Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
L’authentification est le processus de vérification de l’identité d’un utilisateur ou d’une application. Nous vous recommandons d’utiliser un fournisseur d’identité source unique pour gérer la gestion des identités et l’authentification. Ce fournisseur est appelé service d’annuaire. Il fournit des moyens de stocker les données d’annuaire et de mettre ces données à la disposition des utilisateurs et administrateurs du réseau.
Toute solution data lake doit utiliser et s’intégrer à un service d’annuaire existant. Pour la plupart des organisations, le service d’annuaire pour tous les services liés à l’identité est Microsoft Entra ID. Il s’agit de la base de données principale et centralisée pour tous les comptes de service et d’utilisateur.
Dans le cloud, Microsoft Entra ID est un fournisseur d’identité centralisé et la source préférée pour la gestion de l’identité. Déléguer l’authentification et l’autorisation à Microsoft Entra ID pour utiliser des fonctionnalités telles que des stratégies d’accès conditionnel qui nécessitent qu’un utilisateur se trouve dans un emplacement spécifique. Microsoft Entra ID prend également en charge l’authentification multifacteur, ce qui augmente le niveau de sécurité d’accès. Vous devez configurer des services de données en intégrant Microsoft Entra ID dans la mesure du possible.
Si vos services de données ne prennent pas en charge Microsoft Entra ID, vous devez effectuer l’authentification à l’aide d’une clé d’accès ou d’un jeton. Vous devez stocker la clé d’accès dans un magasin de gestion de clés, tel qu’Azure Key Vault.
Les scénarios d’authentification pour l’analyse à l’échelle du cloud sont les suivants :
- Authentification de l’utilisateur. Dans ce scénario, l’ID Microsoft Entra authentifie les utilisateurs à l’aide de leurs informations d’identification.
- Authentification de service à service. Dans ce scénario, les ressources Azure authentifient les services à l’aide d’identités managées, qu’Azure gère automatiquement.
- Authentification des applications vers les services. Dans ce scénario, les applications authentifient les services à l’aide de principaux de service.
Scénarios d’authentification
Les sections suivantes décrivent chacun des scénarios d’authentification : authentification utilisateur, authentification de service à service et authentification d’application à service.
Authentification utilisateur
Les utilisateurs qui se connectent à un service de données ou à une ressource doivent présenter des informations d’identification. Ces informations d’identification prouvent que les utilisateurs sont ceux qu’ils prétendent être. Ils peuvent ensuite accéder au service ou à la ressource. L’authentification permet également au service de connaître l’identité des utilisateurs. Le service décide ce qu’un utilisateur peut voir et faire une fois que l’identité est vérifiée.
Azure Data Lake Storage, Azure SQL Database et Azure Databricks prennent en charge l’intégration d’ID Microsoft Entra. Le mode d’authentification utilisateur interactif oblige les utilisateurs à fournir des informations d’identification dans une boîte de dialogue.
Importante
Ne codez pas en dur les informations d’identification de l’utilisateur dans une application à des fins d’authentification.
Authentification de service à service
Lorsqu’un service accède à un autre service sans interaction humaine, il doit présenter une identité valide. Cette identité prouve l’authenticité du service et permet au service auquel il accède de déterminer quelles actions sont autorisées.
Dans les scénarios d’authentification de service à service, nous vous recommandons d’utiliser des identités managées pour l’authentification des services Azure. Les identités managées pour les ressources Azure permettent l’authentification auprès d’un service qui prend en charge l’authentification Microsoft Entra sans information d’identification explicite. Pour plus d’informations, consultez Présentation des identités managées pour les ressources Azure.
Les identités managées sont des principaux de service qui peuvent être utilisés uniquement avec des ressources Azure. Par exemple, vous pouvez créer une identité managée pour une instance Azure Data Factory. Microsoft Entra ID inscrit cette identité managée en tant qu’objet qui représente l’instance Data Factory. Vous pouvez ensuite utiliser cette identité pour vous authentifier auprès de n’importe quel service, tel que Data Lake Storage, sans informations d’identification dans le code. Azure gère les informations d’identification que l’instance de service utilise. L’identité peut authentifier les ressources de service Azure, telles qu’un dossier dans Data Lake Storage. Lorsque vous supprimez l’instance Data Factory, Azure supprime l’identité dans l’ID Microsoft Entra.
Avantages liés à l’utilisation des identités managées
Utilisez des identités managées pour authentifier un service Azure auprès d’un autre service ou ressource Azure. Les identités managées offrent les avantages suivants :
- Une identité managée représente le service pour lequel elle est créée. Elle ne représente pas un utilisateur interactif.
- Les informations d’identification de l’identité managée sont entretenues, gérées et stockées dans Microsoft Entra ID. L’utilisateur n’a pas besoin de conserver un mot de passe.
- Lorsque vous utilisez des identités managées, les services clients n’utilisent pas de mots de passe.
- L’identité managée affectée par le système est supprimée lors de la suppression de l’instance de service.
Ces avantages signifient que les informations d’identification sont mieux protégées et que la compromission de sécurité est moins probable.
Authentification d’application à service
Un autre scénario d’accès est lorsqu’une application, telle qu’une application mobile ou web, accède à un service Azure. L’application doit présenter son identité, qui doit ensuite être vérifiée.
Un principal de service Azure est l’option alternative pour les applications et les services qui ne prennent pas en charge les identités managées pour s’authentifier auprès des ressources Azure. Un principal de service est une identité créée spécifiquement pour les applications, les services hébergés et les outils automatisés permettant d’accéder aux ressources Azure. Les rôles attribués au principal de service contrôlent son accès. Pour des raisons de sécurité, nous vous recommandons d’utiliser des principaux de service avec des outils ou des applications automatisés au lieu de les autoriser à se connecter avec une identité utilisateur. Pour plus d’informations, consultez Objets d’application et de principal de service dans Microsoft Entra ID.
Différences entre les identités managées et les principaux de service
| Principal du service | Identité managée |
|---|---|
| Identité de sécurité que vous créez manuellement dans l’ID Microsoft Entra pour les applications, les services et les outils qui doivent accéder à des ressources Azure spécifiques. | Type spécial de principal de service. Il s’agit d’une identité automatique créée lors de la création d’un service Azure. |
| Utilisé par n’importe quelle application ou service et n’est pas lié à un service Azure spécifique. | Représente une instance de service Azure. Il ne peut pas être utilisé pour représenter d’autres services Azure. |
| A un cycle de vie indépendant. Doit être supprimé(e) explicitement. | Fait l’objet d’une suppression automatique quand l’instance de service Azure est supprimée. |
| Authentification par mot de passe ou par certificat. | Aucun mot de passe explicite ne doit être fourni pour l’authentification. |
Note
Les identités managées et les principaux de service sont créés et gérés uniquement dans Microsoft Entra ID.
Meilleures pratiques pour l’authentification dans l’analytique à l’échelle du cloud
Dans l’analytique à l’échelle du cloud, l’implémentation de pratiques d’authentification robustes et sécurisées est primordiale. Les meilleures pratiques d’authentification s’appliquent à différentes couches d’une solution, notamment les bases de données, le stockage et les services d’analytique. En utilisant l’ID Microsoft Entra, les organisations peuvent améliorer la sécurité à l’aide de fonctionnalités telles que l’authentification multifacteur et les stratégies d’accès conditionnel.
| Couche | Service | Recommandation |
|---|---|---|
| Bases de données | - SQL Database - SQL Managed Instance - Azure Database pour MySQL - Azure Database pour PostgreSQL |
Utilisez l’ID Microsoft Entra pour l’authentification avec des bases de données telles qu’Azure Database pour PostgreSQL, Azure SQL et Azure Database pour MySQL. |
| Stockage | Data Lake Storage | Utilisez l'identifiant Microsoft Entra pour l’authentification des principaux de sécurité, tels que les utilisateurs, les groupes, et les principaux de service ou les identités managées, avec Data Lake Storage au lieu d’une clé partagée ou de signatures d’accès partagé. Cette approche permet d’améliorer la sécurité, car elle prend en charge l’authentification multifacteur et les stratégies d’accès conditionnel. |
| Stockage | Data Lake Storage d’Azure Databricks | Connectez-vous à Data Lake Storage à l’aide du catalogue Unity au lieu d’un accès direct au niveau du stockage en créant des informations d’identification de stockage qui utilisent une identité managée et un emplacement externe. |
| Analyse de données | Azure Databricks | Utilisez le système de gestion des identités inter-domaines pour synchroniser les utilisateurs et les groupes à partir de l’ID Microsoft Entra. Pour accéder aux ressources Azure Databricks à l’aide d’API REST, utilisez OAuth avec un principal de service Azure Databricks. |
Importante
Donner aux utilisateurs Azure Databricks un accès direct au niveau du stockage à Data Lake Storage contourne les autorisations, les audits et les fonctionnalités de sécurité du catalogue Unity, notamment le contrôle d’accès et la surveillance. Pour mieux sécuriser et régir les données, Unity Catalog doit gérer l’accès aux données stockées dans Data Lake Storage pour les utilisateurs de l’espace de travail Azure Databricks.
Étape suivante
Autorisation pour l’analytique à l’échelle du cloud dans Azure