Authentification de service à service avec Azure Data Lake Storage Gen1 à l’aide de Microsoft Entra ID

Azure Data Lake Storage Gen1 utilise Microsoft Entra ID pour l’authentification. Avant de créer une application qui fonctionne avec Data Lake Storage Gen1, vous devez décider comment authentifier votre application auprès de Microsoft Entra ID. Les deux options principales disponibles sont :

  • Authentification des utilisateurs finaux
  • Authentification de service à service (cet article)

En raison de ces deux options, votre application est fournie avec un jeton OAuth 2.0, qui est attaché à chaque demande adressée à Data Lake Storage Gen1.

Cet article explique comment créer une application web Microsoft Entra pour l’authentification de service à service. Pour obtenir des instructions sur Microsoft Entra configuration de l’application pour l’authentification de l’utilisateur final, consultez Authentification de l’utilisateur final avec Data Lake Storage Gen1 à l’aide de Microsoft Entra ID.

Prérequis

Étape 1 : Créer une application web Active Directory

Créez et configurez une application web Microsoft Entra pour l’authentification de service à service avec Azure Data Lake Storage Gen1 à l’aide de Microsoft Entra ID. Pour obtenir des instructions, consultez Créer une application Microsoft Entra.

Si vous suivez les instructions du lien précédent, veillez à sélectionner le type d’application Application web / API, comme l’illustre la capture d’écran suivante :

Créer une application web

Étape 2 : Obtenir un ID d’application, une clé d’authentification et un ID de locataire

Quand vous vous connectez par programmation, vous avez besoin de l’ID de votre application. Si l’application s’exécute sous ses propres informations d’identification, vous avez également besoin d’une clé d’authentification.

Étape 3 : Affecter l’application Microsoft Entra au fichier ou dossier du compte Azure Data Lake Storage Gen1

  1. Connectez-vous au Portail Azure. Ouvrez le compte Data Lake Storage Gen1 que vous souhaitez associer à l’application Microsoft Entra que vous avez créée précédemment.

  2. Dans le panneau de votre compte Data Lake Storage Gen1, cliquez sur Explorateur de données.

    Créer des répertoires dans un compte Data Lake Storage Gen1

  3. Dans le panneau Data Explorer, cliquez sur le fichier ou le dossier pour lequel vous souhaitez fournir l’accès à l’application Microsoft Entra, puis cliquez sur Accès. Pour configurer l’accès à un fichier, vous devez cliquer sur Accès dans le panneau Aperçu du fichier.

    Définir des ACL sur le système de fichiers Data Lake

  4. Le panneau Accès liste les accès standard et personnalisés déjà affectés à la racine. Cliquez sur l'icône Ajouter pour ajouter des ACL personnalisées.

    Lister les accès standard et personnalisés

  5. Cliquez sur l’icône Ajouter pour ouvrir le panneau Ajouter un accès personnalisé. Dans ce panneau, cliquez sur Sélectionner un utilisateur ou un groupe, puis dans le panneau Sélectionner un utilisateur ou un groupe, recherchez l’application Microsoft Entra que vous avez créée précédemment. Si la liste de groupes est longue, utilisez la zone de texte en haut pour filtrer par nom de groupe. Cliquez sur le groupe que vous souhaitez ajouter, puis cliquez sur Sélectionner.

    Ajouter un groupe

  6. Cliquez sur Sélectionner des autorisations, sélectionnez les autorisations et indiquez si vous souhaitez attribuer les autorisations en tant qu’ACL par défaut et/ou d’accès. Cliquez sur OK.

    Capture d’écran du panneau Ajouter des accès personnalisés avec l’option Sélectionner des autorisations mise en évidence, et du panneau Sélectionner des autorisations avec l’option OK mise en évidence.

    Pour plus d’informations sur les autorisations dans Data Lake Storage Gen1 et sur les ACL par défaut ou d’accès, consultez Contrôle d’accès dans Data Lake Storage Gen1.

  7. Dans le panneau Ajouter un accès personnalisé, cliquez sur OK. Le groupe récemment ajouté, avec les autorisations associées, est répertorié dans le panneau Accès.

    Capture d'écran du volet Accès avec le groupe nouvellement ajouté appelé dans la section Accès personnalisé.

Notes

Si vous envisagez de restreindre votre application Microsoft Entra à un dossier spécifique, vous devez également accorder l’autorisation d’exécution de Microsoft Entra application à la racine pour activer l’accès à la création de fichiers via le Kit de développement logiciel (SDK) .NET.

Notes

Si vous souhaitez utiliser les SDK pour créer un compte Data Lake Storage Gen1, vous devez affecter le rôle Microsoft Entra application web au groupe de ressources dans lequel vous créez le compte Data Lake Storage Gen1.

Étape 4 : Obtenir le point de terminaison de jeton OAuth 2.0 (uniquement pour les applications Java)

  1. Connectez-vous au portail Azure et cliquez sur Active Directory dans le volet gauche.

  2. Dans le volet gauche, cliquez sur Inscriptions d’applications.

  3. En haut du panneau Inscriptions des applications, cliquez sur Points de terminaison.

    Capture d'écran d'Active Directory avec l'option Enregistrements d'applications et l'option Points de terminaison appelés.

  4. Dans la liste des points de terminaison, copiez le point de terminaison de jeton OAuth 2.0.

    Capture d'écran du volet Points de terminaison avec l'icône de copie de O AUTH 2 point POINT DE TERMINAISON DE JETON en évidence..

Étapes suivantes

Dans cet article, vous avez créé une application web Microsoft Entra et collecté les informations dont vous avez besoin dans vos applications clientes que vous créez à l’aide du Kit de développement logiciel (SDK) .NET, Java, Python, API REST, etc. Vous pouvez maintenant passer aux articles suivants qui expliquent comment utiliser l’application native Microsoft Entra pour d’abord s’authentifier auprès de Data Lake Storage Gen1, puis effectuer d’autres opérations sur le magasin.