Autenticação do usuário final com o Azure Data Lake Storage Gen1 usando o Microsoft Entra ID

O Azure Data Lake Storage Gen1 usa o Microsoft Entra ID para autenticação. Antes de criar um aplicativo que funcione com o Data Lake Storage Gen1 ou o Azure Data Lake Analytics, você deve decidir como autenticar seu aplicativo com o Microsoft Entra ID. As duas principais opções disponíveis são:

Autenticação do usuário final (este artigo)
Autenticação serviço a serviço (selecione essa opção na lista suspensa acima)

As duas opções resultam no fornecimento de um token OAuth 2.0 a seu aplicativo, que é anexado a cada solicitação feita ao Data Lake Storage Gen1 ou ao Azure Data Lake Analytics.

Este artigo fala sobre como criar um aplicativo nativo do Microsoft Entra para autenticação do usuário final. Para obter instruções sobre a configuração do aplicativo Microsoft Entra para autenticação de serviço a serviço, consulte Autenticação de serviço a serviço com o Data Lake Storage Gen1 usando o Microsoft Entra ID.

Pré-requisitos

Uma assinatura do Azure. Consulte Obter a avaliação gratuita do Azure.
A ID de sua assinatura. Você pode recuperá-la no portal do Azure. Por exemplo, ele está disponível na folha da conta do Data Lake Storage Gen1.
Seu nome de domínio do Microsoft Entra. Você pode recuperá-lo passando o mouse sobre o canto superior direito do portal do Azure. Na captura de tela abaixo, o nome de domínio é contoso.onmicrosoft.com e o GUID entre colchetes é a ID de locatário.
O identificador de tenant do seu Azure. Para obter instruções sobre como recuperar a ID de locatário, consulte Obter a ID de locatário.

Autenticação do usuário final

Esse mecanismo de autenticação é a abordagem recomendada se você quiser que um usuário final entre em seu aplicativo por meio do Microsoft Entra ID. Seu aplicativo será capaz de acessar recursos do Azure com o mesmo nível de acesso do usuário final que fez logon. O usuário final precisará fornecer as respectivas credenciais periodicamente para que o aplicativo mantenha o acesso.

O resultado de quando o usuário final faz login é que seu aplicativo recebe um token de acesso e um token de atualização. O token de acesso é anexado a cada solicitação feita ao Data Lake Storage Gen1 ou ao Data Lake Analytics e é válido por uma hora por padrão. O token de atualização pode ser usado para obter um novo token de acesso e é válido por até duas semanas por padrão. Você pode usar duas abordagens diferentes para entrada do usuário final.

Usando o pop-up OAuth 2.0

Seu aplicativo pode disparar um pop-up de autorização OAuth 2.0 no qual o usuário final pode inserir suas credenciais. Esse pop-up também funciona com o processo de autenticação de dois fatores (2FA) do Microsoft Entra, se necessário.

Observação

Esse método ainda não tem suporte na ADAL (biblioteca de autenticação do Azure AD) para Python ou Java.

Transmitindo credenciais do usuário diretamente

Seu aplicativo pode fornecer credenciais de usuário diretamente para o Microsoft Entra ID. Esse método só funciona com contas de usuário de ID organizacional; não é compatível com contas de usuário pessoais/"live ID", incluindo as contas que terminam em @outlook.com ou @live.com. Além disso, esse método não é compatível com contas de usuário que exigem a autenticação de dois fatores (2FA) do Microsoft Entra.

O que é necessário para essa abordagem?

Nome de domínio do Microsoft Entra. Esse requisito já está listado no pré-requisito deste artigo.
ID do inquilino do Microsoft Entra. Esse requisito já está listado no pré-requisito deste artigo.
Microsoft Entra ID aplicativo nativo
ID do aplicativo para o aplicativo nativo do Microsoft Entra
URI de redirecionamento para o aplicativo nativo do Microsoft Entra
Definir permissões delegadas

Etapa 1: Criar um aplicativo nativo do Active Directory

Crie e configure um aplicativo nativo do Microsoft Entra para autenticação do usuário final com o Data Lake Storage Gen1 usando o Microsoft Entra ID. Para obter instruções, consulte Criar um aplicativo do Microsoft Entra.

Ao seguir as instruções do link, verifique se você selecionou Nativo para tipo de aplicativo, conforme mostrado na seguinte captura de tela:

Criar um aplicativo Web

Etapa 2: Obter a ID do aplicativo e o URI de redirecionamento

Consulte Obter a ID do aplicativo para recuperar a ID do aplicativo.

Para recuperar o URI de redirecionamento, siga as etapas abaixo.

No portal do Azure, selecione Microsoft Entra ID, selecione Registros de aplicativo e localize e selecione o aplicativo nativo do Microsoft Entra que você criou.
Na folha Configurações do aplicativo, selecione Redirecionar URIs.
Copie o valor exibido.

Etapa 3: Definir permissões

No portal do Azure, selecione Microsoft Entra ID, selecione Registros de aplicativo e localize e selecione o aplicativo nativo do Microsoft Entra que você criou.
Na folha Configurações do aplicativo, selecione Permissões necessárias e, em seguida, selecione Adicionar.
Na folha Adicionar Acesso à API, selecione Selecionar uma API, selecione Azure Data Lake e, em seguida, selecione Selecionar.
Na folha Adicionar acesso à API, selecione Selecionar permissões, marque a caixa de seleção para conceder acesso total ao Data Lake Store e selecione Selecionar.

Selecione Concluído.
Repita as duas últimas etapas para conceder permissões à API de Gerenciamento de Serviços do Microsoft Azure também.

Próximas etapas

Neste artigo, você criou um aplicativo nativo do Microsoft Entra e reuniu as informações necessárias em seus aplicativos cliente criados usando o SDK do .NET, O SDK Java, a API REST etc. Agora você pode prosseguir para os artigos a seguir que falam sobre como usar o aplicativo Web do Microsoft Entra para primeiro autenticar com o Data Lake Storage Gen1 e, em seguida, executar outras operações no repositório.

Last updated on 2018-05-29

Compartilhar via