Autenticazione dell'utente finale con Data Lake Store tramite Azure Active DirectoryEnd-user authentication with Data Lake Store using Azure Active Directory

Azure Data Lake Store usa Azure Active Directory per l'autenticazione.Azure Data Lake Store uses Azure Active Directory for authentication. Prima di creare un'applicazione che funzioni con Azure Data Lake Store o Azure Data Lake Analytics, è necessario stabilire come autenticare l'applicazione con Azure Active Directory (Azure AD).Before authoring an application that works with Azure Data Lake Store or Azure Data Lake Analytics, you must decide how to authenticate your application with Azure Active Directory (Azure AD). Le opzioni disponibili sono due:The two main options available are:

  • Autenticazione dell'utente finale (questo articolo)End-user authentication (this article)
  • Autenticazione da servizio a servizio (selezionare questa opzione dall'elenco a discesa precedente)Service-to-service authentication (pick this option from the drop-down above)

Entrambe queste opzioni comportano che l'applicazione venga fornita con un token OAuth 2.0, che viene associato a ogni richiesta effettuata ad Azure Data Lake Store o Azure Data Lake Analytics.Both these options result in your application being provided with an OAuth 2.0 token, which gets attached to each request made to Azure Data Lake Store or Azure Data Lake Analytics.

Questo articolo illustra come creare un'applicazione nativa di Azure AD per l'autenticazione dell'utente finale.This article talks about how to create an Azure AD native application for end-user authentication. Per istruzioni sulla configurazione dell'applicazione Azure AD per l'autenticazione da servizio a servizio, vedere Autenticazione da servizio a servizio con Data Lake Store tramite Azure Active Directory.For instructions on Azure AD application configuration for service-to-service authentication, see Service-to-service authentication with Data Lake Store using Azure Active Directory.

PrerequisitiPrerequisites

  • Una sottoscrizione di Azure.An Azure subscription. Vedere Ottenere una versione di valutazione gratuita di Azure.See Get Azure free trial.

  • ID sottoscrizione personale.Your subscription ID. È possibile recuperarlo dal portale di Azure.You can retrieve it from the Azure portal. Ad esempio, è disponibile dal pannello dell'account Data Lake Store.For example, it is available from the Data Lake Store account blade.

    Ottenere l'ID sottoscrizione

  • Il nome di dominio di Azure AD.Your Azure AD domain name. È possibile recuperarlo passando il cursore del mouse sull'angolo superiore destro del portale di Azure.You can retrieve it by hovering the mouse in the top-right corner of the Azure portal. Nello screenshot seguente il nome di dominio è contoso.onmicrosoft.com, mentre il GUID racchiuso tra parentesi quadre è l'ID tenant.From the screenshot below, the domain name is contoso.onmicrosoft.com, and the GUID within brackets is the tenant ID.

    Ottenere il dominio AAD

  • ID del tenant di Azure.Your Azure tenant ID. Per istruzioni su come recuperare l'ID tenant, vedere Ottenere l'ID tenant.For instructions on how to retrieve the tenant ID, see Get the tenant ID.

Autenticazione dell'utente finaleEnd-user authentication

Questo meccanismo di autenticazione è l'approccio consigliato se si vuole che un utente finale acceda all'applicazione tramite Azure AD.This authentication mechanism is the recommended approach if you want an end user to log in to your application via Azure AD. L'applicazione può quindi accedere alle risorse di Azure con lo stesso livello di accesso dell'utente che ha effettuato l'accesso.Your application is then able to access Azure resources with the same level of access as the end user that logged in. L'utente finale deve fornire le sue credenziali periodicamente affinché l'applicazione possa mantenere attivo l'accesso.Your end user needs to provide their credentials periodically in order for your application to maintain access.

L'accesso effettuato dall'utente finale comporta l'assegnazione di un token di accesso e un token di aggiornamento all'applicazione.The result of having the end-user login is that your application is given an access token and a refresh token. Il token di accesso viene associato a ogni richiesta effettuata a Data Lake Store o Data Lake Analytics, ed è valido per un'ora, per impostazione predefinita.The access token gets attached to each request made to Data Lake Store or Data Lake Analytics, and it is valid for one hour by default. Il token di aggiornamento può essere usato per ottenere un nuovo token di accesso e, per impostazione predefinita, è valido per un massimo di due settimane.The refresh token can be used to obtain a new access token, and it is valid for up to two weeks by default. È possibile usare due diversi approcci per l'accesso degli utenti finali.You can use two different approaches for end-user login.

Usando la finestra popup OAuth 2.0Using the OAuth 2.0 pop-up

L'applicazione può attivare una finestra popup di autorizzazione OAuth 2.0, in cui l'utente finale può immettere le credenziali.Your application can trigger an OAuth 2.0 authorization pop-up, in which the end user can enter their credentials. Questa opzione funziona anche con il processo di autenticazione a due fattori (2FA) di Azure AD, se necessario.This pop-up also works with the Azure AD Two-factor Authentication (2FA) process, if necessary.

Nota

Questo metodo non è ancora supportato in Azure AD Authentication Library (ADAL) per Python o Java.This method is not yet supported in the Azure AD Authentication Library (ADAL) for Python or Java.

Accesso diretto tramite le credenziali dell'utenteDirectly passing in user credentials

L'applicazione può fornire direttamente le credenziali utente ad Azure AD.Your application can directly provide user credentials to Azure AD. Questo metodo funziona solo con gli account utente con ID aziendale. Non è compatibile con gli account utente personali o con "Live ID", inclusi quelli che terminano con @outlook.com o @live.com. Inoltre, questo metodo non è compatibile con gli account utente che richiedono l'autenticazione a due fattori (2FA) di Azure AD.This method only works with organizational ID user accounts; it is not compatible with personal / “live ID” user accounts, including the accounts ending in @outlook.com or @live.com. Furthermore, this method is not compatible with user accounts that require Azure AD Two-factor Authentication (2FA).

Di cosa ho bisogno per questo approccio?What do I need for this approach?

  • Il nome di dominio di Azure AD.Azure AD domain name. Questo requisito è già elencato nei prerequisiti riportati in questo articolo.This requirement is already listed in the prerequisite of this article.
  • ID tenant di Azure AD.Azure AD tenant ID. Questo requisito è già elencato nei prerequisiti riportati in questo articolo.This requirement is already listed in the prerequisite of this article.
  • L'applicazione nativa di Azure ADAzure AD native application
  • L'ID applicazione per l'applicazione nativa di Azure ADApplication ID for the Azure AD native application
  • L'URI di reindirizzamento per l'applicazione nativa di Azure ADRedirect URI for the Azure AD native application
  • Impostare autorizzazioni delegateSet delegated permissions

Passaggio 1: creare un'applicazione nativa di Active DirectoryStep 1: Create an Active Directory native application

Creare e configurare un'applicazione nativa di Azure AD per l'autenticazione dell'utente finale con Azure Data Lake Store tramite Azure Active Directory.Create and configure an Azure AD native application for end-user authentication with Azure Data Lake Store using Azure Active Directory. Per istruzioni, vedere Creare un'applicazione Azure AD.For instructions, see Create an Azure AD application.

Mentre si seguono le istruzioni nel collegamento, assicurarsi di selezionare Nativo come tipo di applicazione, come illustrato nello screenshot seguente:While following the instructions in the link, make sure you select Native for application type, as shown in the following screenshot:

Creare un'app WebCreate web app

Passaggio 2: Ottenere l'ID applicazione e l'URI di reindirizzamentoStep 2: Get application ID and redirect URI

Vedere Ottenere l'ID applicazione per recuperare l'ID applicazione, detto anche ID client nel portale di Azure classico, dell'applicazione nativa di Azure AD.See Get the application ID to retrieve the application ID (also called the client ID in the Azure classic portal) of the Azure AD native application.

Per recuperare l'URI di reindirizzamento, attenersi alla procedura seguente.To retrieve the redirect URI, do the following steps.

  1. Dal portale di Azure selezionare Azure Active Directory, fare clic su Registrazioni per l'app, trovare l'applicazione nativa di Azure AD Azure creata e fare clic su di essa.From the Azure portal, select Azure Active Directory, click App registrations, and then find and click the Azure AD native application that you created.

  2. Dal pannello Impostazioni per l'applicazione fare clic su URI di reindirizzamento.From the Settings blade for the application, click Redirect URIs.

    Ottenere l'URI di reindirizzamento

  3. Copiare il valore visualizzato.Copy the value displayed.

Passaggio 3: Impostare le autorizzazioniStep 3: Set permissions

  1. Dal portale di Azure selezionare Azure Active Directory, fare clic su Registrazioni per l'app, trovare l'applicazione nativa di Azure AD Azure creata e fare clic su di essa.From the Azure portal, select Azure Active Directory, click App registrations, and then find and click the Azure AD native application that you created.

  2. Dal pannello Impostazioni dell'applicazione selezionare Autorizzazioni necessarie e fare clic su Aggiungi.From the Settings blade for the application, click Required permissions, and then click Add.

    ID client

  3. Nel pannello Aggiungi accesso all'API fare clic su Selezionare un'API, fare clic su Azure Data Lake, quindi fare clic su Seleziona.In the Add API Access blade, click Select an API, click Azure Data Lake, and then click Select.

    ID client

  4. Nel pannello Aggiungi accesso all'API fare clic su Selezionare le autorizzazioni, selezionare la casella di controllo per concedere l'accesso completo a Data Lake Store e quindi fare clic su Seleziona.In the Add API Access blade, click Select permissions, select the check box to give Full access to Data Lake Store, and then click Select.

    ID client

    Fare clic su Done.Click Done.

  5. Ripetere gli ultimi due passaggi per concedere le autorizzazioni anche per le API Gestione dei servizi di Windows Azure.Repeat the last two steps to grant permissions for Windows Azure Service Management API as well.

Passaggi successiviNext steps

In questo articolo è stata creata un'applicazione nativa di Azure AD e sono state raccolte le informazioni necessarie nelle applicazioni client create usando .NET SDK, Java SDK, API REST e così via. È ora possibile passare agli articoli seguenti che illustrano come usare l'applicazione Web di Azure AD per eseguire prima l'autenticazione con Data Lake Store e quindi altre operazioni sull'archivio.In this article, you created an Azure AD native application and gathered the information you need in your client applications that you author using .NET SDK, Java SDK, REST API, etc. You can now proceed to the following articles that talk about how to use the Azure AD web application to first authenticate with Data Lake Store and then perform other operations on the store.