Dienst-zu-Dienst-Authentifizierung mit Azure Data Lake Storage Gen1 unter Verwendung von Azure Active DirectoryService-to-service authentication with Azure Data Lake Storage Gen1 using Azure Active Directory

Azure Data Lake Storage Gen1 verwendet Azure Active Directory für die Authentifizierung.Azure Data Lake Storage Gen1 uses Azure Active Directory for authentication. Vor dem Erstellen einer Anwendung, die mit Data Lake Storage Gen1 arbeitet, müssen Sie entscheiden, wie Sie Ihre Anwendung bei Azure Active Directory (Azure AD) authentifizieren möchten.Before authoring an application that works with Data Lake Storage Gen1, you must decide how to authenticate your application with Azure Active Directory (Azure AD). Sie haben zwei Möglichkeiten:The two main options available are:

  • Authentifizierung von EndbenutzernEnd-user authentication
  • Dienst-zu-Dienst-Authentifizierung (dieser Artikel)Service-to-service authentication (this article)

Bei beiden Optionen erhält Ihre Anwendung ein OAuth 2.0-Token, das an jede an Data Lake Storage Gen1 gestellte Anforderung angefügt wird.Both these options result in your application being provided with an OAuth 2.0 token, which gets attached to each request made to Data Lake Storage Gen1.

In diesem Artikel wird erläutert, wie Sie eine Azure AD-Webanwendung für die Dienst-zu-Dienst-Authentifizierung erstellen.This article talks about how to create an Azure AD web application for service-to-service authentication. Anweisungen zum Konfigurieren von Azure AD-Anwendungen für die Authentifizierung von Endbenutzern finden Sie unter Authentifizierung von Endbenutzern bei Data Lake Storage Gen1 mithilfe von Azure Active Directory.For instructions on Azure AD application configuration for end-user authentication, see End-user authentication with Data Lake Storage Gen1 using Azure Active Directory.

VoraussetzungenPrerequisites

Schritt 1: Erstellen einer Active Directory-WebanwendungStep 1: Create an Active Directory web application

Erstellen und Konfigurieren Sie eine Azure AD-Webanwendung für die Dienst-zu-Dienst-Authentifizierung mit Azure Data Lake Storage Gen1 unter Verwendung von Azure Active Directory.Create and configure an Azure AD web application for service-to-service authentication with Azure Data Lake Storage Gen1 using Azure Active Directory. Anweisungen finden Sie unter Erstellen einer Azure AD-Anwendung.For instructions, see Create an Azure AD application.

Wenn Sie die Anweisungen unter dem obigen Link befolgen, stellen Sie sicher, dass Sie beim Typ der Anwendung Web-App/API auswählen, wie im folgenden Screenshot gezeigt:While following the instructions at the preceding link, make sure you select Web App / API for application type, as shown in the following screenshot:

Erstellen einer Web-AppCreate web app

Schritt 2: Abrufen von Anwendungs-ID, Authentifizierungsschlüssel und Mandanten-IDStep 2: Get application ID, authentication key, and tenant ID

Beim programmgesteuerten Anmelden benötigen Sie die ID für Ihre Anwendung.When programmatically logging in, you need the ID for your application. Wenn die Anwendung mit ihren eigenen Anmeldeinformationen ausgeführt wird, benötigen Sie außerdem einen Authentifizierungsschlüssel.If the application runs under its own credentials, you also need an authentication key.

Schritt 3: Zuweisen der Azure AD-Anwendung zur Datei oder zum Ordner des Azure Data Lake Storage Gen1-KontosStep 3: Assign the Azure AD application to the Azure Data Lake Storage Gen1 account file or folder

  1. Melden Sie sich beim Azure-Portalan.Sign on to the Azure portal. Öffnen Sie das Data Lake Storage Gen1-Konto, das Sie der zuvor erstellten Azure Active Directory-Anwendung zuordnen möchten.Open the Data Lake Storage Gen1 account that you want to associate with the Azure Active Directory application you created earlier.

  2. Klicken Sie auf dem Blatt für Ihr Data Lake Storage Gen1-Konto auf Daten-Explorer.In your Data Lake Storage Gen1 account blade, click Data Explorer.

    Erstellen von Verzeichnissen im Data Lake Storage Gen1-KontoCreate directories in Data Lake Storage Gen1 account

  3. Klicken Sie auf dem Blatt Daten-Explorer auf die Datei oder den Ordner, für die bzw. den Sie den Zugriff auf die Azure AD-Anwendung festlegen möchten, und klicken Sie dann auf Zugriff.In the Data Explorer blade, click the file or folder for which you want to provide access to the Azure AD application, and then click Access. Um den Zugriff auf eine Datei zu konfigurieren, müssen Sie auf dem Blatt Dateivorschau auf Zugriff klicken.To configure access to a file, you must click Access from the File Preview blade.

    Festlegen von Zugriffssteuerungslisten für das Data Lake-DateisystemSet ACLs on Data Lake file system

  4. Auf dem Blatt Zugriff sind der Standardzugriff und der benutzerdefinierte Zugriff aufgeführt, die dem Stamm bereits zugewiesen wurden.The Access blade lists the standard access and custom access already assigned to the root. Klicken Sie auf das Symbol Hinzufügen , um Zugriffssteuerungslisten auf benutzerdefinierter Ebene hinzuzufügen.Click the Add icon to add custom-level ACLs.

    Auflisten von Standardzugriff und benutzerdefiniertem ZugriffList standard and custom access

  5. Klicken Sie auf das Symbol Hinzufügen, um das Blatt Benutzerdefinierten Zugriff hinzufügen zu öffnen.Click the Add icon to open the Add Custom Access blade. Klicken Sie auf diesem Blatt auf Benutzer oder Gruppe auswählen, und suchen Sie dann auf dem Blatt Benutzer oder Gruppe auswählen nach der Azure Active Directory-Anwendung, die Sie zuvor erstellt haben.In this blade, click Select User or Group, and then in Select User or Group blade, look for the Azure Active Directory application you created earlier. Wenn Sie über viele Gruppen verfügen, in denen Sie suchen können, können Sie das Textfeld oben zum Filtern nach dem Gruppennamen verwenden.If you have many groups to search from, use the text box at the top to filter on the group name. Klicken Sie auf die Gruppe, die Sie hinzufügen möchten, und klicken Sie dann auf Auswählen.Click the group you want to add and then click Select.

    Hinzufügen einer GruppeAdd a group

  6. Klicken Sie auf Berechtigungen auswählen, wählen Sie die Berechtigungen aus, und legen Sie fest, ob die Berechtigungen als Standard-ACL und/oder Zugriffs-ACL zugewiesen werden sollen.Click Select Permissions, select the permissions and whether you want to assign the permissions as a default ACL, access ACL, or both. Klicken Sie auf OK.Click OK.

    Zuweisen von Berechtigungen zu einer GruppeAssign permissions to group

    Weitere Informationen zu Berechtigungen in Data Lake Storage Gen1 und zu Standard- und Zugriffs-ACLs finden Sie unter Zugriffssteuerung in Data Lake Storage Gen1.For more information about permissions in Data Lake Storage Gen1, and Default/Access ACLs, see Access Control in Data Lake Storage Gen1.

  7. Klicken Sie auf dem Blatt Benutzerdefinierten Zugriff hinzufügen auf OK.In the Add Custom Access blade, click OK. Die neu hinzugefügte Gruppe mit den zugeordneten Berechtigungen wird auf dem Blatt Zugriff aufgelistet.The newly added group, with the associated permissions, are listed in the Access blade.

    Zuweisen von Berechtigungen zu einer GruppeAssign permissions to group

Hinweis

Wenn Sie Ihre Azure Active Directory-Anwendung auf einen bestimmten Ordner beschränken möchten, müssen Sie außerdem derselben Azure Active Directory-Anwendung die Execute-Berechtigung für das Stammverzeichnis gewähren, um den Dateierstellungszugriff über das .NET SDK zu aktivieren.If you plan on restricting your Azure Active Directory application to a specific folder, you will also need to give that same Azure Active directory application Execute permission to the root to enable file creation access via the .NET SDK.

Hinweis

Wenn Sie die SDKs zum Erstellen eines Data Lake Storage Gen1-Kontos verwenden möchten, müssen Sie die Azure AD-Webanwendung als Rolle der Ressourcengruppe zuweisen, in der Sie das Data Lake Storage Gen1-Konto erstellen.If you want to use the SDKs to create a Data Lake Storage Gen1 account, you must assign the Azure AD web application as a role to the Resource Group in which you create the Data Lake Storage Gen1 account.

Schritt 4: Abrufen des OAuth 2.0-Token-Endpunkts (nur für Java-basierte Anwendungen)Step 4: Get the OAuth 2.0 token endpoint (only for Java-based applications)

  1. Melden Sie sich beim Azure-Portal an, und klicken Sie im linken Bereich auf „Active Directory“.Sign on to the Azure portal and click Active Directory from the left pane.

  2. Klicken Sie im linken Bereich auf App-Registrierungen.From the left pane, click App registrations.

  3. Klicken Sie oben im Blatt „App-Registrierungen“ auf Endpunkte.From the top of the App registrations blade, click Endpoints.

    OAuth-Token-EndpunktOAuth token endpoint

  4. Kopieren Sie aus der Liste der Endpunkte den OAuth 2.0-Token-Endpunkt.From the list of endpoints, copy the OAuth 2.0 token endpoint.

    OAuth-Token-EndpunktOAuth token endpoint

Nächste SchritteNext steps

In diesem Artikel haben Sie eine Azure AD-Webanwendung erstellt und die Informationen gesammelt, die für Ihre Clientanwendungen nötig sind, die Sie mit dem .NET SDK, mit Java, Python, der REST-API usw. erstellen. Sie können nun mit den nachfolgend aufgeführten Artikeln fortfahren, in denen erläutert wird, wie Sie die native Azure AD-Anwendung verwenden, um sich zum ersten Mal mit Data Lake Storage Gen1 zu authentifizieren und anschließend andere Vorgänge für den Speicher durchzuführen.In this article, you created an Azure AD web application and gathered the information you need in your client applications that you author using .NET SDK, Java, Python, REST API, etc. You can now proceed to the following articles that talk about how to use the Azure AD native application to first authenticate with Data Lake Storage Gen1 and then perform other operations on the store.