使用 Microsoft Entra ID 向 Azure Data Lake Storage Gen1 進行服務對服務驗證
Azure Data Lake Storage Gen1 會使用 Microsoft Entra ID 進行驗證。 在撰寫可與 Data Lake Storage Gen1 搭配運作的應用程式之前,您必須決定如何使用 Microsoft Entra ID 驗證應用程式。 兩個主要選項為︰
- 終端使用者驗證
- 服務對服務驗證 (本文)
兩個選項都要靠 OAuth 2.0 權杖來提供您的應用程式,權杖會連接到每個對 Data Lake Storage Gen1 提出的要求。
本文討論如何建立 Microsoft Entra Web 應用程式以進行服務對服務驗證。 如需使用者驗證 Microsoft Entra 應用程式組態的指示,請參閱使用 Microsoft Entra ID 使用 Data Lake Storage Gen1 進行使用者驗證。
必要條件
- Azure 訂用帳戶。 請參閱取得 Azure 免費試用。
步驟 1:建立 Active Directory Web 應用程式
使用 Microsoft Entra ID,建立及設定 Microsoft Entra Web 應用程式,以使用 Azure Data Lake Storage Gen1 進行服務對服務驗證。 如需指示,請參閱建立 Microsoft Entra 應用程式。
依照上面連結中的指示進行時,請確定如以下螢幕擷取畫面所示,選取 [Web 應用程式 / API] 應用程式類型:
步驟 2:取得應用程式識別碼、驗證金鑰及租用戶識別碼
以程式設計方式登入時,您需要應用程式的識別碼。 如果應用程式是在自己的認證下執行,則您還需要一個驗證金鑰。
如需有關如何為應用程式擷取應用程式識別碼和驗證金鑰 (也稱為用戶端祕密) 的指示,請參閱取得應用程式識別碼和驗證金鑰。
如需有關如何擷取租用戶識別碼的指示,請參閱取得租用戶識別碼。
步驟 3:將 Microsoft Entra 應用程式指派給 Azure Data Lake Storage Gen1 帳戶檔案或資料夾
登入 Azure 入口網站。 開啟您想要與稍早建立 Microsoft Entra 應用程式建立關聯的 Data Lake Storage Gen1 帳戶。
在您的 [Data Lake Storage Gen1 帳戶] 刀鋒視窗中,按一下 [資料總管]。
在 [Data Explorer] 刀鋒視窗中,按兩下您要提供 Microsoft Entra 應用程式存取權的檔案或資料夾,然後按兩下 [存取]。 若要設定對檔案的存取權,您必須從 [檔案預覽] 刀鋒視窗按一下 [存取]。
[存取] 刀鋒視窗會列出已指派至根的標準存取和自訂存取。 按一下 [新增] 圖示以新增自訂層級的 ACL。
按一下 [新增] 圖示,以開啟 [新增自訂存取] 刀鋒視窗。 在此刀鋒視窗中,按兩下 [選取使用者或群組],然後在 [選取使用者或群組] 刀鋒視窗中,尋找您稍早建立的 Microsoft Entra 應用程式。 若您需要搜尋大量的群組,請使用頂端的文字方塊來篩選群組名稱。 按一下您要新增的群組,然後按一下 [選取] 。
按一下 [選取權限],選取權限及權限的指派方式 (例如預設 ACL、存取 ACL 或兩者並用)。 按一下 [確定]。
![[新增自訂存取] 刀鋒視窗 (呼叫了 [選取許可權] 選項) 與 [選取許可權] 刀鋒視窗 (呼叫了 [確定] 選項) 的螢幕擷取畫面。](media/data-lake-store-authenticate-using-active-directory/adl.acl.4.png "將許可權指派給群組")
如需 Data Lake Storage Gen1 中權限及預設/存取 ACL 的詳細資訊,請參閱 Data Lake Storage Gen1 中的存取控制。
在 [新增自訂存取] 刀鋒視窗中,按一下 [確定]。 具有相關權限的新增群組會列在 [存取] 刀鋒視窗中。
![[存取] 刀鋒視窗的螢幕擷取畫面,當中在 [自訂存取] 區段中呼叫了新增的群組。](media/data-lake-store-authenticate-using-active-directory/adl.acl.5.png "將許可權指派給群組")
注意
如果您打算將 Microsoft Entra 應用程式限制為特定資料夾,您也必須將相同的 Microsoft Entra 應用程式 Execute 許可權授與根目錄,才能透過 .NET SDK 啟用檔案建立存取。
注意
如果您想要使用 SDK 來建立 Data Lake Storage Gen1 帳戶,您必須將 Microsoft Entra Web 應用程式指派為角色給在其中建立 Data Lake Storage Gen1 帳戶的資源群組。
步驟 4:取得 OAuth 2.0 權杖端點 (只適用於 Java 型應用程式)
登入 Azure 入口網站,然後按一下左窗格中的 [Active Directory]。
從左窗格,按一下 [應用程式註冊]。
從 [應用程式註冊] 刀鋒視窗頂端,按一下 [端點]。
![Active Directory 的螢幕擷取畫面,當中呼叫了 [應用程式註冊] 選項和 [端點] 選項。](media/data-lake-store-authenticate-using-active-directory/oauth-token-endpoint.png "OAuth 權杖端點")
從端點清單,複製 OAuth 2.0 權杖端點。
![OAuth 權杖端點 [端點] 刀鋒視窗的螢幕擷取畫面,當中呼叫了 O AUTH 2 點 O TOKEN 端點複製圖示。](media/data-lake-store-authenticate-using-active-directory/oauth-token-endpoint-1.png "OAuth 權杖端點")
下一步
在本文中,您已建立 Microsoft Entra Web 應用程式,並收集您在使用 .NET SDK、Java、Python、REST API 等撰寫的用戶端應用程式中所需的資訊。您現在可以繼續進行下列文章,討論如何使用 Microsoft Entra 原生應用程式先向 Data Lake Storage Gen1 進行驗證,然後在存放區上執行其他作業。