Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
A autenticação é o processo de verificação da identidade de um usuário ou aplicativo. Recomendamos que você use um provedor de identidade de fonte única para lidar com o gerenciamento e a autenticação de identidade. Este provedor é conhecido como um serviço de diretório. Ele fornece maneiras de armazenar dados de diretório e torna esses dados disponíveis para usuários e administradores da rede.
Qualquer solução de data lake deve usar e integrar-se a um serviço de diretório existente. Para a maioria das organizações, o serviço de diretório para todos os serviços relacionados à identidade é o Microsoft Entra ID. É o banco de dados primário e centralizado para todas as contas de serviço e de usuário.
Na nuvem, o Microsoft Entra ID é um provedor de identidade centralizado e a fonte preferida para o gerenciamento de identidades. Delegue autenticação e autorização ao Microsoft Entra ID para usar recursos como políticas de Acesso Condicional que exigem que um usuário esteja em um local específico. O Microsoft Entra ID também suporta autenticação multifator, o que aumenta o nível de segurança de acesso. Você deve configurar os serviços de dados integrando o Microsoft Entra ID sempre que possível.
Se os seus serviços de dados não suportarem o Microsoft Entra ID, deverá efetuar a autenticação utilizando uma chave de acesso ou token. Você deve armazenar a chave de acesso em um repositório de gerenciamento de chaves, como o Cofre de Chaves do Azure.
Os cenários de autenticação para análises em escala de nuvem são:
- Autenticação do usuário. Nesse cenário, o Microsoft Entra ID autentica usuários usando suas credenciais.
- Autenticação de serviço a serviço. Nesse cenário, os recursos do Azure autenticam serviços usando identidades gerenciadas, que o Azure gerencia automaticamente.
- Autenticação de aplicativo para serviço. Nesse cenário, os aplicativos autenticam serviços usando entidades de serviço.
Cenários de autenticação
As seções a seguir descrevem cada um dos cenários de autenticação: autenticação de usuário, autenticação de serviço para serviço e autenticação de aplicativo para serviço.
Autenticação do utilizador
Os usuários que se conectam a um serviço ou recurso de dados devem apresentar uma credencial. Essa credencial prova que os usuários são quem afirmam ser. Em seguida, eles podem acessar o serviço ou recurso. A autenticação também permite que o serviço conheça a identidade dos usuários. O serviço decide o que um usuário pode ver e fazer depois que a identidade é verificada.
O Armazenamento Azure Data Lake, a Base de Dados SQL do Azure e o Azure Databricks suportam a integração do Microsoft Entra ID. O modo de autenticação de usuário interativo exige que os usuários forneçam credenciais em uma caixa de diálogo.
Importante
Não codifice credenciais de usuário em um aplicativo para fins de autenticação.
Autenticação serviço a serviço
Quando um serviço acessa outro serviço sem interação humana, ele deve apresentar uma identidade válida. Essa identidade comprova a autenticidade do serviço e permite que o serviço que ele acessa determine quais ações são permitidas.
Em cenários de autenticação de serviço a serviço, recomendamos que você use identidades gerenciadas para autenticar serviços do Azure. As identidades gerenciadas para recursos do Azure permitem a autenticação em qualquer serviço que ofereça suporte à autenticação do Microsoft Entra sem credenciais explícitas. Para obter mais informações, consulte O que são identidades gerenciadas para recursos do Azure.
As identidades gerenciadas são entidades de serviço que só podem ser usadas com recursos do Azure. Por exemplo, você pode criar uma identidade gerenciada para uma instância do Azure Data Factory. O Microsoft Entra ID registra essa identidade gerenciada como um objeto que representa a instância do Data Factory. Em seguida, você pode usar essa identidade para autenticar em qualquer serviço, como o Armazenamento Data Lake, sem credenciais no código. O Azure gerencia as credenciais que a instância de serviço usa. A identidade pode autenticar recursos de serviço do Azure, como uma pasta no Armazenamento Data Lake. Quando você exclui a instância do Data Factory, o Azure exclui a identidade na ID do Microsoft Entra.
Benefícios do uso de identidades gerenciadas
Use identidades gerenciadas para autenticar um serviço do Azure em outro serviço ou recurso do Azure. As identidades gerenciadas oferecem os seguintes benefícios:
- Uma identidade gerenciada representa o serviço para o qual foi criada. Ele não representa um usuário interativo.
- As credenciais de identidade gerenciadas são mantidas, gerenciadas e armazenadas no Microsoft Entra ID. Não há senha para um usuário manter.
- Quando você usa identidades gerenciadas, os serviços do cliente não usam senhas.
- A identidade gerenciada atribuída ao sistema é excluída quando a instância de serviço é excluída.
Esses benefícios significam que as credenciais estão mais bem protegidas e que o comprometimento da segurança é menos provável.
Autenticação de aplicativo para serviço
Outro cenário de acesso é quando um aplicativo, como um aplicativo móvel ou Web, acessa um serviço do Azure. A aplicação deve apresentar a sua própria identidade, que deve depois ser verificada.
Uma entidade de serviço do Azure é a opção alternativa para que aplicativos e serviços que não oferecem suporte a identidades gerenciadas se autentiquem nos recursos do Azure. Um princípio de serviço é uma identidade criada especificamente para aplicações, serviços hospedados e ferramentas automatizadas, de modo a aceder aos recursos do Azure. As funções atribuídas ao principal de serviço controlam o seu acesso. Por motivos de segurança, recomendamos que você use entidades de serviço com ferramentas ou aplicativos automatizados, em vez de permitir que eles entrem com uma identidade de usuário. Para obter mais informações, consulte Objetos principais de aplicativo e serviço no Microsoft Entra ID.
Diferenças entre identidades gerenciadas e entidades de serviço
| Service principal (Principal de serviço) | Identidade gerida |
|---|---|
| Uma identidade de segurança que você cria manualmente na ID do Microsoft Entra para aplicativos, serviços e ferramentas que precisam acessar recursos específicos do Azure. | Um tipo especial de entidade de serviço. É uma identidade automática que é criada quando um serviço do Azure é criado. |
| Usado por qualquer aplicativo ou serviço e não está vinculado a um serviço específico do Azure. | Representa uma instância de serviço do Azure em si. Ele não pode ser usado para representar outros serviços do Azure. |
| Tem um ciclo de vida independente. Você deve excluí-lo explicitamente. | É excluído automaticamente quando a instância de serviço do Azure é excluída. |
| Autenticação baseada em senha ou certificado. | Nenhuma senha explícita precisa ser fornecida para autenticação. |
Nota
As identidades gerenciadas e as entidades de serviço são criadas e mantidas somente na ID do Microsoft Entra.
Práticas recomendadas para autenticação em análises em escala de nuvem
Na análise em escala de nuvem, a implementação de práticas de autenticação robustas e seguras é fundamental. As práticas recomendadas de autenticação aplicam-se a várias camadas de uma solução, incluindo bancos de dados, armazenamento e serviços de análise. Usando o Microsoft Entra ID, as organizações podem melhorar a segurança usando recursos como autenticação multifator e políticas de Acesso Condicional.
| Camada | Serviço | Recomendação |
|---|---|---|
| Bases de dados | - Base de Dados SQL - Instância Gerenciada SQL - Banco de Dados do Azure para MySQL - Banco de Dados do Azure para PostgreSQL |
Use a ID do Microsoft Entra para autenticação com bancos de dados como Banco de Dados do Azure para PostgreSQL,Azure SQL eBanco de Dados do Azure para MySQL. |
| Armazenamento | Data Lake Storage | Use o ID do Microsoft Entra para autenticação de entidades de segurança, como entidades de usuário, grupo e serviço ou identidades gerenciadas, com o Armazenamento Data Lake em vez de uma chave compartilhada ou assinaturas de acesso compartilhado. Essa abordagem ajuda a melhorar a segurança porque oferece suporte à autenticação multifator e às políticas de Acesso Condicional. |
| Armazenamento | Armazenamento Data Lake do Azure Databricks | Conecte-se ao armazenamento Data Lake usando o Unity Catalog em vez do acesso direto no nível de armazenamento criando uma credencial de armazenamento que usa uma identidade gerenciada e um local externo. |
| Análises | Azure Databricks | Use o Sistema de Gerenciamento de Identidades entre Domínios para sincronizar usuários e grupos do Microsoft Entra ID. Para acessar os recursos do Azure Databricks usando APIs REST, use OAuth com uma entidade de serviço do Azure Databricks. |
Importante
Dar aos usuários do Azure Databricks acesso direto no nível de armazenamento ao Armazenamento Data Lake ignora as permissões, auditorias e recursos de segurança do Unity Catalog, incluindo controle de acesso e monitoramento. Para proteger e controlar melhor os dados, o Unity Catalog deve gerenciar o acesso aos dados armazenados no Armazenamento Data Lake para usuários do espaço de trabalho do Azure Databricks.