Azure Active Directory kullanarak Azure Data Lake Storage 1. ile son kullanıcı kimlik doğrulamasıEnd-user authentication with Azure Data Lake Storage Gen1 using Azure Active Directory

Azure Data Lake Storage 1., kimlik doğrulaması için Azure Active Directory kullanır.Azure Data Lake Storage Gen1 uses Azure Active Directory for authentication. Data Lake Storage 1. veya Azure Data Lake Analytics ile çalışacak bir uygulama yazmadan önce, Azure Active Directory (Azure AD) ile uygulamanızın kimliğini nasıl doğrulayacağınıza karar vermelisiniz.Before authoring an application that works with Data Lake Storage Gen1 or Azure Data Lake Analytics, you must decide how to authenticate your application with Azure Active Directory (Azure AD). Kullanılabilen iki ana seçenek şunlardır:The two main options available are:

  • Son Kullanıcı kimlik doğrulaması (Bu makale)End-user authentication (this article)
  • Hizmetten hizmete kimlik doğrulaması (yukarıdaki açılan listeden bu seçeneği belirleyin)Service-to-service authentication (pick this option from the drop-down above)

Bu seçeneklerin her ikisi de, Data Lake Storage 1. veya Azure Data Lake Analytics yapılan her bir isteğe bağlı olan bir OAuth 2,0 belirteciyle birlikte sağlanmış olması ile sonuçlanır.Both these options result in your application being provided with an OAuth 2.0 token, which gets attached to each request made to Data Lake Storage Gen1 or Azure Data Lake Analytics.

Bu makalede, Son Kullanıcı kimlik doğrulaması için bir Azure AD yerel uygulamasının nasıl oluşturulacağı ele gösterilmektedir.This article talks about how to create an Azure AD native application for end-user authentication. Hizmetten hizmete kimlik doğrulaması için Azure AD uygulama yapılandırması yönergeleri için Azure Active Directory kullanarak Data Lake Storage 1. Ile hizmetten hizmete kimlik doğrulamasıkonusuna bakın.For instructions on Azure AD application configuration for service-to-service authentication, see Service-to-service authentication with Data Lake Storage Gen1 using Azure Active Directory.

ÖnkoşullarPrerequisites

  • Azure aboneliği.An Azure subscription. Bkz. Azure ücretsiz deneme sürümü edinme.See Get Azure free trial.

  • Abonelik KIMLIĞINIZ.Your subscription ID. Azure portal bunu alabilirsiniz.You can retrieve it from the Azure portal. Örneğin, Data Lake Storage 1. hesabı dikey penceresinde kullanılabilir.For example, it is available from the Data Lake Storage Gen1 account blade.

    Abonelik KIMLIĞINI al

  • Azure AD etki alanı adınız.Your Azure AD domain name. Fareyi, Azure portal sağ üst köşesine getirerek alabilirsiniz.You can retrieve it by hovering the mouse in the top-right corner of the Azure portal. Aşağıdaki ekran görüntüsünde, etki alanı adı contoso.onmicrosoft.com ve köşeli AYRAÇLAR içindeki GUID kiracı kimliğidir.From the screenshot below, the domain name is contoso.onmicrosoft.com, and the GUID within brackets is the tenant ID.

    AAD etki alanını al

  • Azure kiracı KIMLIĞINIZ.Your Azure tenant ID. Kiracı KIMLIĞINI alma hakkında yönergeler için bkz. KIRACı kimliğini alma.For instructions on how to retrieve the tenant ID, see Get the tenant ID.

Son kullanıcı kimlik doğrulamasıEnd-user authentication

Bu kimlik doğrulama mekanizması, son kullanıcının Azure AD aracılığıyla uygulamanızda oturum açmasını istiyorsanız önerilen yaklaşımdır.This authentication mechanism is the recommended approach if you want an end user to sign in to your application via Azure AD. Daha sonra uygulamanız, oturum açan son kullanıcıyla aynı erişim düzeyine sahip Azure kaynaklarına erişebiliyor.Your application is then able to access Azure resources with the same level of access as the end user that logged in. Uygulamanızın erişimi sürdürmek için son kullanıcılarınızın kimlik bilgilerini düzenli aralıklarla sağlaması gerekir.Your end user needs to provide their credentials periodically in order for your application to maintain access.

Son Kullanıcı oturum açma işlemi, uygulamanıza erişim belirteci ve yenileme belirteci verilme sonucudur.The result of having the end-user sign in is that your application is given an access token and a refresh token. Erişim belirteci Data Lake Storage 1. veya Data Lake Analytics yapılan her isteğe iliştirilir ve varsayılan olarak bir saat için geçerlidir.The access token gets attached to each request made to Data Lake Storage Gen1 or Data Lake Analytics, and it is valid for one hour by default. Yenileme belirteci yeni bir erişim belirteci almak için kullanılabilir ve varsayılan olarak en fazla iki hafta geçerlidir.The refresh token can be used to obtain a new access token, and it is valid for up to two weeks by default. Son Kullanıcı oturum açma için iki farklı yaklaşım kullanabilirsiniz.You can use two different approaches for end-user sign in.

OAuth 2,0 açılır penceresini kullanmaUsing the OAuth 2.0 pop-up

Uygulamanız, son kullanıcının kimlik bilgilerini girebileceği bir OAuth 2,0 yetkilendirme açılır penceresini tetikleyebilirler.Your application can trigger an OAuth 2.0 authorization pop-up, in which the end user can enter their credentials. Bu açılır pencere, gerekirse Azure AD Iki faktörlü kimlik doğrulaması (2FA) işlemi ile de çalışır.This pop-up also works with the Azure AD Two-factor Authentication (2FA) process, if necessary.

Not

Bu yöntem, Python veya Java için Azure AD kimlik doğrulama kitaplığı 'nda (ADAL) henüz desteklenmiyor.This method is not yet supported in the Azure AD Authentication Library (ADAL) for Python or Java.

Kullanıcı kimlik bilgilerini doğrudan geçirmeDirectly passing in user credentials

Uygulamanız Azure AD 'ye doğrudan Kullanıcı kimlik bilgilerini sağlayabilir.Your application can directly provide user credentials to Azure AD. Bu yöntem yalnızca kuruluş KIMLIĞI Kullanıcı hesaplarıyla birlikte kullanılabilir; veya ' de sonlanan hesaplar dahil olmak üzere kişisel/"canlı KIMLIK" Kullanıcı hesaplarıyla uyumlu değildir @outlook.com @live.com .This method only works with organizational ID user accounts; it is not compatible with personal / “live ID” user accounts, including the accounts ending in @outlook.com or @live.com. Ayrıca, bu yöntem, Azure AD Iki öğeli kimlik doğrulaması (2FA) gerektiren kullanıcı hesaplarıyla uyumlu değildir.Furthermore, this method is not compatible with user accounts that require Azure AD Two-factor Authentication (2FA).

Bu yaklaşım için ne yapmam gerekir?What do I need for this approach?

  • Azure AD etki alanı adı.Azure AD domain name. Bu gereksinim, bu makalenin önkoşul bölümünde zaten listelenmiştir.This requirement is already listed in the prerequisite of this article.
  • Azure AD kiracı KIMLIĞI.Azure AD tenant ID. Bu gereksinim, bu makalenin önkoşul bölümünde zaten listelenmiştir.This requirement is already listed in the prerequisite of this article.
  • Azure AD Yerel uygulamasıAzure AD native application
  • Azure AD yerel uygulaması için uygulama KIMLIĞIApplication ID for the Azure AD native application
  • Azure AD yerel uygulaması için yeniden yönlendirme URI 'SIRedirect URI for the Azure AD native application
  • Yetki verilmiş izinleri ayarlayınSet delegated permissions

1. Adım: Active Directory yerel uygulama oluşturmaStep 1: Create an Active Directory native application

Azure Active Directory kullanarak Data Lake Storage 1. ile son kullanıcı kimlik doğrulaması için bir Azure AD yerel uygulaması oluşturun ve yapılandırın.Create and configure an Azure AD native application for end-user authentication with Data Lake Storage Gen1 using Azure Active Directory. Yönergeler için bkz. Azure AD uygulaması oluşturma.For instructions, see Create an Azure AD application.

Bağlantıdaki yönergeleri takip ederken, aşağıdaki ekran görüntüsünde gösterildiği gibi uygulama türü için Yerel ' i seçtiğinizden emin olun:While following the instructions in the link, make sure you select Native for application type, as shown in the following screenshot:

Web uygulaması oluşturmaCreate web app

2. Adım: uygulama KIMLIĞINI ve yeniden yönlendirme URI 'sini alınStep 2: Get application ID and redirect URI

Bkz. uygulama KIMLIĞINI almak için uygulama kimliğini alma .See Get the application ID to retrieve the application ID.

Yeniden yönlendirme URI 'sini almak için aşağıdaki adımları uygulayın.To retrieve the redirect URI, do the following steps.

  1. Azure portal, Azure Active Directory' i seçin, uygulama kayıtları' ı tıklatın ve ardından oluşturduğunuz Azure AD yerel uygulamasını bulun ve tıklatın.From the Azure portal, select Azure Active Directory, click App registrations, and then find and click the Azure AD native application that you created.

  2. Uygulamanın Ayarlar dikey penceresinde URI 'leri yeniden yönlendir' e tıklayın.From the Settings blade for the application, click Redirect URIs.

    Yeniden yönlendirme URI 'SI al

  3. Görünen değeri kopyalayın.Copy the value displayed.

3. Adım: izinleri ayarlamaStep 3: Set permissions

  1. Azure portal, Azure Active Directory' i seçin, uygulama kayıtları' ı tıklatın ve ardından oluşturduğunuz Azure AD yerel uygulamasını bulun ve tıklatın.From the Azure portal, select Azure Active Directory, click App registrations, and then find and click the Azure AD native application that you created.

  2. Uygulamanın Ayarlar dikey penceresinde gerekli izinler' e ve ardından Ekle' ye tıklayın.From the Settings blade for the application, click Required permissions, and then click Add.

    Yeniden yönlendirme U R I seçeneği verilen ayarlar dikey penceresinin ekran görüntüsü ve bu şekilde adlandırılan gerçek U R ile yeniden yönlendirme U R ı dikey penceresi.

  3. API erişimi ekle dikey PENCERESINDE, API Seç' e tıklayın, Azure Data Lake' a ve ardından Seç' e tıklayın.In the Add API Access blade, click Select an API, click Azure Data Lake, and then click Select.

    API erişimi ekle adlı bir API 'si seçeneği ve Azure Data Lake seçeneği ve Seç seçeneği ile bir API seçin dikey penceresi içeren ekran görüntüsü.

  4. API erişimi ekle dikey penceresinde izinleri seç' e tıklayın, Data Lake Store tam erişim vermek Için onay kutusunu işaretleyin ve ardından Seç' e tıklayın.In the Add API Access blade, click Select permissions, select the check box to give Full access to Data Lake Store, and then click Select.

    Adlandırılmış izinleri Seç seçeneği ile API erişimi ekle dikey penceresinin ekran görüntüsü ve Azure Data Lake hizmeti için tam erişime sahip olan erişimi etkinleştir dikey penceresi ve seçenek olarak adlandırılan seçim seçeneği.

    Bitti’ye tıklayın.Click Done.

  5. Windows Azure hizmet yönetim API'si izin vermek için son iki adımı yineleyin.Repeat the last two steps to grant permissions for Windows Azure Service Management API as well.

Sonraki adımlarNext steps

Bu makalede, bir Azure AD yerel uygulaması oluşturdunuz ve .NET SDK, Java SDK, REST API vb. kullanarak yazdığınız istemci uygulamalarınızda ihtiyacınız olan bilgileri topladı. Artık Data Lake Storage 1. kimlik doğrulaması yapmak için Azure AD Web uygulamasının nasıl kullanılacağına ve ardından mağaza üzerinde başka işlemler gerçekleştirmeye yönelik aşağıdaki makalelere geçebilirsiniz.In this article, you created an Azure AD native application and gathered the information you need in your client applications that you author using .NET SDK, Java SDK, REST API, etc. You can now proceed to the following articles that talk about how to use the Azure AD web application to first authenticate with Data Lake Storage Gen1 and then perform other operations on the store.