Autenticação serviço a serviço com o Azure Data Lake Storage Gen1 com Microsoft Entra ID

  • Artigo

Azure Data Lake Storage Gen1 utiliza Microsoft Entra ID para autenticação. Antes de criar uma aplicação que funcione com Data Lake Storage Gen1, tem de decidir como autenticar a sua aplicação com Microsoft Entra ID. As duas opções principais disponíveis são:

  • Autenticação de utilizador final
  • Autenticação serviço a serviço (este artigo)

Ambas as opções resultam no fornecimento de um token OAuth 2.0 à sua aplicação, que é anexado a cada pedido efetuado ao Data Lake Storage Gen1.

Este artigo aborda como criar uma aplicação Web Microsoft Entra para autenticação serviço a serviço. Para obter instruções sobre Microsoft Entra configuração da aplicação para autenticação do utilizador final, veja Autenticação do utilizador final com Data Lake Storage Gen1 através de Microsoft Entra ID.

Pré-requisitos

Passo 1: Criar uma aplicação Web do Active Directory

Crie e configure uma aplicação Web Microsoft Entra para autenticação serviço a serviço com o Azure Data Lake Storage Gen1 com Microsoft Entra ID. Para obter instruções, veja Criar uma aplicação Microsoft Entra.

Ao seguir as instruções na ligação anterior, certifique-se de que seleciona Aplicação Web/API para o tipo de aplicação, conforme mostrado na seguinte captura de ecrã:

Criar aplicação Web

Passo 2: Obter o ID da aplicação, a chave de autenticação e o ID do inquilino

Ao iniciar sessão através de programação, precisa do ID da sua aplicação. Se a aplicação for executada com as suas próprias credenciais, também precisa de uma chave de autenticação.

Passo 3: atribuir a aplicação Microsoft Entra à pasta ou ficheiro de conta do Azure Data Lake Storage Gen1

  1. Inicie sessão no portal do Azure. Abra a conta Data Lake Storage Gen1 que pretende associar à aplicação Microsoft Entra que criou anteriormente.

  2. No painel da sua conta Data Lake Storage Gen1, clique em Data Explorer.

    Criar diretórios na conta Data Lake Storage Gen1

  3. No painel Data Explorer, clique no ficheiro ou pasta para o qual pretende fornecer acesso à aplicação Microsoft Entra e, em seguida, clique em Acesso. Para configurar o acesso a um ficheiro, tem de clicar em Acesso no painel Pré-visualização de Ficheiros .

    Definir ACLs no sistema de ficheiros do Data Lake

  4. O painel Acesso lista o acesso padrão e o acesso personalizado já atribuídos à raiz. Clique no ícone Adicionar para adicionar ACLs de nível personalizado.

    Listar acesso padrão e personalizado

  5. Clique no ícone Adicionar para abrir o painel Adicionar Acesso Personalizado . Neste painel, clique em Selecionar Utilizador ou Grupo e, em seguida, no painel Selecionar Utilizador ou Grupo, procure a aplicação Microsoft Entra que criou anteriormente. Se tiver muitos grupos a partir dos quais procurar, utilize a caixa de texto na parte superior para filtrar o nome do grupo. Clique no grupo que pretende adicionar e, em seguida, clique em Selecionar.

    Adicionar um grupo

  6. Clique em Selecionar Permissões, selecione as permissões e se pretende atribuir as permissões como uma ACL predefinida, aceder à ACL ou ambas. Clique em OK.

    Captura de ecrã do painel Adicionar Acesso Personalizado com a opção Selecionar Permissões realçada e o painel Selecionar Permissões com a opção OK realçada.

    Para obter mais informações sobre permissões no Data Lake Storage Gen1 e ACLs predefinidas/de acesso, veja Controlo de Acesso no Data Lake Storage Gen1.

  7. No painel Adicionar Acesso Personalizado , clique em OK. Os grupos adicionados recentemente, com as permissões associadas, estão listados no painel Acesso .

    Captura de ecrã do painel Acesso com o grupo adicionado recentemente destacado na secção Acesso Personalizado.

Nota

Se planear restringir a sua aplicação Microsoft Entra a uma pasta específica, também terá de conceder essa mesma permissão de execução Microsoft Entra aplicação à raiz para permitir o acesso à criação de ficheiros através do SDK .NET.

Nota

Se quiser utilizar os SDKs para criar uma conta Data Lake Storage Gen1, tem de atribuir a aplicação Web Microsoft Entra como uma função ao Grupo de Recursos no qual cria a conta Data Lake Storage Gen1.

Passo 4: obter o ponto final do token OAuth 2.0 (apenas para aplicações baseadas em Java)

  1. Inicie sessão no portal do Azure e clique em Active Directory no painel esquerdo.

  2. No painel esquerdo, clique em Registos de aplicações.

  3. Na parte superior do painel Registos de aplicações, clique em Pontos finais.

    Captura de ecrã a mostrar o Active Directory com a opção Registos de aplicações e a opção Pontos finais realçada.

  4. Na lista de pontos finais, copie o ponto final do token OAuth 2.0.

    Captura de ecrã do painel Pontos finais com o ícone de cópia O TOKEN ENDPOINT de O TOKEN de 2 pontos de O AUTH realçado.

Passos seguintes

Neste artigo, criou uma aplicação Web Microsoft Entra e recolheu as informações de que precisa nas aplicações cliente que criou com o SDK .NET, Java, Python, API REST, etc. Agora, pode avançar para os seguintes artigos que falam sobre como utilizar o Microsoft Entra aplicação nativa para efetuar primeiro a autenticação com Data Lake Storage Gen1 e, em seguida, realizar outras operações no arquivo.