gen1 mit Azure Active DirectoryEnd-user authentication with Azure Data Lake Storage Gen1 using Azure Active Directory

Azure Data Lake Storage Gen1 verwendet Azure Active Directory für die Authentifizierung.Azure Data Lake Storage Gen1 uses Azure Active Directory for authentication. Vor dem Erstellen einer Anwendung, die mit Azure Data Lake Storage Gen1 oder Azure Data Lake Analytics funktioniert, müssen Sie entscheiden, wie Sie Ihre Anwendung bei Azure Active Directory (Azure AD) authentifizieren.Before authoring an application that works with Data Lake Storage Gen1 or Azure Data Lake Analytics, you must decide how to authenticate your application with Azure Active Directory (Azure AD). Sie haben zwei Möglichkeiten:The two main options available are:

  • Endbenutzerauthentifizierung (dieser Artikel)End-user authentication (this article)
  • Authentifizierung zwischen Diensten (wählen Sie diese Option aus der obigen Dropdownliste)Service-to-service authentication (pick this option from the drop-down above)

Bei beiden Optionen erhält Ihre Anwendung ein OAuth 2.0-Token, das an jede an Data Lake Storage Gen1 oder Azure Data Lake Analytics gestellte Anforderung angefügt wird.Both these options result in your application being provided with an OAuth 2.0 token, which gets attached to each request made to Data Lake Storage Gen1 or Azure Data Lake Analytics.

Dieser Artikel erläutert, wie Sie eine native Azure AD-Anwendung für die Authentifizierung von Endbenutzern erstellen.This article talks about how to create an Azure AD native application for end-user authentication. Anweisungen zur Konfiguration von Azure AD-Anwendungen für die Dienst-zu-Dienst-Authentifizierung finden Sie unter Dienst-zu-Dienst-Authentifizierung mit Data Lake Storage Gen1 mithilfe von Azure Active Directory.For instructions on Azure AD application configuration for service-to-service authentication, see Service-to-service authentication with Data Lake Storage Gen1 using Azure Active Directory.

VoraussetzungenPrerequisites

  • Ein Azure-Abonnement.An Azure subscription. Siehe Kostenlose Azure-Testversion.See Get Azure free trial.

  • Ihre Abonnement-ID.Your subscription ID. Sie können sie über das Azure-Portal abrufen.You can retrieve it from the Azure portal. Sie ist beispielsweise auf dem Blatt „Data Lake Storage Gen1“ des Kontos verfügbar.For example, it is available from the Data Lake Storage Gen1 account blade.

    Abrufen der Abonnement-ID

  • Der Name Ihrer Azure AD-Domäne.Your Azure AD domain name. Diese können Sie abrufen, indem Sie den Mauszeiger über den rechten oberen Bereich im Azure-Portal bewegen.You can retrieve it by hovering the mouse in the top-right corner of the Azure portal. Im Screenshot unten lautet der Domänenname contoso.onmicrosoft.com, und die GUID in Klammern stellt die Mandanten-ID dar.From the screenshot below, the domain name is contoso.onmicrosoft.com, and the GUID within brackets is the tenant ID.

    Abrufen der AAD-Domäne

  • Ihre Azure-Mandanten-ID.Your Azure tenant ID. Informationen zum Abrufen der Mandanten-ID finden Sie unter Abrufen der Mandanten-ID.For instructions on how to retrieve the tenant ID, see Get the tenant ID.

Authentifizierung von EndbenutzernEnd-user authentication

Dieser Authentifizierungsmechanismus wird empfohlen, wenn sich ein Endbenutzer über Azure AD bei Ihrer Anwendung anmelden soll.This authentication mechanism is the recommended approach if you want an end user to sign in to your application via Azure AD. Die Anwendung kann dann mit der gleichen Zugriffsstufe wie der angemeldete Endbenutzer auf Azure-Ressourcen zugreifen.Your application is then able to access Azure resources with the same level of access as the end user that logged in. Ihre Endbenutzer müssen ihre Anmeldeinformationen in regelmäßigen Abständen eingeben, um weiter Zugriff zu haben.Your end user needs to provide their credentials periodically in order for your application to maintain access.

Das Ergebnis der Endbenutzeranmeldung ist, dass Ihre Anwendung über ein Zugriffs- und ein Aktualisierungstoken verfügt.The result of having the end-user sign in is that your application is given an access token and a refresh token. Das Zugriffstoken wird an jede an Data Lake Storage Gen1 oder Data Lake Analytics gestellte Anforderung angefügt und ist standardmäßig eine Stunde gültig.The access token gets attached to each request made to Data Lake Storage Gen1 or Data Lake Analytics, and it is valid for one hour by default. Mithilfe des Aktualisierungstokens kann ein neues Zugriffstoken abgerufen werden, das standardmäßig bis zu zwei Wochen gültig ist.The refresh token can be used to obtain a new access token, and it is valid for up to two weeks by default. Es gibt zwei Ansätze für die Anmeldung von Endbenutzern.You can use two different approaches for end-user sign in.

Verwenden des OAuth 2.0-PopupfenstersUsing the OAuth 2.0 pop-up

Ihre Anwendung kann das Einblenden eines OAuth 2.0-Autorisierungsfensters auslösen, in das Endbenutzer ihre Anmeldeinformationen eingeben können.Your application can trigger an OAuth 2.0 authorization pop-up, in which the end user can enter their credentials. Dieses Popupfenster funktioniert auch mit dem zweistufigen Authentifizierungsprozess von Azure AD.This pop-up also works with the Azure AD Two-factor Authentication (2FA) process, if necessary.

Hinweis

Von der Azure AD Authentication Library (ADAL) für Python oder Java wird diese Methode noch nicht unterstützt.This method is not yet supported in the Azure AD Authentication Library (ADAL) for Python or Java.

Direktes Übergeben von BenutzeranmeldeinformationenDirectly passing in user credentials

Ihre Anwendung kann Azure AD Benutzeranmeldeinformationen direkt bereitstellen.Your application can directly provide user credentials to Azure AD. Diese Methode funktioniert nur mit Benutzerkonten mit Organisations-ID. Sie ist nicht kompatibel mit persönlichen bzw. Live ID-Benutzerkonten, die beispielsweise auf @outlook.com oder @live.com enden.This method only works with organizational ID user accounts; it is not compatible with personal / “live ID” user accounts, including the accounts ending in @outlook.com or @live.com. Darüber hinaus ist diese Methode nicht kompatibel mit Benutzerkonten, die die zweistufige Authentifizierung von Azure AD benötigen.Furthermore, this method is not compatible with user accounts that require Azure AD Two-factor Authentication (2FA).

Was brauche ich für diesen Ansatz?What do I need for this approach?

  • Name Ihrer Azure AD-DomäneAzure AD domain name. Diese Anforderung ist bereits in den in diesem Artikel angegebenen Voraussetzungen aufgeführt.This requirement is already listed in the prerequisite of this article.
  • Azure AD-Mandanten-ID;Azure AD tenant ID. Diese Anforderung ist bereits in den in diesem Artikel angegebenen Voraussetzungen aufgeführt.This requirement is already listed in the prerequisite of this article.
  • Native Azure AD-AnwendungAzure AD native application
  • Anwendungs-ID für die native Azure AD-AnwendungApplication ID for the Azure AD native application
  • Umleitungs-URI für die native Azure AD-AnwendungRedirect URI for the Azure AD native application
  • Festlegen der delegierten BerechtigungenSet delegated permissions

Schritt 1: Erstellen einer nativen Active Directory-AnwendungStep 1: Create an Active Directory native application

Erstellen und Konfigurieren Sie eine native Azure AD-Anwendung für die Authentifizierung von Endbenutzern mit Data Lake Storage Gen1 mithilfe von Azure Active Directory.Create and configure an Azure AD native application for end-user authentication with Data Lake Storage Gen1 using Azure Active Directory. Anweisungen finden Sie unter Erstellen einer Azure AD-Anwendung.For instructions, see Create an Azure AD application.

Wenn Sie die Anweisungen unter diesem Link befolgen, stellen Sie sicher, dass Sie als Typ der Anwendung Nativ auswählen, wie auf dem folgenden Screenshot gezeigt:While following the instructions in the link, make sure you select Native for application type, as shown in the following screenshot:

Erstellen einer WebanwendungCreate web app

Schritt 2: Abrufen von Anwendungs-ID und Umleitungs-URIStep 2: Get application ID and redirect URI

Informationen zum Abrufen der Anwendungs-ID finden Sie unter Abrufen der Anwendungs-ID und des Authentifizierungsschlüssels.See Get the application ID to retrieve the application ID.

Führen Sie folgende Schritte aus, um den Umleitungs-URI abzurufen.To retrieve the redirect URI, do the following steps.

  1. Wählen Sie im Azure-Portal Azure Active Directory aus, klicken Sie auf App-Registrierungen, suchen Sie die erstellte native Azure AD-Anwendung, und klicken Sie darauf.From the Azure portal, select Azure Active Directory, click App registrations, and then find and click the Azure AD native application that you created.

  2. Klicken Sie auf dem Blatt Einstellungen der Anwendung auf Umleitungs-URIs.From the Settings blade for the application, click Redirect URIs.

    Abrufen des Umleitungs-URI

  3. Kopieren Sie den angezeigten Wert.Copy the value displayed.

Schritt 3: Festlegen von BerechtigungenStep 3: Set permissions

  1. Wählen Sie im Azure-Portal Azure Active Directory aus, klicken Sie auf App-Registrierungen, suchen Sie die erstellte native Azure AD-Anwendung, und klicken Sie darauf.From the Azure portal, select Azure Active Directory, click App registrations, and then find and click the Azure AD native application that you created.

  2. Klicken Sie auf dem Blatt Einstellungen der Anwendung auf Erforderliche Berechtigungen, und klicken Sie auf Hinzufügen.From the Settings blade for the application, click Required permissions, and then click Add.

    Client-ID

  3. Klicken Sie auf dem Blatt API-Zugriff hinzufügen auf Hiermit wählen Sie eine API aus, klicken Sie auf Azure Data Lake und anschließend auf Auswählen.In the Add API Access blade, click Select an API, click Azure Data Lake, and then click Select.

    Client-ID

  4. Klicken Sie auf dem Blatt API-Zugriff hinzufügen auf Berechtigungen auswählen, aktivieren Sie das Kontrollkästchen, um Data Lake Store vollen Zugriff zu gewähren, und klicken Sie auf Auswählen.In the Add API Access blade, click Select permissions, select the check box to give Full access to Data Lake Store, and then click Select.

    Client-ID

    Klicken Sie auf Fertig.Click Done.

  5. Wiederholen Sie die letzten beiden Schritte, um ebenfalls Berechtigungen für die Windows Azure-Service-Verwaltungs-API zu erteilen.Repeat the last two steps to grant permissions for Windows Azure Service Management API as well.

Nächste SchritteNext steps

In diesem Artikel haben Sie eine native Azure AD-Anwendung erstellt und die erforderlichen Informationen gesammelt, die für Ihre Clientanwendungen nötig sind, die Sie mithilfe von .NET SDK, Java SDK, REST-API usw. erstellen. Sie können nun mit den nachfolgend aufgeführten Artikeln fortfahren, in denen erläutert wird, wie Sie die Azure AD-Webanwendung verwenden, um sich zum ersten Mal mit Data Lake Storage Gen1 authentifizieren und anschließend andere Vorgänge im Store durchführen.In this article, you created an Azure AD native application and gathered the information you need in your client applications that you author using .NET SDK, Java SDK, REST API, etc. You can now proceed to the following articles that talk about how to use the Azure AD web application to first authenticate with Data Lake Storage Gen1 and then perform other operations on the store.