Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
A autenticação é o processo de verificação da identidade de um usuário ou aplicativo. Recomendamos que você use um provedor de identidade de origem única para lidar com o gerenciamento e a autenticação de identidade. Esse provedor é conhecido como um serviço de diretório. Ele fornece maneiras de armazenar dados de diretório e disponibiliza esses dados para usuários e administradores de rede.
Qualquer solução data lake deve usar e integrar-se a um serviço de diretório existente. Para a maioria das organizações, o serviço de diretório para todos os serviços relacionados à identidade é o Microsoft Entra ID. É o banco de dados primário e centralizado para todas as contas de serviço e de usuário.
Na nuvem, o Microsoft Entra ID é um provedor de identidade centralizado e a fonte preferencial para gerenciamento de identidade. Delegar autenticação e autorização à ID do Microsoft Entra para usar recursos como políticas de Acesso Condicional que exigem que um usuário esteja em um local específico. A ID do Microsoft Entra também dá suporte à autenticação multifator, o que aumenta o nível de segurança de acesso. Você deve configurar os serviços de dados integrando a ID do Microsoft Entra sempre que possível.
Se os serviços de dados não deem suporte à ID do Microsoft Entra, você deverá executar a autenticação usando uma chave de acesso ou token. Você deve armazenar a chave de acesso em um repositório de gerenciamento de chaves, como o Azure Key Vault.
Os cenários de autenticação para a análise em escala de nuvem são:
- Autenticação do usuário. Nesse cenário, a ID do Microsoft Entra autentica os usuários usando suas credenciais.
- Autenticação entre serviços. Nesse cenário, os recursos do Azure autenticam serviços usando identidades gerenciadas, que o Azure gerencia automaticamente.
- Autenticação de aplicativo para serviço. Nesse cenário, os aplicativos autenticam serviços usando entidades de serviço.
Cenários de autenticação
As seções a seguir descrevem cada um dos cenários de autenticação: autenticação de usuário, autenticação de serviço a serviço e autenticação de aplicativo para serviço.
Autenticação de usuário
Os usuários que se conectam a um recurso ou serviço de dados devem apresentar uma credencial. Essa credencial prova que os usuários são quem eles afirmam ser. Em seguida, podem acessar o serviço ou recurso. A autenticação também permite que o serviço detecte a identidade dos usuários. O serviço decide o que um usuário pode ver e fazer após a identidade ser verificada.
O Azure Data Lake Storage, o Banco de Dados SQL do Azure e o Azure Databricks dão suporte à integração do Microsoft Entra ID. O modo interativo de autenticação de usuário exige que os usuários forneçam credenciais em uma caixa de diálogo.
Importante
Não insira credenciais de usuário em código em um aplicativo para fins de autenticação.
Autenticação entre serviços
Quando um serviço acessa outro serviço sem interação humana, ele deve apresentar uma identidade válida. Essa identidade prova a autenticidade do serviço e permite que o serviço que ele acessa determine quais ações são permitidas.
Em cenários de autenticação serviço a serviço, recomendamos que você use identidades gerenciadas para autenticar os serviços do Azure. As identidades gerenciadas para recursos do Azure permitem autenticação para qualquer serviço que ofereça suporte à autenticação do Microsoft Entra sem credenciais explícitas. Para obter mais informações, confira O que são as identidades gerenciadas para recursos do Azure.
As identidades gerenciadas são entidades de serviço que só podem ser usadas com recursos do Azure. Por exemplo, você pode criar uma identidade gerenciada para uma instância do Azure Data Factory. A ID do Microsoft Entra registra essa identidade gerenciada como um objeto que representa a instância do Data Factory. Em seguida, você pode usar essa identidade para autenticar em qualquer serviço, como o Data Lake Storage, sem credenciais no código. O Azure gerencia as credenciais que a instância de serviço usa. A identidade pode autenticar recursos de serviço do Azure, como uma pasta no Data Lake Storage. Quando você exclui a instância do Data Factory, o Azure exclui a identidade na ID do Microsoft Entra.
Benefícios do uso de identidades gerenciadas
Use identidades gerenciadas para autenticar um serviço do Azure em outro serviço ou recurso do Azure. As identidades gerenciadas fornecem os seguintes benefícios:
- Uma identidade gerenciada representa o serviço para o qual ela é criada. Ela não representa um usuário interativo.
- As credenciais de identidade gerenciada são mantidas, gerenciadas e armazenadas no Microsoft Entra ID. Não há senha a ser mantida pelo usuário.
- Quando você usa identidades gerenciadas, os serviços cliente não usam senhas.
- A identidade gerenciada atribuída pelo sistema é excluída com a instância do serviço.
Esses benefícios significam que as credenciais estão mais protegidas e o comprometimento de segurança é menos provável.
Autenticação de aplicativo para serviço
Outro cenário de acesso é quando um aplicativo, como um aplicativo móvel ou Web, acessa um serviço do Azure. O aplicativo deve apresentar sua identidade, que deve ser verificada.
Uma entidade de serviço do Azure é a opção alternativa a aplicativos e serviços que não dão suporte a identidades gerenciadas para autenticação nos recursos do Azure. Uma entidade de serviço é uma identidade criada especificamente para aplicativos, serviços hospedados e ferramentas automatizadas para acessar recursos do Azure. As funções atribuídas à entidade de serviço controlam seu acesso. Por motivos de segurança, recomendamos que você use entidades de serviço com ferramentas ou aplicativos automatizados em vez de permitir que eles entrem com uma identidade de usuário. Para obter mais informações, consulte os Objetos de aplicativo e entidade de serviço no Microsoft Entra ID.
Diferenças entre identidades gerenciadas e entidades de serviço
| Entidade de serviço | Identidade gerenciada |
|---|---|
| Uma identidade de segurança que você cria manualmente na ID do Microsoft Entra para aplicativos, serviços e ferramentas que precisam acessar recursos específicos do Azure. | É um tipo especial de entidade de serviço. É uma identidade automática criada quando um serviço do Azure é criado. |
| Usado por qualquer aplicativo ou serviço e não está vinculado a um serviço específico do Azure. | Representa uma instância de serviço do Azure em si. Ele não pode ser usado para representar outros serviços do Azure. |
| Tem ciclo de vida independente. Você deve excluí-la explicitamente. | É excluída automaticamente quando a instância de serviço do Azure é excluída. |
| Autenticação baseada em senha ou em certificado. | Nenhuma senha explícita precisa ser fornecida para autenticação. |
Observação
As identidades gerenciadas e as entidades de serviço são criadas e mantidas apenas no Microsoft Entra ID.
Práticas recomendadas para autenticação na análise em escala de nuvem
Na análise em escala de nuvem, a implementação de práticas de autenticação robustas e seguras é fundamental. As práticas recomendadas para autenticação se aplicam a várias camadas de uma solução, incluindo bancos de dados, armazenamento e serviços de análise. Usando a ID do Microsoft Entra, as organizações podem melhorar a segurança usando recursos como autenticação multifator e políticas de Acesso Condicional.
| Camada | Serviço | Recomendação |
|---|---|---|
| Bancos de Dados | – Banco de Dados SQL – Instância Gerenciada de SQL - Banco de Dados do Azure para MySQL - Banco de Dados do Azure para PostgreSQL |
Use a ID do Microsoft Entra para autenticação com bancos de dados como o Banco de Dados do Azure para PostgreSQL, o SQL do Azure e o Banco de Dados do Azure para MySQL. |
| Armazenamento | Data Lake Storage | Use a ID do Microsoft Entra para autenticação para entidades de segurança, como entidades de usuário, grupo e serviço ou identidades gerenciadas, com o Data Lake Storage em vez de uma chave compartilhada ou assinaturas de acesso compartilhado. Essa abordagem ajuda a melhorar a segurança porque dá suporte à autenticação multifator e às políticas de Acesso Condicional. |
| Armazenamento | Data Lake Storage do Azure Databricks | Conecte-se ao Data Lake Storage usando o Catálogo do Unity em vez de acesso direto ao nível de armazenamento criando uma credencial de armazenamento que usa uma identidade gerenciada e um local externo. |
| Análise | Azure Databricks | Use o Sistema de Gerenciamento de Identidades entre Domínios para sincronizar usuários e grupos do Microsoft Entra ID. Para acessar os recursos do Azure Databricks usando APIs REST, use o OAuth com uma entidade de serviço do Azure Databricks. |
Importante
Dar aos usuários do Azure Databricks acesso direto no nível de armazenamento ao Data Lake Storage ignora as permissões, auditorias e recursos de segurança do Catálogo do Unity, incluindo controle de acesso e monitoramento. Para proteger e controlar melhor os dados, o Catálogo do Unity deve gerenciar o acesso aos dados armazenados no Data Lake Storage para usuários do workspace do Azure Databricks.
Próxima etapa
Autorização para análise em escala de nuvem no Azure