Freigeben über

Authentifizierung von Endbenutzern bei Azure Data Lake Storage Gen1 mithilfe von Microsoft Entra ID

Azure Data Lake Storage Gen1 verwendet Microsoft Entra ID für die Authentifizierung. Vor dem Erstellen einer Anwendung, die mit Data Lake Storage Gen1 oder Azure Data Lake Analytics funktioniert, müssen Sie entscheiden, wie Sie Ihre Anwendung mit Microsoft Entra ID authentifizieren. Sie haben zwei Möglichkeiten:

  • Endbenutzerauthentifizierung (dieser Artikel)
  • Authentifizierung zwischen Diensten (wählen Sie diese Option aus der obigen Dropdownliste)

Bei beiden Optionen erhält Ihre Anwendung ein OAuth 2.0-Token, das an jede an Data Lake Storage Gen1 oder Azure Data Lake Analytics gestellte Anforderung angefügt wird.

Dieser Artikel erläutert, wie Sie eine native Microsoft Entra-Anwendung für die Authentifizierung von Endbenutzern erstellen. Anweisungen zur Konfiguration von Microsoft Entra-Anwendungen für die Dienst-zu-Dienst-Authentifizierung finden Sie unter Dienst-zu-Dienst-Authentifizierung mit Data Lake Storage Gen1 mithilfe von Microsoft Entra ID.

Voraussetzungen

  • Ein Azure-Abonnement. Siehe Kostenlose Azure-Testversion.

  • Ihre Abonnement-ID. Sie können sie über das Azure-Portal abrufen. Sie ist beispielsweise im Bereich „Data Lake Storage Gen1“ des Kontos verfügbar.

    Abonnement-ID abrufen

  • Ihr Microsoft Entra-Domänenname. Diese können Sie abrufen, indem Sie den Mauszeiger über den rechten oberen Bereich im Azure-Portal bewegen. Im Screenshot unten lautet der Domänenname contoso.onmicrosoft.com, und die GUID in Klammern stellt die Mandanten-ID dar.

    Microsoft Entra-Domäne abrufen

  • Ihre Azure-Mandanten-ID Informationen zum Abrufen der Mandanten-ID finden Sie unter Abrufen der Mandanten-ID.

Authentifizierung von Endbenutzern

Dieser Authentifizierungsmechanismus wird empfohlen, wenn sich ein Endbenutzer über Microsoft Entra ID bei Ihrer Anwendung anmelden soll. Die Anwendung kann dann mit der gleichen Zugriffsstufe wie der angemeldete Endbenutzer auf Azure-Ressourcen zugreifen. Ihre Endbenutzer müssen ihre Anmeldeinformationen regelmäßig eingeben, damit Ihre Anwendung den Zugriff beibehalten kann.

Das Ergebnis der Endbenutzeranmeldung ist, dass Ihre Anwendung über ein Zugriffs- und ein Aktualisierungstoken verfügt. Das Zugriffstoken wird an jede an Data Lake Storage Gen1 oder Data Lake Analytics gestellte Anforderung angefügt und ist standardmäßig eine Stunde lang gültig. Mithilfe des Aktualisierungstokens kann ein neues Zugriffstoken abgerufen werden, das standardmäßig bis zu zwei Wochen lang gültig ist. Es gibt zwei Ansätze für die Anmeldung von Endbenutzern.

Verwenden des OAuth 2.0-Popupfensters

Ihre Anwendung kann das Einblenden eines OAuth 2.0-Autorisierungsfensters auslösen, in das Endbenutzer ihre Anmeldeinformationen eingeben können. Dieses Popup funktioniert gegebenenfalls auch mit dem zweistufigen Authentifizierungsprozess (2FA) von Microsoft Entra.

Hinweis

Von der Azure AD Authentication Library (ADAL) für Python oder Java wird diese Methode noch nicht unterstützt.

Direktes Übergeben von Benutzeranmeldeinformationen

Ihre Anwendung kann Microsoft Entra ID Benutzeranmeldeinformationen direkt bereitstellen. Diese Methode funktioniert nur mit Benutzerkonten mit Organisations-ID. Sie ist nicht kompatibel mit persönlichen/Live ID-Benutzerkonten, einschließlich der Konten, die auf @outlook.com oder @live.com enden. Darüber hinaus ist diese Methode nicht kompatibel mit Benutzerkonten, die die zweistufige Authentifizierung (2FA) von Microsoft Entra benötigen.

Was brauche ich für diesen Ansatz?

  • Microsoft Entra-Domänenname. Diese Anforderung ist bereits in den in diesem Artikel angegebenen Voraussetzungen aufgeführt.
  • Microsoft Entra-Mandantenkennung. Diese Anforderung ist bereits in den in diesem Artikel angegebenen Voraussetzungen aufgeführt.
  • Microsoft Entra ID native Anwendung
  • Anwendungs-ID für die native Microsoft Entra-Anwendung
  • Umleitungs-URI für die native Microsoft Entra-Anwendung
  • Festlegen der delegierten Berechtigungen

Schritt 1: Erstellen einer nativen Active Directory-Anwendung

Erstellen und Konfigurieren Sie eine native Microsoft Entra-Anwendung für die Authentifizierung von Endbenutzern bei Data Lake Storage Gen1 mithilfe von Microsoft Entra ID. Anweisungen finden Sie unter Erstellen einer Microsoft Entra-Anwendung.

Wenn Sie die Anweisungen unter diesem Link befolgen, stellen Sie sicher, dass Sie als Typ der Anwendung Nativ auswählen, wie auf dem folgenden Screenshot gezeigt:

Erstellen einer Web-App

Schritt 2: Abrufen von Anwendungs-ID und Umleitungs-URI

Informationen zum Abrufen der Anwendungs-ID finden Sie unter Abrufen der Anwendungs-ID.

Führen Sie folgende Schritte aus, um den Umleitungs-URI abzurufen.

  1. Wählen Sie im Azure-Portal zunächst die Option Microsoft Entra ID und dann App-Registrierungen aus, und suchen Sie anschließend die native Microsoft Entra-Anwendung, die Sie erstellt haben.

  2. Wählen Sie im Einstellungen-Bereich der Anwendung die Option Umleitungs-URIs aus.

    Weiterleitungs-URI abrufen

  3. Kopieren Sie den angezeigten Wert.

Schritt 3: Legen Sie Berechtigungen fest

  1. Wählen Sie im Azure-Portal zunächst die Option Microsoft Entra ID und dann App-Registrierungen aus, und suchen Sie anschließend die native Microsoft Entra-Anwendung, die Sie erstellt haben.

  2. Wählen Sie auf dem Blatt Einstellungen der Anwendung zunächst die Option Erforderliche Berechtigungen und dann Hinzufügen aus.

    Screenshot des Blatts „Einstellungen“ mit der aufgerufenen Umleitungs-URI-Option und dem Blatt „Umleitungs-URI“ mit der tatsächlichen URI

  3. Wählen Sie auf dem Blatt API-Zugriff hinzufügen zunächst die Option API auswählen, dann Azure Data Lake und anschließend Auswählen aus.

    Screenshot des Fensters „API-Zugriff hinzufügen“ mit der Option „API auswählen“, die hervorgehoben ist, und des Fensters „API auswählen“ mit der hervorgehobenen Option Azure Data Lake und der Option „Auswählen“.

  4. Wählen Sie auf dem Blatt API-Zugriff hinzufügen zunächst die Option Berechtigungen auswählen aus, aktivieren Sie das Kontrollkästchen, um Vollzugriff auf Data Lake Store zu gewähren, und wählen Sie dann Auswählen aus.

    Screenshot des Blatts „API-Zugriff hinzufügen“ mit der hervorgehobenen Option „Berechtigungen auswählen“ und des Blatts „Zugriff aktivieren“ mit der Option „Vollzugriff auf den Azure Data Lake-Service“ und der hervorgehobenen Option „Auswählen“

    Wählen Sie Fertigaus.

  5. Wiederholen Sie die letzten beiden Schritte, um ebenfalls Berechtigungen für die Windows Azure-Service-Verwaltungs-API zu erteilen.

Nächste Schritte

In diesem Artikel haben Sie eine native Microsoft Entra-Anwendung erstellt und die Informationen gesammelt, die für Ihre Clientanwendungen nötig sind, die Sie mit dem .NET SDK, Java SDK, der REST-API usw. erstellen. Sie können nun mit den nachfolgend aufgeführten Artikeln fortfahren, in denen erläutert wird, wie Sie die Microsoft Entra-Webanwendung verwenden, um sich zum ersten Mal bei Data Lake Storage Gen1 zu authentifizieren und anschließend andere Vorgänge im Speicher durchzuführen.

  • Last updated on