Compartilhar via

Autenticação de serviço a serviço com o Azure Data Lake Storage Gen1 usando o Microsoft Entra ID

O Azure Data Lake Storage Gen1 usa o Microsoft Entra ID para autenticação. Antes de criar um aplicativo que funcione com o Data Lake Storage Gen1, você deve decidir como autenticar seu aplicativo com o Microsoft Entra ID. As duas principais opções disponíveis são:

  • Autenticação do usuário final
  • Autenticação de serviço para serviço (este artigo)

Essas duas opções resultam em seu aplicativo ser fornecido com um token OAuth 2.0, que é anexado a cada solicitação feita ao Data Lake Storage Gen1.

Este artigo fala sobre como criar um aplicativo Web Microsoft Entra para autenticação de serviço a serviço. Para obter instruções sobre a configuração do aplicativo Microsoft Entra para autenticação de usuário final, consulte Autenticação de usuário final com Data Lake Storage Gen1 usando o Microsoft Entra ID.

Pré-requisitos

Etapa 1: Criar um aplicativo Web do Active Directory

Crie e configure um aplicativo Web do Microsoft Entra para autenticação de serviço a serviço com o Azure Data Lake Storage Gen1 usando o Microsoft Entra ID. Para obter instruções, consulte Criar um aplicativo do Microsoft Entra.

Ao seguir as instruções do link anterior, verifique se você selecionou Aplicativo Web/API como tipo de aplicativo, conforme mostrado na seguinte captura de tela:

Criar um aplicativo Web

Etapa 2: Obter a ID do aplicativo, a chave de autenticação e a ID de locatário

Ao realizar login programaticamente, você precisa da ID do seu aplicativo. Se o aplicativo for executado com suas próprias credenciais, você também precisará de uma chave de autenticação.

Etapa 3: Atribuir o aplicativo Microsoft Entra ao arquivo ou pasta da conta do Azure Data Lake Storage Gen1

  1. Entre no Portal do Azure. Abra a conta do Data Lake Storage Gen1 que você deseja associar ao aplicativo Microsoft Entra criado anteriormente.

  2. Na folha de sua conta do Data Lake Storage Gen1, clique em Data Explorer.

    Criar diretórios na conta do Data Lake Storage Gen1

  3. Na folha Data Explorer, clique no arquivo ou na pasta para a qual você deseja fornecer acesso ao aplicativo Microsoft Entra e clique em Acesso. Para configurar o acesso a um arquivo, você deverá clicar em Acessar da folha Visualização do Arquivo.

    Definir ACLs no sistema de arquivos do Data Lake

  4. A aba Acesso lista o acesso padrão e o acesso personalizado já atribuídos à raiz. Clique no ícone Adicionar para adicionar as ACLs de nível personalizado.

    Listar acesso padrão e personalizado

  5. Clique no ícone Adicionar para abrir a folha Adicionar Acesso Personalizado. Nessa folha, clique em Selecionar Usuário ou Grupo e, em seguida, na folha Selecionar Usuário ou Grupo, procure o aplicativo Microsoft Entra que você criou anteriormente. Se houver muitos grupos para sua pesquisa, use a caixa de texto na parte superior para filtrar pelo nome do grupo. Clique no grupo que você deseja adicionar e clique em Selecionar.

    Adicionar um grupo

  6. Clique em Selecionar Permissões, selecione as permissões e se você desejar atribuir as permissões como uma ACL padrão, acessar a ACL ou ambos. Clique em OK.

    Captura de tela do painel Adicionar Acesso Personalizado com a opção Selecionar Permissões destacada e do painel Selecionar Permissões com a opção OK destacada.

    Para obter mais informações sobre permissões no Data Lake Storage Gen1 e ACLs de acesso/padrão, consulte Access Control in Data Lake Storage Gen1.

  7. Na folha Adicionar Acesso Personalizado, clique em OK. Os grupos recém-adicionados, com as permissões associadas, estão listados na folha Acesso.

    Captura de tela da aba Acesso com o grupo recém-adicionado destacado na seção Acesso Personalizado.

Observação

Se você planeja restringir seu aplicativo Microsoft Entra a uma pasta específica, também precisará conceder a esse mesmo aplicativo Microsoft Entra permissão Executar à raiz para habilitar o acesso à criação de arquivos por meio do SDK do .NET.

Observação

Se você quiser usar os SDKs para criar uma conta do Data Lake Storage Gen1, deverá atribuir o aplicativo Web do Microsoft Entra como uma função ao Grupo de Recursos no qual você cria a conta do Data Lake Storage Gen1.

Etapa 4: Obter o endpoint do token OAuth 2.0 (somente para aplicativos baseados em Java)

  1. Faça logon no Portal do Azure e clique em Active Directory, no painel esquerdo.

  2. No painel esquerdo, clique em Registros do aplicativo.

  3. Na parte superior da folha Registros do aplicativo, clique em Pontos de extremidade.

    Captura de tela do Active Directory com as opções Registros de Aplicativo e Pontos de Extremidade destacados.

  4. Da lista de pontos de extremidade, copie o ponto de extremidade do token OAuth 2.0.

    Captura de tela do painel Pontos de extremidade com o ícone de cópia do Ponto de Extremidade do Token OAuth 2.0 destacado.

Próximas etapas

Neste artigo, você criou um aplicativo Web do Microsoft Entra e reuniu as informações necessárias em seus aplicativos cliente que você cria usando o SDK do .NET, Java, Python, API REST etc. Agora você pode prosseguir para os artigos a seguir que falam sobre como usar o aplicativo nativo do Microsoft Entra para primeiro autenticar com o Data Lake Storage Gen1 e, em seguida, executar outras operações no repositório.

  • Last updated on